第四天：用户、组和权限

一、linux的安全模型

 1、资源分派

　　　　Authentication:谁，验证用户身份

　　　　Authorization：授权，不同的用户设置不同的权限

　　　　Accouting|Audition：审计

　　当用户登录成功时，系统会自动分配令牌token,包括用户标识和组成员信息等

2、用户类型：

　　　管理员：root   0

　　　系统用户：1-999  对守护进程获取资源进行权限分配

　　　登录用户:1000+　　给用户进行交互式登录使用

3、用户组分类

　　　管理员组  root  0

　　　系统组： 1-9  99   对守护进程获取资源进行权限分配

　　　普通组：1000+   给用户进行交互式登录使用

4、用户和组的关系 

　　　用户的主要组（primary group）只能有一个

　　　用户的附加组（supplementary gruop ）一个用户可以有0-N个附加组

二、用户和组相关文件

 1、用户和级主要的配置文件

　　/etc/passwd:　　用户及其属性信息

　　/etc/shadow:　　用户密码及其相关属性

　　/etc/group:　　　组及其属性信息

　　/etc/gshadow:      组密码及其相关属性

2、passwd文件格式：

　　login name:登录名

　　passwd：密码
　　UID:用户身份编号

　　GID:登录默认所在组编号

　　GECOS:用户全名或注释

　　home directory:用户主目录

　　shell:用户默认使用shell

3、shadow文件格式 

4、group 文件格式 

5、gshdow文件格式 

 三、用户和组管理命令

1、用户和组管理命令

2、切换用户   su 

　　su UserName:  非登录式切换

　　su - UserName  登录式切换

3、修改用户密码：passwd   USERNAME

 4、修改用户密码策略  chage  [OPTION] ...LOGIN

5、修改组成员和密码： gpasswd [OPTION] GROUP

 6、更改和查看组成员     groupmens  [options] [action]

四、理解并设置文件权限

 1、程序访问文件的权限，取决于此程序的发起者

2、设置文件所有者  ：chown

3、设置文件的属组信息：chgrp

4、文件权限分类

　　owner   属主，u

　　group 　属组  ，g

　　other    其他    ，o

5、权限分类

　　r   Readable   4

　　w  Writable  2

　　x  excutable  1

6、修改文件权限 ： chmod

五、默认权限

 1、新建文件和目录的默认权限

六、特殊权限

 SUID:作用于二进制可执行文件上，用户将继承此程序所有者的权限

SGID：作用于二进制可执行文件上，用户将继承此程序所有者的权限；作于目录，，此目录中新建的文件的所属组将自动从此目录继承

STICKY：作用于目录上，此目录中的文件只能由所有者自己来删除

七、文件访问控制列表

1、ACL权限功能：实现灵活的权限管理

2、setfacl :可设置ACL权限

3、getfacl：可查看设置的ACL权限

4、mask权限：

　　　　mask只影响除所有者和other的之外的人和组的最大权限

　　　　mask需要与用户的权限进行逻辑与运算后，才能变成有陵县的权限

　　　　用户或组的设置必须存在于mask 权限设定范围内才会生效