欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

linux基础之用户及组管理

程序员文章站 2023-09-07 17:56:55
linux基础之用户及组管理 1、前序 对有限区域内,有限资源的合规使用的3A标准 Authentication:认证 相当于拿到了一个登录linux的账号,这叫认证了,但是这不表明拿到一个账号你就能为所欲为,还需要进行授权 Authorization:授权 任何一个系统,认证完以后都有系统指派的一 ......

linux基础之用户及组管理

1、前序

对有限区域内,有限资源的合规使用的3a标准

  authentication:认证   

    相当于拿到了一个登录linux的账号,这叫认证了,但是这不表明拿到一个账号你就能为所欲为,还需要进行授权

  authorization:授权

    任何一个系统,认证完以后都有系统指派的一些权限供这个账号使用。linux怎么完成用户输入账号密码认证成功后怎么能够完成资源获取呢?事实上,linux的哲学思想是一切皆文件,当用户成功登陆linux主机,一切以这个用户为属主的文件,他应该就具备属主访问的权限

  组是能够将用户和权限建立关系的一个容器,他可以接受授权,同时也可以接受用户的加入。从而能够将权限与多个用户建立起相应关系。

  accounting:审计

    audition

  linux用户分类:用户具有用户名+uid组成

    管理员:root   uid0

    普通用户:username  uid范围1-65535

      系统用户:uid范围是1-499

      登录用户:uid安慰是500以上

        这两者的区别:系统用户主要为系统的守护类进程获取系统资源而完成权限分配。登录用户主要是为了交互式登录

  linux的组分类:组由组名+gid组成,组是一个容器,组主要作用:将多个用户与某一类权限建立关系,实现权限指派的另一种方式

    管理员组:组名为root  gid0

    普通组:

      系统组:组gid范围1-499

      普通组:组gid范围500以上

  linux安全上下文

    我们对计算机的操作,其实是运行程序来完成的,我们叫做进程。进程的运行是以发起者的身份运行,一个发起者具有什么权限,那么他执行的命令就具有什么权限,即发起者的权限决定了命令的权限

  linux组的类别:(站在用户所属组的类别来讲)

    用户基本组,也称为主组

      组名通与用户名相同,且仅包含一个用户,成为私有组

    用户的附加组,也称为额外组

 

  linux用户和组相关的配置文件

    /etc/passwd:保存用户及其相关属性信息(名称、uid、基本组id等等)

    /etc/group:组及其属性信息

    /etc/shadow:用户密码及其相关属性

    /etc/gshadow:组密码及其相关属性 

 

  /etc/passwd内容解释

    name:password:uid:gid:gecos:directory:shell 这段内容对应为的解释:

    用户名:密码:uid:gid:用户的完整信息(用户电话、地址等信息):主目录:默认shell

  /etc/group内容解释

    group_name:password:gid:user_list这段内容解释:

      组名:组密码:gid:以当前组委附加组的用户列表(每个以逗号分隔)

  /etc/shadow内容解释

    jerry:$6$rvni9i5.$1yypbdswyy1vw2eyhoq5wnmqu6wxo56bowybogoo/zreatuzxnekl4owe1l3ognesbzq.yyfptu8ci7qxiuml1:17959:0:99999:7:::

    用户名:加密了的密码:最近一次更改密码的日期:密码的最小使用期限:密码的最大使用期限:密码的警告时间段:密码宽限期:账号的过期日期

    注意:最近一次更改密码的日期是一个相对时长,是相对于linux诞生到你上一次修改密码的天数

      密码的最小使用期限如果为0,表示你可以改了密码再改密码

      密码的最大使用期限如果99999,表示你的账户永久有效

 

    加密机制(明文转化为密文)

      单向加密:提取数据指纹(指纹叫做微特征码,只要有一个改变,那么整个加密后的字符串发生重大改变,这个效应也叫雪崩效应。但是这些算法加密不同长度的明文,它的输出结果长度是一样的,这叫定长输出)

 

    linux上的加密算法

      md5message  digest中文名叫消息摘要,输出结果是128bit

      sha1secure  hash  algorihm 中文叫安全的hash算法,输出结果是160bit

      sha224secure  hash  algorihm 中文叫安全的hash算法,输出结果是224bit

      sha386secure  hash  algorihm 中文叫安全的hash算法,输出结果是386bit

      sha512secure  hash  algorihm 中文叫安全的hash算法,输出结果是512bit

    linux各个算法对应的命令

      md5sum

      ha1sum  

      sha224sum  

      sha256sum  

      sha384sum  

      sha512sum

    加密:明文转化为密文

    解密:密文转化为明文

 

  关于linux6.7密码内容解释

    $6$0typpfixkw/73xmt$z3n457eibnjel9kbimll/xskyniqouqpy22myoekjywyahh/bngj8ulx9scnossb6gvo7r3mcbinazf6gvmac1

      这个密码分为三个字段内容,每个字段内容用$符号隔开,第一分字段表示使用的加密方式,6表示使用的sha512算法加密,第二个字段表示为密码添加的杂质。为什么要添加杂质呢?为了避免两个用户输入了同一个密码后加密的内容相同,目的是混淆视听。第三个字段才是真正的密码

 

  密码的复杂性策略

    1、使用数字、大小写字母、及特殊字母至少3

    2、足够长

    3、使用随机密码

    4、定期更换密码,不使用最近曾使用过的密码

 

2、useradd命令

基本介绍

  增加一个用户或者更新一个用户的信息

基本语法

        useradd [options] login

        useradd -d

        useradd -d [options]

