成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

一、Linux系統(tǒng)的用戶和組介紹

一、3A安全體系介紹

一、Linux系統(tǒng)的用戶和組介紹

創(chuàng)新互聯(lián)是創(chuàng)新、創(chuàng)意、研發(fā)型一體的綜合型網(wǎng)站建設(shè)公司,自成立以來(lái)公司不斷探索創(chuàng)新,始終堅(jiān)持為客戶提供滿意周到的服務(wù),在本地打下了良好的口碑,在過(guò)去的10年時(shí)間我們累計(jì)服務(wù)了上千家以及全國(guó)政企客戶,如水電改造等企業(yè)單位,完善的項(xiàng)目管理流程,嚴(yán)格把控項(xiàng)目進(jìn)度與質(zhì)量監(jiān)控加上過(guò)硬的技術(shù)實(shí)力獲得客戶的一致表?yè)P(yáng)。

??現(xiàn)代計(jì)算機(jī)操作系統(tǒng)為實(shí)現(xiàn)各種層面的資源共享基本上都被設(shè)計(jì)為一個(gè)多用戶多任務(wù)的操作系統(tǒng),為防止資源被濫用或盜用每種系統(tǒng)都會(huì)有一套完整的安全管控機(jī)制,即我們通常所說(shuō)的3A安全體系,該安全體系源于我們?nèi)祟惿鐣?huì)現(xiàn)實(shí)生活中的安全審計(jì)流程,其它安全體系框架如下:

認(rèn)證(Authentication):對(duì)用戶的身份進(jìn)行驗(yàn)證,驗(yàn)證用戶的合法性,即:你是誰(shuí)!
授權(quán)(Authorization):是對(duì)通過(guò)認(rèn)證的用戶進(jìn)行授權(quán),授權(quán)其可以使用哪些資源,即:你能有哪些權(quán)限!
計(jì)費(fèi)審計(jì)(Accouting|Audition):是記錄用戶使用資源情況,這些信息將作為計(jì)費(fèi)或安全審計(jì)的依據(jù)。即:你用了多少?做了什么?

一句話:我知道你是誰(shuí),我給你規(guī)定的了使用權(quán)限,請(qǐng)你遵守規(guī)則,我可以審計(jì)你的行為!

一、Linux系統(tǒng)的用戶和組


??最終獲取資源使用權(quán)的是肯定是自然人,但操作系統(tǒng)如何能識(shí)別具體的自然人并允許他們按規(guī)定該資源,這就是系統(tǒng)對(duì)用戶和組的訪問(wèn)控制權(quán)限來(lái)解決的問(wèn)題,操作系統(tǒng)可以通過(guò)多種技術(shù)來(lái)識(shí)別自然人,如芯片授權(quán)(門(mén)禁卡、加密狗),生物特征識(shí)別(指紋、虹膜、面部識(shí)別等),傳統(tǒng)的用戶賬號(hào)等。本小節(jié)將介紹如何解決3A安全體系中的第一個(gè)環(huán)節(jié)Authentication,用戶身份驗(yàn)證的問(wèn)題。

??操作系統(tǒng)關(guān)聯(lián)到具體的自然人依靠的就是用戶,為了便于批量授權(quán)于是便有了用戶組的概念,基本上所有操作系統(tǒng)都是這樣的設(shè)計(jì)理念,不論是用戶還是用戶組都只是賦權(quán)的一個(gè)實(shí)體媒介罷了,系統(tǒng)管理員為每個(gè)自然人分配一個(gè)用戶賬號(hào)便將該賬號(hào)具備權(quán)限授予了自然人。同樣在一個(gè)部門(mén)或組織單位中多個(gè)自然人的一些共有權(quán)限就可以利用系統(tǒng)的用戶組來(lái)完成。

    Linux身份驗(yàn)證過(guò)程:用戶向系統(tǒng)提交用戶名和密碼,Linux系統(tǒng)通過(guò)比對(duì)本地存儲(chǔ)的用戶信息與用戶  提交信息的一致性來(lái)確定即將登錄的用戶是否合法。  如果是合法用戶則會(huì)向用戶返回Token和安全實(shí)體標(biāo)識(shí)。
    Windows身份驗(yàn)證過(guò)程:用戶向系統(tǒng)提交用戶名和密碼,Windows的本地LSA同樣會(huì)比對(duì)一致性,同樣會(huì)返回Token,但是包含了用戶所屬組的信息、以用戶在本系統(tǒng)或域內(nèi)權(quán)限的摘要信息,用戶在訪問(wèn)資源時(shí)會(huì)完成比對(duì)過(guò)程,這也是為什么在Windows系統(tǒng)中每次授權(quán)后都需要注銷重新登錄的原因,就是為了重新獲取系統(tǒng)或域內(nèi)的新的訪問(wèn)令牌。

