Linux用户和用户组基本概念

231312

一、Linux用户基本概念

   1. 3A机制：基于多任务、多用户(Multi-tasks, Multi-Users)

使用者--->用户标识、密码；  

认证信息：通过比对事先存储的，与登录时提供的信息是否一致；

  Authentication: 认证机制,通过某种方案来确认用户是其声称的用户，如密码、生物识别等

  Authorization: 授权机制， 资源使用级别(Linux只有管理员和普通用户两级分配机制，权限)

  Audition: 审计机制，监督权限的使用 ，log审计凭据---额外审计功能SELinuse

   2. 用户的分类

用户标识：UserID,UID

16bits二进制数字：0-65535，

  Linux内核(2.6x版)已经可以支持到4294967295(2^32-1)个标识符

管理员：0

普通用户：1-65635

系统用户：1-499(CentOS 6),1-999(CentOS 7)

登录用户：500-60000(CentOS 6), 1000-60000(CentOS 7)

注意：CentOS 7(RHEL 7)开始用户系统用户的数量增大

   3.用户配置文件

       (1) 用户信息库,名称解析库：/etc/passwd

    [iyunv@localhost ~]# man 5 passwd

     格式(七段):account：password：UID：GID：GECOS：directory：shell

account:用户名

password：可以是加密的密码，也可是占位符x；

UID：用户的ID号

GID：用户所属的主组的ID号；

GECOS：注释信息

directory：用户的家目录；

shell：用户的默认shell，登录时默认shell程序；

       (2) 密码存储位置：/etc/shadow

    [iyunv@localhost ~]# man 5 shadow

     格式(九段):用户名:加密的密码：最近一次修改密码的时间：最短使用期限：最长使用期限：警告期段：过期宽限时间：账号失效日期：保留字段

login name：用户名

encrypted password：经过编码的密码

date of last password change：最近一次修改密码的时间

minimum password age：最短使用期限

maximum password age：最长使用期限

password warning period：警告期段

password inactivity period：过期宽限时间

account expiration date：账号失效日期

reserved field：保留字段

  加密密码格式：第二个$和第三个$之间是SALT，后面是加密后的密码

二、Linux组基本概念

   1. 用户组(用户容器)的分类

  组标识：GroupID,GID

  16bits二进制数字：0-65535

       (1)系统视角：管理员用户组&普通用户组

管理员组：0

普通用户组：1-65635

系统用户组：1-499(CentOS6),1-999(CentOS7)

登录用户组：500-60000(CentOS6),1000-60000(CentOS7)        

       (2)用户视角：基本组&附加组

用户的基本组：用户本身所属组

用户的附加组：用户额外所支持的组

       (3)公共组&私有组

公共组：组内包含了多个用户；

私有组：组名同用户名，且只包含一个用户；

   2.用户组配置文件

       (1)名称解析库：/etc/group

   [iyunv@localhost ~]# man  5  group

   格式：group_name:password:GID:user_list

   group_name：用户组名；

   password：组密码；

   GID：用户所属的主组的ID号；

   user_list：该组的用户成员，以此组为附加组的用户的用户列表；

       (2)密码库：/etc/gshadow

    [iyunv@localhost ~]# man  5  gshadow

    格式：group name:encrypted password:administrators:members

   group name：组名称

   encrypted password：加密密码，以！开头表示无合法密码，所以无用户组管理员

   administrators：用户组管理员账号

   members：该用户组的所属账号

三、密码相关策略

   1. 加密算法

       (1)对称加密算法：加密和解密使用同一个密码；

       (2)非对称家吗算法：加密和解密使用的一对儿密钥

    密码对：公钥(pubic key)、私钥(private key),一个公钥对应一个私钥

       (3)单向加密：只能加密、不能解密，提取数据特征码

不可逆算法，常用语数据完整性校验，速度是非对称加密的1000倍

     定长输出：生成的加密密码长度是一定的

     雪崩效应(蝴蝶效应)：任何passwd或sallt微小改变，加密后结果发生巨大改变

【算法】

     md5: message digest消息摘要, 128bits(2^128种变化，16进制输出)

    sha：secure hashalgorithm 安全的哈希算法, 160bits

扩展： sha224、sha256、sha384、sha512

….

CentOS567？？？下午视频有每个系统用什么默认的单向加密

【SALT】添加的随机数：不同用户密码相同，随机数不同加密结果相差甚远

实例ONE.已知系统上gentoo和slackware两个空密码用户，添加相同密码，对比加密后密码

[iyunv@localhost ~]# tail -2  /etc/shadow

gentoo:!!:16777:0:99999:7:::

slackware:!!:16777:0:99999:7:::

[iyunv@localhost ~]# passwd gentoo

Changingpassword for user gentoo.

Newpassword:

BADPASSWORD: it is based on a dictionary word

BADPASSWORD: is too simple

Retypenew password:

passwd:all authentication tokens updated successfully.

[iyunv@localhost ~]# passwd  slackware

Changingpassword for user slackware.

Newpassword:

BADPASSWORD: it is based on a dictionary word

BADPASSWORD: is too simple

Retypenew password:

passwd:all authentication tokens updated successfully.

[iyunv@localhost ~]# tail - 2  /etc/shadow

gentoo:$6$Oz6XCp7o$400.nBpnW5d77saSaMX7tqDAp656S59HctB4rrQuLGd9SXZ.fn/jFT1vqHU11wcXkMW/MQm9DqiF2z6eeNxWk.:16779:0:99999:7:::

slackware:$6$rvEi4gcC$8jBgr/.bOFyDmFjyBZphYyjXBtR03Ekz6ZGw0zMlZkXcQK7HaUgD71zrgA9t7yMk.Yzyw5d8TIAPQlHEIrbLa0:16779:0:99999:7:::

[iyunv@localhost ~]#

   2.密码使用策略

         (1) 使用随机密码；

         (2) 最短长度不要低于8位；

         (3) 应该使用大写字母、小写字母、数字和标点符号四类字符中至少三类；

         (4) 定期更换；