常用选项

  -u  uid:手动指定用户的uid。在linux6.xuid最小不低于500,最大不超过60000,在linux7.xuid最小不低于1000,最大不超过60000。而这个最小最大不超过那个值是在/etc/login.defs文件中定义的

  -g  gid|gname:指明用户所属基本组,-g选项后面可以接组名或者也可以接gid

  -c  str:指明用户的一些基本的描述,str就表示基本的描述

  -d  path:指明用户的家目录,path为家目录路径。可以不指定,不指定则为/home+用户名组成家目录,比如,oldboy用户,不指定家目录,则默认是/home/oldboy

注意:如果这个路径已经存在,即家目录已经存在,那么创建用户指定这个已经存在的目录为家目录时,不会从/etc/skel拷贝任何文件。不拷贝任何文件意味着,当我们使用su命令切换到这个用户上的时候,不能够正常显示,因为这个/etc/skel文件包含一些环境变量值的定义

  -s  shell:指定用户的默认shell

  -m:创建用户的家目录

  -m:不创建用户的家目录

  -r:创建系统用户

    centos6.x的系统用户uid小于500

    centos7.x的系统用户uid小于1000

  -p  password:创建用户并且给定密码(不推荐使用,因为在历史记录中间存在这条记录)

  -g  gid|gnamegid|gnamegid|gname...:指定用户的附加组,可以指定多个,每个用逗号隔开,但是这些组必须事先存在

  -f  num:修改账户彻底禁用的宽限时间

  -e  datetime:修改账户过期时间

  -d:修改创建用户使用的默认值,创建用户使用的默认值定义在/etc/default/useradd文件中,修改也是修改这个文件的值。但是这个选项要结合其它选项一起使用,如下:

  -s  shell:修改默认shell

  -f  num:修改默认账户过期的宽限时间

  -e  num:修改默认账户过期时间

  -b  path:修改默认家目录

  -g  gname:修改默认用户的基本组

3、groupadd命令

基本介绍

  创建一个组

基本语法

  groupadd  [options]  groupname

常用选项

  -g  num:手动指定组的gid

  -r:创建一个系统组

    centos6.x的系统gid小于500

    centos7.x的系统gid小于1000

4、id命令

基本介绍

  打印有效用户或者组的id

基本语法

  id  [option]...  [username]

常用选项

  -u:显示用户的uid

  -g:显示用户的基本组

  -g:显示用户所有的组包括基本组和附加组

  -n:显示组或者用户的名字,这个选项要结合-u-g-g选项使用

 

5、su命令

基本介绍

  切换用户或者以其他用户身份执行命令

基本语法

  su  [option]...  [-]  [user [arg]...]

常用选项

  -c  command:切换身份执行命令。命令执行结束回到原来的用户下

    案例演示

      su  -c “cat  /etc/fstab”  -  odloy

  -l:切换登录的意思,这个选项与 ---login用法一致

    su   -  oldboy  与  su  -l  oldboy  与  su  --login  oldboy是一样的

  -s  shell:切换到目标用户以后使用指定的shell,而不是使用目标用户的默认shell

 

  su命令切换用户的方式

    su   username:非登录式切换,不会加载目标用户即这里的username的配置文件

    su  -  username:登录式切换,会加载目标用户即这里的username的配置文件,这个也叫完全切换

    注意:管理员切换至其他用户无需密码,其他用户切换时需要密码

6、usermod命令

基本介绍

  修改用户账户信息

基本语法

  usermod  [options]  login

常用选项

  -u  new_uid:修改原来的uid,修改为new_uid

  -g  new_gid|new_name:修改原来的基本组,修改为new_gid或者new_name

  -g  group1[,group2,.....[,groupn]]:修改附加组,原来的附加组会被新的附加组覆盖,若想保留原来的附加组联合使用-a选项

  -s  shell:修改用户的默认shell

  -c  new_comment:修改用户的注释或者基本描述信息

  -e  date:修改账户过期时间,date的格式yyyy-mm-dd,它会自动换算

  -f  days:修改账户警用的宽限时间

  -d  path:修改用户的家目录为path

  注意:默认原来的家目录下面的文件不会同时移动至新的家目录下。如果要移动,则使用-m选项

  -l  login_name:修改的登录名

  -llock锁定指定用户

    这个有什么现象呢?

      当我们锁定一个用户时,会在/etc/shadow文件中的密码字段前面加一个感叹号。锁定以后的用户没法切换也没法登录,但是管理员可以切换过去

  -uunlock解除锁定

7、passwd命令

基本介绍

  给用户添加密码

基本语法

  passwd  [-k]  [-l] [-u [-f]] [-d] [-e] [-n min-

       days] [-x maxdays] [-w warndays] [-i  inactive-

       days] [-s] [--stdin] [username]

常用选项

  -l:锁定指定用户

  -u:解锁指定用户

  -n  days:你的密码最短使用期限

-x  days:你的密码最大使用期限

案例演示

[root@oldboy ~]# tail -n 1 /etc/shadow

www:!!:17959:0:99999:7:::

[root@oldboy ~]# passwd -x 10 www

adjusting aging data for user www.

passwd: success

[root@oldboy ~]# tail -n 1 /etc/shadow

www:!!:17959:0:10:7:::

  -e  days:设置密码过期时间

  -d:删除密码

  --stdin:从标准输入接受用户密码

案例演示

[root@oldboy ~]# echo 123|passwd --stdin www

changing password for user www.

passwd: all authentication tokens updated successfully.  

使用注意

  如果一个账户没有设置密码,那么他自己没法改密码,只能通过管理员添加密码后你在修改。同时如果普通用户设置密码没有满足linux设置密码的策略,那么不会设置成功

 未完,待续....