1. linux系統(tǒng)中用戶和組

??Linux系統(tǒng)以ID來(lái)識(shí)別用戶類型,分為管理用戶、普通用戶兩種。Linux系統(tǒng)識(shí)別UID,Windows系統(tǒng)依賴SID。具體如下:

用戶UID標(biāo)識(shí)用戶

管理用戶:管理員root uid:0 windows內(nèi)置管理員賬號(hào)SID以500結(jié)尾
普通用戶:uid:1-60000 自動(dòng)分配
    系統(tǒng)用戶:1-499(CentOS6), 1-999 (CentOS7、8)
    用于守護(hù)進(jìn)程獲取資源進(jìn)行權(quán)限分配。
    登錄用戶:500+(CentOS6), 1000+(CentOS、7)
    登錄用戶用于交互式登錄,關(guān)聯(lián)自然人,授權(quán)實(shí)體對(duì)象。
驗(yàn)證方法:
    Linux系統(tǒng):id username
    [root@Centos8 ~]$id root
    uid=0(root) gid=0(root) groups=0(root)
    [root@Centos8 ~]$id houzhihui
    uid=1000(houzhihui) gid=1000(houzhihui) groups=1000(houzhihui)
    [root@Centos8 ~]$
    Windows系統(tǒng):whoami 
    C:\Users\Administrator>whoami /user
    用戶信息
    ----------------
    用戶名                        SID
    ============================= ==================
    desktop-aajmtra\administrator S-1-5-21-2701678464-1708204996-1248473524-500
    C:\Users\Administrator>
    C:\Users\microcisco>whoami /user
    用戶信息
    ----------------
    用戶名                     SID
    ========================== =======================
    desktop-aajmtra\microcisco S-1-5-21-2701678464-1708204996-1248473524-1001
    C:\Users\microcisco>

用戶組GID標(biāo)識(shí)用戶組

管理員組:root, 0
普通組:GID
    系統(tǒng)組:1-499(CentOS6), 1-999(CENTOS7)
    普通組:500+(CentOS6), 1000+(CENTOS7) 

??關(guān)于UID和GID的使用范圍規(guī)定在文件/etc/login.defs中都有明確定義,如果有定制需求則可以修改文件來(lái)完成,如下圖所示:
一、Linux系統(tǒng)的用戶和組介紹
基本組與輔助組

??與Windows操作系統(tǒng)不同,Linux系統(tǒng)中默認(rèn)情況下每創(chuàng)建一個(gè)用戶都會(huì)自動(dòng)創(chuàng)建一個(gè)與該對(duì)應(yīng)的用戶組,作為該用戶的基本組,而且組名與用戶名相同,GID與UID也相同。與基本組相對(duì)應(yīng)的是輔助組,二都區(qū)別如下:

用戶的基本組:與用戶賬號(hào)一同創(chuàng)建
    該組只有該用戶一個(gè)成員,組名與用戶名相同,GID與UID也相同,也稱為主組或私有組。
用戶的輔助組:用于批量授權(quán)
    輔助組只是一個(gè)相對(duì)概念,其成員不只限于一個(gè)用戶成員也被稱為公共組。輔助組有助于用戶方便的獲得額外的權(quán)限。如:某個(gè)資源需要共享給整個(gè)部門(mén)成員來(lái)使用,則只需建立一個(gè)公共組,并在該資源上針對(duì)建立的公共組賦權(quán),然后將該部門(mén)成員的用戶賬號(hào)加入到該公共組即可實(shí)現(xiàn)批量授權(quán)。因此輔助組的輔助概念是相對(duì)用戶而言的,一個(gè)用戶可以屬于零個(gè)或多個(gè)輔助組。

二、Windows系統(tǒng)的用戶和組

溫故而知新

??關(guān)于網(wǎng)絡(luò)資源管理的安全體系,微軟公司的Windows系統(tǒng)也有多年來(lái)引以為傲的安全管理體系活動(dòng)目錄(Active Directory),可以說(shuō)在企業(yè)桌面操作系統(tǒng)、終端管理方面功能相當(dāng)?shù)耐晟?,作為用戶與組的專題文章少了微軟的活動(dòng)目錄總覺(jué)得缺些什么,本小節(jié)介紹就以微軟活動(dòng)目錄中的用戶和組運(yùn)用作為知識(shí)擴(kuò)展吧!

