用户组和权限管理

介绍安全3A

资源分派：认证，授权，审计

用户和组

用户user

组group

组的类别

主（要）组：一个用户必须属于一个组作为主组
辅助组/附加组/附属组：可有可无，可以多个，附加组，附属组

安全上下文

用户和组的配置文件

 /etc/passwd：用户及其属性信息(名称、UID、主组ID等） 
 /etc/group：组及其属性信息 
 /etc/shadow：用户密码及其相关属性 
 /etc/gshadow：组密码及其相关属性 

passwd文件格式

login name：登录用名（wang） 
passwd：密码  (x) 
UID：用户身份编号 (1000) 
GID：登录默认所在组编号  (1000) 
GECOS：用户全名或注释 
home directory：用户主目录 (/home/wang) 
shell：用户默认使用shell (/bin/bash) 

shadow文件格式

登录用名 
用户密码:一般用sha512加密 
从1970年1月1日起到密码最近一次被更改的时间 
密码再过几天可以被变更（0表示随时可被变更） 
密码再过几天必须被变更（99999表示永不过期） 
密码过期前几天系统提醒用户（默认为一周） 
密码过期几天后帐号会被锁定 
从1970年1月1日算起，多少天后帐号失效
群组名称：就是群的名称 
群组密码： 
组管理员列表：组管理员的列表，更改组密码和成员 
以当前组为附加组的用户列表：多个用户间用逗号分隔 

group文件格式

群组名称：就是群组名称 
群组密码：通常不需要设定，密码是被记录在 /etc/gshadow  
GID：就是群组的 ID  -
以当前组为附加组的用户列表(分隔符为逗号) 

例:用户和组查看配置文件

finger

查看用户的相关信息
例：查看用户wang的下相关信息

getent

只看指定用户的相关信息
例:看root，wang的相关信息

文件操作

vipw和vigr 
pwck和grpck 

用户和组管理命令

用户管理命令 
        useradd 
        usermod 
        userdel 
组帐号维护命令 
        groupadd 
        groupmod 
        groupdel 

useradd

用户创建
常用选项

新建用户的相关文件和命令

/etc/default/useradd  
/etc/skel/*  
/etc/login.defs newusers  passwd格式文件  批量创建用户  
chpasswd  批量修改用户口令 

批量修改用户密码

usermod

用户属性修改

usermod [OPTION] login 
        -u UID: 新UID  
        -g GID: 新主组  
        -G GROUP1[,GROUP2,...[,GROUPN]]]：新附加组，原来的附加组将会被 覆盖；若保留原有，则要同时使用-a选项  
        -s SHELL：新的默认SHELL  
        -c 'COMMENT'：新的注释信息  
        -d HOME: 新家目录不会自动创建；若要创建新家目录并移动原家数据， 同时使用-m选项  
        -l login_name: 新的名字  
        -L: lock指定用户,在/etc/shadow 密码栏的增加 !   
        -U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉  
        -e YYYY-MM-DD: 指明用户账号过期日期  
        -f INACTIVE: 设定非活动期限 

追加附加组

删除附加组

userdel

删除用户

id

查看用户相关的ID信息

     -u: 显示UID  
     -g: 显示GID  
     -G: 显示用户所属的组的ID  
     -n: 显示名称，需配合ugG使用 

su

切换用户或以其他用户身份执行命令

设置密码

passwd :修改指定用户的密码

常用选项

-d：删除指定用户密码
-l：锁定指定用户
-u：解锁指定用户
-e：强制用户下次登录修改密码
-f：强制操作
-n mindays：指定最短使用期限
-x maxdays：最大使用期限
-w warndays：提前多少天开始警告
-i inactivedays：非活动期限
--stdin：从标准输入接收用户密码
示例：echo "PASSWORD" | passwd --stdin USERNAME

组

groupadd ：创建组

groupdel :删除组
groupmod ：组属性修改

gpasswd ：组密码

newgrp：临时切换主组, 如果用户本不属于此组，则需要组密码

更改和查看组成员

groups :查看用户所属组列表成员

修改文件的属主和属组

chown

修改文件的属主

chgrp

修改文件的属组

文件权限

文件属性

三种权限

chown

修改所有者

chmod

修改文件权限（rwx|X）

文件：
r 可使用文件查看类工具获取其内容
w 可修改其内容
x 可以把此文件提请内核启动为一个进程 
目录：
r 可以使用ls查看此目录中文件列表
w 可在此目录中创建文件，也可删除此目录中的文件
x 可以使用ls -l查看此目录中文件元数据（须配合r），可以cd进入此目录
X 只给目录x权限，不给文件x权限

chmod

-R: 递归修改权限 
MODE： 修改一类用户的所有权限
u= g= o= ug= a= u=,g=
修改一类用户某位或某些位权限
u+ u- g+ g- o+ o- a+ a- + - 
chmod [OPTION]... --reference=RFILE FILE...
参考RFILE文件的权限，将FILE的修改为同RFILE

权限设置示例

chgrp sales testfile 
chown root:admins testfile 
chmod u+wx,g-r,o=rx file 
chmod -R g+rwX /testdir 
chmod 600 file 
chown mage testfile

去掉wang账号所有者的读写权限，去掉所属组的写权限，去掉其他的写权限

给wang账号所有者加上读写执行权限

chmod -X

只针对文件夹加权限

新建文件和目录的默认权限

umask

可以用来保留在创建文件权限
对应的权限位遮掩住， 666|777 umask=000,新建文件基于安全原因，不允许有执行权限

简捷方法

默认权限：
目录=777-umask
文件=666-umask , 观察结果有奇数+1

将umask写入文件保存：

练习

建一个临时权限为000的文件，临时改umask的权限

umask -S 以模式方式显示

例:

umask -p : 输出结果可被调用

例：直接写入 .bashrc文件

Linux文件系统上的特殊权限

可执行文件上SUID权限

可执行文件上SGID权限

Sticky 位

权限位映射

设定文件特定属性

例:

ACL访问控制列表

实现灵活的权限管理除了文件的所有者，所属组和其它人，可以对更多的用户设置权限

ACL权限生效次序：

所有者，ACL中自定义用户，ACL自定义的组，所属组，other
注意：

setfacl

是用来在命令行里设置ACL（访问控制列表）
例：给wang账号设置ACL权限

getfacl

查看文件权限

mask

设置除所有者和other以外的用户或组的最高权限
加了ACL权限后组权限是mask权限 而不是group组权限

mask权限限高杆，其他用户的权限不能超过mask权限
例:

setfacl -x：

例：去掉wang账户的权限

setfacl -b

清除文件上所有ACL权限
例: 清除a.log文件上所有ACL权限

set

选项会把原有的ACL项都删除，用新的替代，需要注意的是一定要包含 UGO的设置，不能象-m一样只是添加ACL就可以
例:

备份和回复ACL权限

setfacl -b

还原文件权限
例: 还原/data 目录下所有文件及文件夹权限

cp -p

复制保留文件ACL权限