用户和权限管理
用户是什么
没有用户,可否YES
用户:资源获取表示符,资源分配,安全权限模型的核心要素之一
密码:来实现用户认证的
容器:能够容纳很多用户的容器,可以分配权限,组(group)角色(role)
组名:Group IDentifier (GID)
解析:在数据库中按搜索码查找对应的条目,并找到与之对应额外其它数据的功能
数据库有一下内容
文本文件
SQL数据库
ldap数据库
/etc/passwd:
加密方法:
对称加密:如果加密,解密使用相同的密码称之为对称加密
DES 3DES AES
非对称加密:DSA RSA
单向加密:雪崩效应,定长加密,不可逆
MD5信息摘要 128bit定长输出16个字符
SHA1:安全的哈希算法, 160bit
CRC32 :循环冗余校验码
谷歌购买了世界上第一台量子计算机
密码数据库 /etc/shadow
6 SHA512
1 MD5
$加密算法$8位盐$乱码
组: 用户容器,角色
/etc/group
密码:/etc/gshadow
安全上下文:
运行中的程序有其属主和属组,取决于进程的属主和属组
创建用户:
useradd UserName
-u 指定UID
-g 指定GID
-c 描述信息
-d 指定家目录
-M 创建用户,但不为其创建家目录
-r 创建系统用户 特点 id 1-499 不会为用户创建家目录,默认shell为/sbin/nologin
-s 指定默认shell
-m 创建用户时,强制给用户创建家目录
-D 改变其默认shell
id username :显示用户的id号
userdel :删除用户
-r 一并删除家目录
groupadd :创建组
-g 指定GID
用户类别
管理员:0
普通用户:1--65535
系统用户 1-499
登录用户 500+
用户组:
管理员组
普通组
以用户为视角:组可以分为两类
基本组:显示在/etc/passwd中字
附加组:/etc/group
设定用户密码:passwd
-l 锁定用户,用户密码前加两个!
-u 解锁
密码安全性策略:足够复杂
够长、交叉应用数字、大写字母、小写字母和特殊字符中的至少三种
尽量避免使用易猜测的密码:
定期更换:
/etc/shadow文件格式
登录名:加密密码:最近一次的密码修改时间(距离1970-1-1的时间):最短使用时间:最长使用期限:警告区间:非活动区间(登录就要修改密码)
设定组密码 gpasswd 组名
修改用户的属性定义:
chsh 修改默认的shell
chfn 修改用户注释
usermod 跟useradd 用法类似
-l 修改用户名称
修改组属性定义:
groupmod
-g 修改组GID
-n 修改用户的属组
groupdel
gpasswd
修改账号日期属性:
chage:修改用户的日期属性
-E:距离1970-1-1号的时间天数,过了这个时间,账号不可访问
-I: 设置活动天数
-m:修改密码最小使用时间
-M:修改密码最长使用时间
-W:警告时间
查看用户相关信息:
id
-n 显示名称
-u 显示UID
-g:显示基本组ID
-G:显示所有组ID
who 显示当前登录用户
whoami 显示当前终端登录用户
su swich user
切换用户
- 登陆式切换
-c 不切换用户,直接执行命令
练习:
创建一个用户mandriva.其ID号为2002,基本组为distro(组ID为3003),附加组为linux
#groupadd linux
groupadd -g 3003 distro
useradd -u 2002 -g distro -G linux mandriva
创建一个用户fedora,其全名为fedora community,默认shell为tcsh
#useradd -c "fedora community" -s /bin/tcsh fedora
修改mandriva的ID号为4004 基本组为linux,附加组为distro和fedora
#usermod -u 4004 -g linux -G distro,fedora mandriva
给fedora加密码,并设定其密码最短使用期限为2天,最长为50天
#passwd fedora
chage -m 2 -M 50 fedora
将mandriva的默认shell改为/bin/bash
#usermod -s /bin/bash mandriva