??微軟活動(dòng)目錄的設(shè)計(jì)初衷就是對(duì)網(wǎng)絡(luò)中分布零散的資源建立動(dòng)態(tài)的索引,并由專業(yè)的信息維護(hù)人員集中授權(quán)管理,活動(dòng)錄目將域?yàn)樽鳛榫W(wǎng)絡(luò)安全邊界是一種邏輯概念,所有加入該安全域內(nèi)網(wǎng)絡(luò)資源、用戶、終端都作為域的對(duì)象,受活動(dòng)目錄的權(quán)限管理體系集中管控,用戶賬號(hào)和用戶組是賦權(quán)對(duì)象這一點(diǎn)與Linux系統(tǒng)是一樣的.如果說(shuō)最大的不同便是:Windows的組支持嵌套,而Linux的組不支持嵌套,所以Windows的授權(quán)管理功能上更豐富,但正是因?yàn)橹С纸M的嵌套所以很容易引起交叉授權(quán)而且導(dǎo)致權(quán)限管理混亂,為此微軟早在Windows server 2000時(shí)代就是強(qiáng)烈給出客戶最佳授權(quán)操作原則:AGUDLP

A表示用戶賬號(hào) Account
    賬號(hào)分為本地賬號(hào)和域用戶賬號(hào),當(dāng)然組也分為本地用戶組和域用戶組,本地用戶賬號(hào)和組由計(jì)算機(jī)系統(tǒng)本地址的SAM庫(kù)來(lái)存儲(chǔ)管理。只有計(jì)算機(jī)加入域后才可以使用域用戶賬號(hào),域用戶賬號(hào)和域用戶組則有域控制器(DC)來(lái)負(fù)責(zé)存儲(chǔ)管理,計(jì)算加入域后,域管理員可以將域用戶賬號(hào)加入到本地用戶組來(lái)賦予本地計(jì)算機(jī)資源的使用權(quán)限。
G表示全局組 Global
    全局組:主要是用來(lái)組織用戶賬號(hào)的,作用范圍:域樹(shù)內(nèi)任何域,全局組內(nèi)的成員可以是同一個(gè)域的用戶賬戶與全局組,可以訪問(wèn)任何一個(gè)域內(nèi)的資源。注意:出現(xiàn)嵌套了,全局組可以套全局組了
U表示通用組 Universal
    通用組:作用范圍林內(nèi)整個(gè)林和信任域,作為林內(nèi)跨域資源訪問(wèn)授權(quán)對(duì)象的組織容器,通用組及組內(nèi)任何成員會(huì)被寫(xiě)入一個(gè)稱為全局編目(Global Caltalog,GC)的數(shù)據(jù)庫(kù) 通用組可以訪問(wèn)任何一個(gè)域內(nèi)的資源,通用組可以包含所有域內(nèi)的用戶賬戶、全局組和通用組。通用組可以理解為恐怖電影中的通靈師攜帶訴求者通往另一個(gè)世界(這個(gè)玩笑很形象吧,不過(guò)要注意呀!當(dāng)域功能級(jí)別處于Windows2000混合模式時(shí),不能創(chuàng)建具有通用組的安全組,必須提升域的功能級(jí)別才可以啟有通用組。)
DL表示域本地組 Domain Local
    域本地組:作用范圍本地域,只能夠訪問(wèn)本域內(nèi)的任何資源,如果該組內(nèi)成員想訪問(wèn)其它域的資源則本地組必須加入全局組由對(duì)方域管理員針對(duì)全局組授權(quán)來(lái)實(shí)現(xiàn)跨域資源訪問(wèn),本地域組的成員可以是同一個(gè)域的本地域組,也可以是任何域內(nèi)的賬戶、全局組和通用組,他們能訪問(wèn)的資源只是該本地域組所在域的資源
P表示資源權(quán)限 Permissions
    用戶對(duì)資源的訪問(wèn)權(quán)限,不論Windows還是Linux都有三種基本權(quán)限:其中執(zhí)行權(quán)限分別與讀、寫(xiě)權(quán)限配合并根據(jù)作用不同的文件類型就可以展現(xiàn)給用戶很花俏功能,但不管展現(xiàn)給用戶的操作是多么的花俏都是這三種權(quán)限的組合:
    讀取權(quán)限:權(quán)限標(biāo)識(shí)為r Readable讀取文件內(nèi)容 影響atime
        作用于文件:讀取文件內(nèi)容
        作用于目錄:可以使用ls、dir查看此目錄中文件列表
    寫(xiě)入權(quán)限:權(quán)限標(biāo)識(shí)為w Writable修改文件內(nèi)容 影響mtime
        作用于文件:可以修改、刪除文件內(nèi)容
        作用于目錄:可在此目錄中創(chuàng)建文件,也可刪除此目錄中的文件
    執(zhí)行權(quán)限:權(quán)限標(biāo)識(shí)為x eXcutable執(zhí)行權(quán)限,作為讀、寫(xiě)權(quán)限的基石組合權(quán)限。
        作用于文件:由指定的安全上下文進(jìn)程將文件提請(qǐng)給內(nèi)核由進(jìn)程執(zhí)行進(jìn)一步處理操作
        作用于目錄:可以使用ls、dir查看此目錄中文件元數(shù)據(jù)(須配合r),可以cd進(jìn)入此目錄。 
    特殊執(zhí)行權(quán)限:
        權(quán)限標(biāo)識(shí)X 只給目錄x權(quán)限,不給文件x權(quán)限

