6.用户、组权限管理

用户、组和权限管理：

　　Multi-tasks（多用户），Multi-Users（多任务）

　　　　每个使用者：

　　　　　　用户标识，密码：

　　　　　　　　3A认证：

　　　　　　　　　　Authentication（认证）

　　　　　　　　　　Authorizaton（授权）

　　　　　　　　　　Audition（审计）

　　用户组：用户容器

　　用户类别：

　　　　管理员

　　　　普通用户

　　　　　　系统用户

　　　　　　登录用户

　　用户标识：UserID，UID

　　　　16bits二进制数字：0-65535

　　　　　　管理员：0

　　　　　　普通用户：1-35635

　　　　　　　　系统用户：1-499（CentOS6），1-999（CentOS7）

　　　　　　　　登录用户：500-60000（CentOS6），1000-60000（CentOS7）

　　　   名称解析：名称转换

　　　　　　Username <—> UID

　　　　　　根据名称解析库进行：/etc/passwd

　组：

　　组类别：

　　　　管理员组

　　　　普通用户组：

　　　　　　　系统组

　　　　　　　　登陆组

　　组标识：GroupID，GID

　　　　管理员组：0

　　　　　　普通用户组：1-65635

　　　　　　　    系统用户组：1-499（CentOS6），1-999（CentOS7）

　　　　　　　　登录用户组：500-60000（CentOS6），1000-60000（CentOS7）

　　名称解析：groupname <—> gid

　　　　解析库：/etc/group

 

　加密算法：

　　　　对称加密：加密和解密使用同一个密码；

　　　　非对称加密：加密和解密使用的一对密钥

　　　　　　密钥对：

　　　　　　　　公钥：public key

　　　　　　　　私钥：private key

　　　　单向加密：只能加密，不能解密；提取数据特征码；

　　　　　　定长输出

　　　　　　雪崩效应

　　算法：

　　　　md5：128bits

　　　　sha：160bits

 

安装上下文：

　　进程以其发起者的身份运行：

　　　　进程对文件的访问权限，取决于发起此进程的用户的权限；

命令：

　　groupadd：添加组

　　　　groupadd  [选项]  group_name

　　　　　　-g GID：指定GID；默认是上一个组的GID+1；

　　　　　　-r：创建系统组（系统用户：为了能够让那些后台服务类金正以非管理员的身份运行，通常需要为此创建多个普通用户；这类用户不用登录系统）

　　groupmod：修改组属性

　　　　groupmod  [选项]  GROUP

　　　　　　-g GID：修改GID

　　　　　　-n new_name：修改组名

　　groupdel：删除组

　　useradd：创建用户

　　　　useradd [选项] 登录名

 

　　　　　　

　　userdel：删除用户

　　　　userdel [选项] 登录

　　　　　　-r：删除用户时一并删除其家目录；

　　passwd：添加/更改密码

　　　  passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays]

              [-S] [--stdin] [username]

　　gpasswd：添加/修改组密码

　　　　组密码文件：/etc/gshadow

　　　　gpasswd [选项] group

　　　　　　-a USERNAME：向组中添加用户

　　　　　　-d USERNAME：从组中移除用户

　　newgrp：临时切换指定的组为基本组

　　　　newgrp [-] [group]

　　　　　　-：会模拟用户重新登录以实现重新初始化其工作环境

　　chage：更改用户密码过期信息

　　　　chage [选项] 登录名

　　id：显示用户的真和有效ID

　　　　id [OPTION]... [USER]

　　　　　　-u：仅显示有效的UID

　　　　　　-g：仅显示用户的基本组ID

　　　　　　-G：仅显示用户所属的所有组的ID

　　　　　　-n：显示名字而非ID

　　su：switch user

　　　　登录式切换：会通过读取目标用户的配置文件来重新初始化

　　　　　　su - USERNAME

　　　　　　su - l USERNAME

　　　　非登录式切换：不会读取目标用户的配置文件进行初始化

　　　　　　su USERNAME

　　　　注意：管理员可无密码切换至其它任何用户；

　　　　-c 'COMMAND' ：仅以指定用户的身份运行此处指定的命令；

 

权限管理：

　　rwxrwxrwx：

　　　　左三位：定义user（owner）的权限

　　　　中三位：定义group的权限

　　　　右三位：定义other的权限

 

　　进程安全上下文：

　　　　进程对文件的访问权限应用模型：

　　　　　　进程的属主与文件的属主是否相同；如果相同，则应用属主权限；

　　　　　　否则，则检查进程的属主是否属于文件的属组；如果是，则应用属组权限；

　　　　　　否则，就只能应用other的权限；

　　权限：                                       

　　　　r：read，读；                                      

　　　　w：write，写

　　　　x：excute，执行

　　　如果是文件：

　　　　　　r：可获取文件的数据

　　　　　　w：可修改文件的数据

　　　　　　x：可将此文件运行为进程

　　　如果是目录：

　　　　　　r：可使用ls命令获取其下的所有文件列表；

　　　　　　w：可修改此目录下的文件列表；即创建或删除文件；

　　　　　　x：可cd至此目录中，且可使用ls -l来获取所有文件的详细属性信息；

　　权限组合机制：

　　　　---    000   0

　　　　--x   001   1

　　　　-w-   010   2

　　　　-wx  011   3

　　　　r--   100   4

　　　　r-x   101   5

　　　　rw-   110   6

　　　　rwx   111   7

　　　例：

　　　　rwxrwxrwx    777

 

权限管理命令：

　　三类用户：

　　　　u：属主

　　　　g：属组

　　　　o：其他

　　　　a：所有

　　chmod：修改权限

　　　　（1）chmod [OPTION]... MODE[,MODE]... FILE...

　　　　　　　　授权表示法：

　　　　　　　　　　chmod  u=rwx，g=rwx，o=rwx  FILE

　　　   （2）chmod [OPTION]... OCTAL-MODE FILE...

              （3）chmod [OPTION]... --reference=RFILE FILE...

　　　　　选项：

　　　　　　-R：递归修改（包含目录中所有文件）

　　chown：更改属主和属组

　　　　chown [OPTION]... [OWNER][:[GROUP]] FILE...

　　　　chown [OPTION]... --reference=RFILE FILE...

　　　　　-R：递归修改（包含目录中所有文件）

　　　　　　例：chown -R  user:group FILE