介紹安全3A

資源分派：認(rèn)證，授權(quán)，審計(jì)

成都創(chuàng)新互聯(lián)專注于企業(yè)成都全網(wǎng)營銷、網(wǎng)站重做改版、札達(dá)網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5網(wǎng)站設(shè)計(jì)、商城開發(fā)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計(jì)等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為札達(dá)等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

用戶和組

用戶user

組group

組的類別

主（要）組：一個用戶必須屬于一個組作為主組
輔助組/附加組/附屬組：可有可無，可以多個，附加組，附屬組

安全上下文

用戶和組的配置文件

 /etc/passwd：用戶及其屬性信息(名稱、UID、主組ID等） 
 /etc/group：組及其屬性信息 
 /etc/shadow：用戶密碼及其相關(guān)屬性 
 /etc/gshadow：組密碼及其相關(guān)屬性 

passwd文件格式

login name：登錄用名（wang） ?
passwd：密碼  (x) ?
UID：用戶身份編號 (1000) ?
GID：登錄默認(rèn)所在組編號  (1000) ?
GECOS：用戶全名或注釋 ?
home directory：用戶主目錄 (/home/wang) ?
shell：用戶默認(rèn)使用shell (/bin/bash) 

shadow文件格式

登錄用名 ?
用戶密碼:一般用sha512加密 ?
從1970年1月1日起到密碼最近一次被更改的時間 ?
密碼再過幾天可以被變更（0表示隨時可被變更） ?
密碼再過幾天必須被變更（99999表示永不過期） ?
密碼過期前幾天系統(tǒng)提醒用戶（默認(rèn)為一周） ?
密碼過期幾天后帳號會被鎖定 ?
從1970年1月1日算起，多少天后帳號失效
群組名稱：就是群的名稱 ?
群組密碼： ?
組管理員列表：組管理員的列表，更改組密碼和成員 ?
以當(dāng)前組為附加組的用戶列表：多個用戶間用逗號分隔 

group文件格式

群組名稱：就是群組名稱 ?
群組密碼：通常不需要設(shè)定，密碼是被記錄在 /etc/gshadow  ?
GID：就是群組的 ID  -
以當(dāng)前組為附加組的用戶列表(分隔符為逗號) 

例:用戶和組查看配置文件

finger

查看用戶的相關(guān)信息
例：查看用戶wang的下相關(guān)信息

getent

只看指定用戶的相關(guān)信息
例:看root，wang的相關(guān)信息

文件操作

vipw和vigr ?
pwck和grpck 

用戶和組管理命令

用戶管理命令 ?
        useradd ?
        usermod ?
        userdel ?
組帳號維護(hù)命令 ?
        groupadd ?
        groupmod ?
        groupdel 

useradd

用戶創(chuàng)建
常用選項(xiàng)

新建用戶的相關(guān)文件和命令

/etc/default/useradd  ?
/etc/skel/*  ?
/etc/login.defs ?newusers  passwd格式文件  批量創(chuàng)建用戶  
chpasswd  批量修改用戶口令 

批量修改用戶密碼

usermod

用戶屬性修改

usermod [OPTION] login 
        -u UID: 新UID  
        -g GID: 新主組  
        -G GROUP1[,GROUP2,...[,GROUPN]]]：新附加組，原來的附加組將會被 覆蓋；若保留原有，則要同時使用-a選項(xiàng)  
        -s SHELL：新的默認(rèn)SHELL  
        -c 'COMMENT'：新的注釋信息  
        -d HOME: 新家目錄不會自動創(chuàng)建；若要創(chuàng)建新家目錄并移動原家數(shù)據(jù)， 同時使用-m選項(xiàng)  
        -l login_name: 新的名字  
        -L: lock指定用戶,在/etc/shadow 密碼欄的增加 !   
        -U: unlock指定用戶,將 /etc/shadow 密碼欄的 ! 拿掉  
        -e YYYY-MM-DD: 指明用戶賬號過期日期  
        -f INACTIVE: 設(shè)定非活動期限 

追加附加組

刪除附加組

userdel

刪除用戶

id

查看用戶相關(guān)的ID信息

     -u: 顯示UID  
     -g: 顯示GID  
     -G: 顯示用戶所屬的組的ID  
     -n: 顯示名稱，需配合ugG使用 

su

切換用戶或以其他用戶身份執(zhí)行命令

設(shè)置密碼

passwd :修改指定用戶的密碼

常用選項(xiàng)

-d：刪除指定用戶密碼
-l：鎖定指定用戶
-u：解鎖指定用戶
-e：強(qiáng)制用戶下次登錄修改密碼
-f：強(qiáng)制操作
-n mindays：指定最短使用期限
-x maxdays：最大使用期限
-w warndays：提前多少天開始警告
-i inactivedays：非活動期限
--stdin：從標(biāo)準(zhǔn)輸入接收用戶密碼
示例：echo "PASSWORD" | passwd --stdin USERNAME

