講解點: 1、用戶和組的類別介紹及密碼
2、用戶和組的管理一、用戶和組的的類別及密碼:
用戶表示:UserID,UID16bits二進制數字:0-65535
管理員:0
普通用戶:1-65635
系統用戶:1-499(Centos6),1999(centos7)
登錄用戶:500-60000(centos),1000-60000(centos7)
名稱解析:名稱轉換
Username<---------->UID
根據名稱解析庫進行:/etc/passwd
組標識:GroupID,GID
管理員組:0
普通用戶組:1-65635
系統用戶組:1-499(centos6),1-999(centos7)
登錄用戶組:500-60000(centos6),1000-60000(centos7)
名稱解析:groupname<---->gid
解析庫:/etc/group
linux組的類別:用戶的主要組(主組):
用戶必須屬於一個且只有一個主組
組名同用戶名,且僅包含一個用戶:私有組
用戶的附加組(輔助組)
一個用戶可以屬於零個或多個輔助組
linux用戶和組的主要配置文件:/etc/passwd:用戶及其屬性信息(名稱、UID、主組ID等)
/etc/group:組及其屬性信息
/etc/shadow:用戶密碼及其相關屬性
/etc/gshadow:組密碼及其相關屬性
安全認證:系統通過對比事先存儲的與登錄時提供的信息是否一致:
安全3A認證:
Authentication:認證
Authorizatin:授權
Accouting | Audition 審計
密碼的使用策略:
1、使用隨機密碼
2、最短長度不要低於8位
3、應該使用大寫字母,小寫字母,數字和標點符號四類字符中至少三類
4、定期更換
加密算法:
對稱加密:加密和解密使用同一個密碼;
非對稱加密:加密和解密使用的一對密碼
密碼對:
公鑰:public key
私鑰:private key
單向加密:只能加密,不能解密:提取數據特征碼:
定長輸出:
雪崩效應:初始條件的微小改變,可以引起結果的巨大改變
算法:
1: md5:message digest, 126bint
2:sha:sercure hash algorithmm160bits
3:sha224:
4:sha256
5:sha384
6:sha512:
在計算之時加salt,添加隨機數
二、Linux用戶和組管理:安全上下文:
進程以其發起者的身份運行:
進程對文件的訪問權限,取決於發起此進程的用戶的權限
為了能夠讓那後台進程或服務類進程以非管理員的身份運行,通常需要為此創建多個普通用戶,這類用戶從不用登陸系統
groupadd:創建一個新組groupadd [選項] group_name
-g:自定義組名(GID),默認是上一個組的GID+1
-r:創建系統組
groupdel命令:刪除組groupmod命令:修改組屬性
groupmod [選項] GROUP
-g GID:修改GID
-n new_name:修改組名
useradd命令:創建用戶useradd [選項] 登錄名
-u,--uid UID:指定UID
-g:指定基本組名,此組得事先存在
-c:指明注釋信息
-G:--groups:指明附加組
-d --home HOME_DIR:以指明的路徑為用戶的家目錄:通過復制/etc/skel此目錄並重命名實現,指定的家目錄路徑如果事先存在,則不會為用戶復制環境配置文件
-s:--shell SHELL:指定用戶的默認shell,可用的所有shell列表為/etc/
-r,--system:創建系統用戶
useradd -D:顯示創建用戶的默認配置;
useradd -D:選項:修改默認配置選項的值;
修改的結果保存於/etc/default/useradd文件中
usermod命令:修改用戶屬性-u,--uid UID:修改用戶的ID為此處指定的新UID
-g,--gid GROUP:修改用戶所屬的基本組
-G,--groups GROUPS[GROUP2,....[,GROUPN]]]:修改用戶所屬的福家族:原來的福家族會被覆蓋;
-a,--append:與-G一同使用,用於為用戶追加新的附加組;
-c:--comment COMMENT:修改注釋信息
-d,--home HOME_DIR:修改用戶家目錄;用戶原有的文件不會被轉移至新位置,如果想轉移需要一同使用-m選項
-m,--move-home:只能與-d選項一同使用,用於將原來的家目錄移動為新的家目錄
-l,--login NEW_LOGIN:修改用戶的默認shell為此處指定的hshell;
-L:鎖定用戶的密碼:即在用戶原來的密碼字符串之前添加一個“!”
-U:解鎖用戶的密碼
userdel命令:刪除用戶userdel [選項] 登錄
-r:刪除用戶時一並刪除家目錄;
passwd命令:
(1)passwd:修改用戶自己的密碼
(2)passwd USERNAME:修改指定用戶的密碼,但僅root有此權限
-l,-u:鎖定和解鎖用戶
-d:清除用戶密碼串
-e DATE:過期期限,日期;
-i DAYS:非活動期限;
-x DAS:密碼最長使用期限;
-w DAYS:警告期限;
--stdin:
echo "PASSWORD“ | password --stdin USERNAME
gpasswd命令:gpasswd [選項] group
-a USERNAME:向組中添加用戶
-d USERNAME:從組中移除用戶
newgrp:可以臨時切換用戶的基本組
給組裡添加密碼的作用:避免讓別人可以隨意切到自己的組裡
newgrp命令:臨時切換指定的組為基本組
如果加上"-":會摸你用戶重新登錄以實現重新初始化其工作環境
chage:修改用戶的密碼過期信息chage [選項] 登錄名稱
-d
-E
-w
-m
-M
id:顯示用戶的真實和有效IDid [opton]....[user]
-u:僅顯示有效的UID;
-g:僅顯示用戶的基本組ID;
-G:僅顯示用戶
-n:顯示名字而非ID;
su命令:switch user :切換用戶登錄式切換:會通過讀取用戶的配置文件來重新初始化
su - USERNAME
su -l USERNAME
非登錄式切換:不會讀取目標用戶的配置文件新型初始化
su USERNAME
注意:管理員可無密碼切換至其他任何用戶su - docker -c 'whoami' :僅以指定用戶的身份運行此處指定的命令
finger:查看用戶信息
chaf:改變用戶信息