• 本章结构
  • 账号和权限管理
    • linux安全模型
    • 1.用户账号和组账号概述
      • 1.1用户账号类型
      • 1.2 用户账号文件/etc/passwd
      • 1.3 用户账号文件/etc/shadow
      • 1.4 添加用户账号
      • 1.5 设置/更改用户口令passwd
      • 1.6 修改用户账号的属性
      • 1.7 用户账号的初始配置文件
      • 权限掩码umask

本章结构

• 管理用户账号和组账号
• 管理目录和文件的属性

账号和权限管理

linux安全模型

3A 了解

linux 安全上下文

vim 查看文件 f1

cat 查看文件 f1

人是系统中的用户

1.用户账号和组账号概述

1.1用户账号类型

Linux基于用户身份对资源访问进行控制

• 用户账号

  • 超级用户（权限最大）、普通用户（权限受限的用户）、程序用户（程序用）

    普通用户、超级用户都是可以登录到系统中

    程序用户：给程序使用，管理程序的用户

    程序用户：黑客攻破用户，不能操作系统，只能对程序破坏

• 组账号：一类人拥有相同权限

  • 基本组（私有组），有且唯一
  • 附加组（公共组），可有可无，可多个

• UID和GID

  • UID（User IDentity，用户标识号），唯一
  • GID（Group IDentity，组标识号），唯一

  用户权限以UID表示，唯一，UID=0就是超级管理员

  管理员：root 0

  Linux中每个用户是通过User Id（UID）来唯一标识的 新建普通用户 1-60000 自动分配

  程序用户：1-499（CentOS6以前），1-999（CentOS7以后）

  普通用户：500+（CentOS6以前），1000+（CentOS7以后）

1.2 用户账号文件/etc/passwd

所有文件都存在/etc/passwd下

• 文件位置：/etc/passwd

  保存用户名称、宿主目录（家目录）、登录Shell等基本信息

  root :x :0 :0 ：root :root :/bin/shell

  用户名 密码占位符 UID GID 备注 家目录 shell类型

• 每一行对应一个用户的账号记录

1.3 用户账号文件/etc/shadow

• 文件位置：/etc/shadow

  影子文件 保存用户密码，账号有效期等

1.4 添加用户账号

• useradd命令

  基本格式
  useradd  [选项]  用户名
  
  对新建用户进行设置
  

• 新建用户未设置密码不能登录

• ！！和*不能登录

  选项
  -u：指定用户的UID号，要求该UID号码未被其他用户使用
  
  -d：指定用户的宿主目录位置（当与-M一起使用时，不生效）
  
  -e：指定用户的账户失效时间，可使用YYYY-MM-DD的日期格式
  
  -g：指定用户的基本组名（或使用GID号）
  
  -G：指定用户的附加组名（或使用GID号）
  
  -M：不建立宿主目录，即使/etc/login.defs系统配置中已设定要建立宿主目录
  
  -s：指定用户的登录 Shell /sbin/nologin 类型
  
  -r：创建系统用户CentOS 6之前：ID<500,CentOS 7以后：ID<1000  系统用户=程序用户
  
  -c：备注信息
  

• 经常用的操作useradd -s /sbin/nologin -M -u 11111 ww

1.5 设置/更改用户口令passwd

• passwd命令

  基本格式
  passwd [选项]  用户名
  
  useradd lisi=passwd
  
  useradd lisi=shadow
  
  
  passwd
  
  1. passwd   【passwd是一个命令（改密码）】
  
  2. cat /etc/passwd   【passwd是一个文件】
  
  

常用选项
-d：清除用户密码，仅使用用户名就可以登录

-l：锁定 不让用户登录

-u：解锁，使用-f强制解锁    对所有用户生效包括超级管理员

-S：查看用户账号状态（是否被锁）

1.6 修改用户账号的属性

• usermod命令

  基本格式
  usermod [选项]  用户名
  对已有用户进行修改
  

常见选项
-l：更改用户账号的登录名称（Login Name）

-L 锁定用户账户

-u 修改用户的 UID 号

-U  解锁锁用户账户

-d：修改用户的宿主目录位置。

-e：修改用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。

-g：修改用户的基本组名（或使用 GID 号）

-G：修改用户的附加组名（或使用 GID 号）

-s：指定用户的登录 Shell

1.7 用户账号的初始配置文件

文件来源

• 新建用户账号，从/etc/skel目录中复制
• cat /etc/default/useradd

主要用户初始配置文件

• ~/.bash_profile
• ~/.bashrc
• ~/.bash_logout

文件/目录的权限和归属

访问权限：

• 读取r：允许查看文件内容、显示目录列表
• 写入w：允许修改文件内容，允许在目录中新建、移动、删除文件或子目录
• 可执行x：允许运行程序、切换目录

归属

• 属主 u
• 属组 g
• 其他人 o
• 所有人 a

对文件的权限

一个文件是否可以被删除和本身权限没有关系，和所在文件夹有关

对目录的权限

执行权限是文件夹的最小权限，如果没有x权限，文件夹的rw权限没有用

面试题：

执行cp /etc/issue /data/dir/所需要的最小权限？


/bin/cp          #需要x权限

/etc/            #需要x权限

/etc/issue       #需要r权限

/data            #需要x权限

/data/dir        #需要wx权限

权限掩码umask

umask 作用控制新建文件或文件夹的权限

文件默认最大权限为666，因为x执行权限很危险，所以需要去掉 777-111=666

文件夹默认最大权限为777

新建文件权限=666-umask（umask中含有1 是不需要减去的）

新建文件夹权限=777-umask

umask是需要减去的权限

三种特殊权限

suid

SGID

Sticky