1.linux安全模型
认证验证用户身份.授权.不同的用户设置不同权限.审计
当用户登录成功是,系统会自动分配token,包括:用户标识和组成员等信息
2.用户,用户组
linux中可以将一个或多个用户加入用户组中,用户组是通过gid来唯一识别的
管理员组:root,0
普通组:
系统组:1-999(centos7后),对守护进程获取资源进行权限分配
普通组:1000+(centos7后),给用户使用
用户和组的关系
用户的主要组:用户必须属于以个且有且只有有个主组,默认创建用户时会自动创建和用户同名的组,作为用户的主要组,由于此组中有只有一个用户,又称为私有组
用户的附加组:一个用户可以属于零个或多个附属组.就跟职员在公司可以身兼数职一样,但总有主要的职位,就是主组,其他职位就相当于附属组.
主要配置文件/etc/passwd 用户及其属性信息
/etc/shadow 用户密码及其相关属性
/etc/group 组及其属性信息
/etc/gshadow 组密码及其相关属性
3.用户和组管理命令
useradd:-u uid -g指明用户所属基本组 -c用户注释信息-s 指明用户shell程序 -G 为用户指明附加组,组须是先存在 -r创建系统用户
[15:59:28 root@centos7 ~]$useradd -r -u48 -G root -s /sbin/nologin -c"apache" apache -r 创建系统用户 -u 指定uid -G添加附属组 -s 指明shell类型 -c用户注释
usermod跟useradd使用方式差不多就是用户属性修改
userdel可删除linux用户-f 强制删除 -r 删除用户家目录和邮箱
id命令可以查看用户的uid gid
4.设置密码
非交互式修改密码
通用,适用linux各种版本.如ubuntu echo -e '123456 123456' | passwd yang 适用于红帽系列版本 echo '123456' | passwd --stdin yang
passwd: -e 强制用户下次登录修改密码 passwd -e yang
5 组管理
groupadd: -g 指明GID
-r 创建系统组
修改组
groupmod: -n 新名字
-g 新的GID
-f 强制删除用户的主组也强制删除
6设置文件的所有者chown
chown命令可以修改文件的属主,也可以修改文件属组
修改了文件主组和属组
-R 递归,此目录的文件夹都是这个属性,此选项慎用很危险
7文件权限
文件的权限主要针对三类对象定义
owner 属主,u
group 属组 ,g
other 其他 , o
每个文件针对访问者都定义了三种常用权限
每个文件针对每类访问者都定义了三种权限
r 读权限
w写权限
x执行权限
所有者u= 所属组g= 其他o= 全部a= 所有者和所属组ug= 也可以用加减来修改权限u+ u-
chmod u+wx,g-r,o=rx file
setfacl设置acl权限 [15:51:57 root@centos7 ~]$setfacl -m u:yang:- file.txt 用户yang对文件没有读写执行权限 getfacl查看acl权限 [15:52:32 root@centos7 ~]$getfacl file.txt # file: file.txt # owner: root # group: root user::rw- user:yang:--- group::r-- mask::r-- other::r--