域內(nèi)與域間授權(quán):AGDLP

先將用戶(Acounts-A)加入全局組G;再將G加入域本地組DL;最后給DL授權(quán)(Permissions-P)

這樣做的好處,域間訪問(wèn)兩個(gè)域的管理員將各自將對(duì)方的全局組加入域本地組后,全局組成員就可以跨域訪問(wèn)資源,后期成員調(diào)整只由各自域的管理員管控,而不必勞煩對(duì)方域的管理員啦!

林內(nèi)樹(shù)間跨域訪問(wèn)授權(quán):AGUDLP
先將用戶(Acounts-A)加入全局組G;再將再將G加入域本地組DL;最后給DL授權(quán)(Permissions-P)

這樣做的好處,將全局組加入通用組后全局組內(nèi)成員便具備了整個(gè)林內(nèi)建立域信任關(guān)系的跨域訪問(wèn)通行證,后期組內(nèi)成員管理只由本地域管理員來(lái)管控!

四、總結(jié)

無(wú)論是Linux還是Windows系統(tǒng),用戶的作用是與自然人關(guān)聯(lián),用戶組是組織管理用戶的容器便于批量授權(quán)管理,二都都是資源訪問(wèn)授權(quán)的授權(quán)實(shí)體對(duì)象,解決的是3A安全體系中的第一個(gè)A認(rèn)證(Authentication)身份驗(yàn)證問(wèn)題

好了本小節(jié)先只寫(xiě)到這,劇透一下,下一節(jié)將介紹用戶和組的管理問(wèn)題!

新聞標(biāo)題:一、Linux系統(tǒng)的用戶和組介紹
分享地址:http://jinyejixie.com/article12/ippogc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供動(dòng)態(tài)網(wǎng)站、網(wǎng)站導(dǎo)航靜態(tài)網(wǎng)站、企業(yè)網(wǎng)站制作、服務(wù)器托管、小程序開(kāi)發(fā)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

網(wǎng)站優(yōu)化排名
锡林浩特市| 民和| 铜陵市| 云浮市| 行唐县| 清丰县| 同德县| 玉田县| 丽水市| 宣恩县| 梅州市| 眉山市| 百色市| 宾川县| 宜章县| 合江县| 梅州市| 清流县| 崇礼县| 富宁县| 延寿县| 泸西县| 满洲里市| 梅河口市| 长武县| 桐庐县| 民丰县| 本溪市| 京山县| 南江县| 台中市| 阜平县| 鞍山市| 仙居县| 开封县| 梁平县| 广汉市| 屏山县| 景洪市| 綦江县| 济南市|