用户组和权限管理
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了用户组和权限管理相关的知识,希望对你有一定的参考价值。
介绍安全3A资源分派:认证,授权,审计
用户和组
用户user
组group
组的类别
主(要)组:一个用户必须属于一个组作为主组
辅助组/附加组/附属组:可有可无,可以多个,附加组,附属组
安全上下文
用户和组的配置文件
/etc/passwd:用户及其属性信息(名称、UID、主组ID等)
/etc/group:组及其属性信息
/etc/shadow:用户密码及其相关属性
/etc/gshadow:组密码及其相关属性
passwd文件格式
login name:登录用名(wang) ?
passwd:密码 (x) ?
UID:用户身份编号 (1000) ?
GID:登录默认所在组编号 (1000) ?
GECOS:用户全名或注释 ?
home directory:用户主目录 (/home/wang) ?
shell:用户默认使用shell (/bin/bash)
shadow文件格式
登录用名 ?
用户密码:一般用sha512加密 ?
从1970年1月1日起到密码最近一次被更改的时间 ?
密码再过几天可以被变更(0表示随时可被变更) ?
密码再过几天必须被变更(99999表示永不过期) ?
密码过期前几天系统提醒用户(默认为一周) ?
密码过期几天后帐号会被锁定 ?
从1970年1月1日算起,多少天后帐号失效
群组名称:就是群的名称 ?
群组密码: ?
组管理员列表:组管理员的列表,更改组密码和成员 ?
以当前组为附加组的用户列表:多个用户间用逗号分隔
group文件格式
群组名称:就是群组名称 ?
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow ?
GID:就是群组的 ID -
以当前组为附加组的用户列表(分隔符为逗号)
例:用户和组查看配置文件
finger
查看用户的相关信息
例:查看用户wang的下相关信息
getent
只看指定用户的相关信息
例:看root,wang的相关信息
文件操作
vipw和vigr ?
pwck和grpck
用户和组管理命令
用户管理命令 ?
useradd ?
usermod ?
userdel ?
组帐号维护命令 ?
groupadd ?
groupmod ?
groupdel
useradd
用户创建
常用选项
新建用户的相关文件和命令
/etc/default/useradd ?
/etc/skel/* ?
/etc/login.defs ?newusers passwd格式文件 批量创建用户
chpasswd 批量修改用户口令
批量修改用户密码
usermod
用户属性修改
usermod [OPTION] login
-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被 覆盖;若保留原有,则要同时使用-a选项
-s SHELL:新的默认SHELL
-c ‘COMMENT‘:新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据, 同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限
追加附加组
删除附加组
userdel
删除用户
id
查看用户相关的ID信息
-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用
su
切换用户或以其他用户身份执行命令
设置密码
passwd :修改指定用户的密码
常用选项
-d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-f:强制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
--stdin:从标准输入接收用户密码
示例:echo "PASSWORD" | passwd --stdin USERNAME
组
groupadd :创建组
groupdel :删除组
groupmod :组属性修改
gpasswd :组密码
newgrp:临时切换主组, 如果用户本不属于此组,则需要组密码
更改和查看组成员
groups :查看用户所属组列表成员
修改文件的属主和属组
chown
修改文件的属主
chgrp
修改文件的属组
文件权限
文件属性
三种权限
chown
修改所有者
chmod
修改文件权限(rwx|X)
文件:
r 可使用文件查看类工具获取其内容
w 可修改其内容
x 可以把此文件提请内核启动为一个进程 ?
目录:
r 可以使用ls查看此目录中文件列表
w 可在此目录中创建文件,也可删除此目录中的文件
x 可以使用ls -l查看此目录中文件元数据(须配合r),可以cd进入此目录
X 只给目录x权限,不给文件x权限
chmod
-R: 递归修改权限 ?
MODE: 修改一类用户的所有权限
u= g= o= ug= a= u=,g=
修改一类用户某位或某些位权限
u+ u- g+ g- o+ o- a+ a- + - ?
chmod [OPTION]... --reference=RFILE FILE...
参考RFILE文件的权限,将FILE的修改为同RFILE
权限设置示例
chgrp sales testfile ?
chown root:admins testfile ?
chmod u+wx,g-r,o=rx file ?
chmod -R g+rwX /testdir ?
chmod 600 file ?
chown mage testfile
去掉wang账号所有者的读写权限,去掉所属组的写权限,去掉其他的写权限
给wang账号所有者加上读写执行权限
chmod -X
只针对文件夹加权限
新建文件和目录的默认权限
umask
可以用来保留在创建文件权限
对应的权限位遮掩住, 666|777 umask=000,新建文件基于安全原因,不允许有执行权限
简捷方法
默认权限:
目录=777-umask
文件=666-umask , 观察结果有奇数+1
将umask写入文件保存:
练习
建一个临时权限为000的文件,临时改umask的权限
umask -S 以模式方式显示
例:
umask -p : 输出结果可被调用
例:直接写入 .bashrc文件
Linux文件系统上的特殊权限
可执行文件上SUID权限
可执行文件上SGID权限
Sticky 位
权限位映射
设定文件特定属性
例:
ACL访问控制列表
实现灵活的权限管理除了文件的所有者,所属组和其它人,可以对更多的用户设置权限
ACL权限生效次序:
所有者,ACL中自定义用户,ACL自定义的组,所属组,other
注意:
setfacl
是用来在命令行里设置ACL(访问控制列表)
例:给wang账号设置ACL权限
getfacl
查看文件权限
mask
设置除所有者和other以外的用户或组的最高权限
加了ACL权限后组权限是mask权限 而不是group组权限
mask权限限高杆,其他用户的权限不能超过mask权限
例:
setfacl -x:
例:去掉wang账户的权限
setfacl -b
清除文件上所有ACL权限
例: 清除a.log文件上所有ACL权限
set
选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含 UGO的设置,不能象-m一样只是添加ACL就可以
例:
备份和回复ACL权限
setfacl -b
还原文件权限
例: 还原/data 目录下所有文件及文件夹权限
cp -p
复制保留文件ACL权限
以上是关于用户组和权限管理的主要内容,如果未能解决你的问题,请参考以下文章
Android 逆向Linux 文件权限 ( Linux 权限简介 | 系统权限 | 用户权限 | 匿名用户权限 | 读 | 写 | 执行 | 更改组 | 更改用户 | 粘滞 )(代码片段