組

groupadd ：創(chuàng)建組

groupdel :刪除組
groupmod ：組屬性修改

gpasswd ：組密碼

newgrp：臨時切換主組, 如果用戶本不屬于此組，則需要組密碼

更改和查看組成員

groups :查看用戶所屬組列表成員

修改文件的屬主和屬組

chown

修改文件的屬主

chgrp

修改文件的屬組

文件權(quán)限

文件屬性

三種權(quán)限

chown

修改所有者

chmod

修改文件權(quán)限（rwx|X）

文件：
r 可使用文件查看類工具獲取其內(nèi)容
w 可修改其內(nèi)容
x 可以把此文件提請內(nèi)核啟動為一個進(jìn)程 ?
目錄：
r 可以使用ls查看此目錄中文件列表
w 可在此目錄中創(chuàng)建文件，也可刪除此目錄中的文件
x 可以使用ls -l查看此目錄中文件元數(shù)據(jù)（須配合r），可以cd進(jìn)入此目錄
X 只給目錄x權(quán)限，不給文件x權(quán)限

chmod

-R: 遞歸修改權(quán)限 ?
MODE： 修改一類用戶的所有權(quán)限
u= g= o= ug= a= u=,g=
修改一類用戶某位或某些位權(quán)限
u+ u- g+ g- o+ o- a+ a- + - ?
chmod [OPTION]... --reference=RFILE FILE...
參考RFILE文件的權(quán)限，將FILE的修改為同RFILE

權(quán)限設(shè)置示例

chgrp sales testfile ?
chown root:admins testfile ?
chmod u+wx,g-r,o=rx file ?
chmod -R g+rwX /testdir ?
chmod 600 file ?
chown mage testfile

去掉wang賬號所有者的讀寫權(quán)限，去掉所屬組的寫權(quán)限，去掉其他的寫權(quán)限

給wang賬號所有者加上讀寫執(zhí)行權(quán)限

chmod -X

只針對文件夾加權(quán)限

新建文件和目錄的默認(rèn)權(quán)限

umask

可以用來保留在創(chuàng)建文件權(quán)限
對應(yīng)的權(quán)限位遮掩住， 666|777 umask=000,新建文件基于安全原因，不允許有執(zhí)行權(quán)限

簡捷方法

默認(rèn)權(quán)限：
目錄=777-umask
文件=666-umask , 觀察結(jié)果有奇數(shù)+1

將umask寫入文件保存：

練習(xí)

建一個臨時權(quán)限為000的文件，臨時改umask的權(quán)限

umask -S 以模式方式顯示

例:

umask -p : 輸出結(jié)果可被調(diào)用

例：直接寫入 .bashrc文件

Linux文件系統(tǒng)上的特殊權(quán)限

可執(zhí)行文件上SUID權(quán)限

可執(zhí)行文件上SGID權(quán)限

Sticky 位

權(quán)限位映射

設(shè)定文件特定屬性

例:

ACL訪問控制列表

實(shí)現(xiàn)靈活的權(quán)限管理除了文件的所有者，所屬組和其它人，可以對更多的用戶設(shè)置權(quán)限

ACL權(quán)限生效次序：

所有者，ACL中自定義用戶，ACL自定義的組，所屬組，other
注意：

setfacl

是用來在命令行里設(shè)置ACL（訪問控制列表）
例：給wang賬號設(shè)置ACL權(quán)限

getfacl

查看文件權(quán)限

mask

設(shè)置除所有者和other以外的用戶或組的最高權(quán)限
加了ACL權(quán)限后組權(quán)限是mask權(quán)限 而不是group組權(quán)限

mask權(quán)限限高桿，其他用戶的權(quán)限不能超過mask權(quán)限
例:

setfacl -x：

例：去掉wang賬戶的權(quán)限

setfacl -b

清除文件上所有ACL權(quán)限
例: 清除a.log文件上所有ACL權(quán)限

set

選項(xiàng)會把原有的ACL項(xiàng)都刪除，用新的替代，需要注意的是一定要包含 UGO的設(shè)置，不能象-m一樣只是添加ACL就可以
例:

備份和回復(fù)ACL權(quán)限

setfacl -b

還原文件權(quán)限
例: 還原/data 目錄下所有文件及文件夾權(quán)限

cp -p

復(fù)制保留文件ACL權(quán)限

網(wǎng)站題目：用戶組和權(quán)限管理
分享鏈接：http://jinyejixie.com/article16/jdojgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、域名注冊、面包屑導(dǎo)航、品牌網(wǎng)站建設(shè)、定制開發(fā)、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)