Linux中的用户和权限管理

23213ew

      Linux是多用户，多任务操作系统：多用户是指多个用户可以同时使用系统资源，而多任务指同时运行多个进程。    用户是能够获取系统资源的权限的集合,Linux通过用户实现资源分隔。
    用户组是具有相同特征用户的逻辑集合，是用户的容器。
1.用户：
    （1）用户类别

        管理员：root
        普通用户：
            系统用户：仅仅用于用于启动服务进程。
            登录用户：用于使用者交互使用，是系统资源的使用者
    （2）用户在操作系统中用UID来标识：
        UID是16bits的二进制数字,如此范围为：0-65535。Linux 系统对用户UID做出了规定：
        管理员：0
        普通用户：1-65635
               系统用户：1-499(CentOS 5,6), 1-999(CentOS7)
               登录用户：500-60000(CentOS   5, 6), 1000-60000(CentOS7)
        操作系统和使用者用不同的方法标记系统资源，两者需要通过名称解析相互识别，也就是名称转换。Linux 中通过/etc/passwd 文件作为解析库来转换；
2.Linux 组概念中在同样组概念中运用的相同的理念：
        （1）GID标识组
        （2）用文件作为组和GID解析库：/etc/group作为组名和GID的解析库。
        （3）组从不同角度来划分类别：
                1.从角色上去分为：管理员组和普通用户组，普通用户组内又包含系统用户组和普通用户组。
                2.从用户角度来看：Linux 为用户设置了基本组，和附加组。Linux 在用户创建时设置基本组名称与用户名相同。
                3.从组内成员成分区分为：私有组：与对应用户组相同，组内仅仅有该用户一个用户；公共组为多人组，组内用户具有重合的权限集合。
        Linux 通过认证，授权，统计管理用户，用户主要通过/etc/shadow来认证认证。
资源权限机制：

用户的安全上下文：

        进程：以某个用户的身份运行，进程对资源的操作权限取决于它代表的用户；
操作系统中的文件权限模型            
                 属主：owner
                 属组：group
                 其他人：others
权限模型生效的机制：
                进程的运行者：是否与发文件的属主相同，如果是则以文件的属主的身份来访问此文件，否则是否属于文件的属组，如果是则以文件属组的身份来访问此文件，否则一文件的其他用户的身份来访问此文件。如下图所示：

    用户和组的管理：
    Linux 中主要以命令进行：
         组：groupadd,groupdel,groupmod
        用户：useradd,userdel,userdel
        认证：passwd，gpasswd
组权限管理命令：
        1.groupadd：添加组
            groupadd [选项] group_name
                OPTIONS：
                    -g GID：指定GID；                  # 默认是上一个组的GID+1；
                    -r: 创建系统组；
例如：  ~] #groupadd -r -g 336 testgrp
            ~] #tail -1  /etc/group
                testgrp:x:336:
说明：/etc/group文件格式:
       GroupNmme:gpasswd:GID:user1,user2,user3...
    其中user1,user2,user3...:为组内其他用户列表，以“，”分隔；
        2.groupmod
             groupmod [选项] GROUP
               -g GID：修改GID；
               -n new_name：修改组名；
        3.groupdel命令：删除组
            groupdel [选项] GROUP
用户管理
         1.useradd命令：创建用户
           useradd [选项] 登录名
            -u, --uid UID：指定UID；
            -g, --gid GROUP：指定基本组ID，此组得事先存在；
            -G, --groups GROUP1[,GROUP2,...[,GROUPN]]]：指明用户所属的附加组，多个组之间用逗号分隔；
            -c, --comment COMMENT：指明注释信息；
            -d, --home HOME_DIR：以指定的路径为用户的家目录；通过复制/etc/skel此目录并重命名实现；指定的家目录路径如果事先存在，则不会为用户复制环境配置文件；
            -s, --shell SHELL：指定用户的默认shell，可用的所有shell列表存储在/etc/shells文件中；
            -r, --system：创建系统用户；
   注意：创建用户时的诸多默认设定配置文件为/etc/login.defs，其中定义用户添加的默认定义

利用 useradd -D 选项可以显示或修改创建用户的默认配置；
    useradd -D [DOPTION]

    例如：useradd -D -s /bin/tcsh  # 修改的结果保存于/etc/default/useradd

    2.usermod [选项] 用户
        -u, --uid UID：修改用户的ID为此处指定的新UID；
        -g, --gid GROUP：修改用户所属的基本组；
        -G, --groups GROUP1[,GROUP2,...[,GROUPN]]]：修改用户所属的附加组；原来的附加组会被覆盖；
        -a, --append：与-G一同使用，用于为用户追加新的附加组；
        -c, --comment COMMENT：修改注释信息；
        -d, --home HOME_DIR：修改用户的家目录；        用户原有的文件不会被转移至新位置；
        -m, --move-home：只能与-d选项一同使用，用于将原来的家目录移动为新的家目录；
        -l, --login NEW_LOGIN：修改用户名；
        -s, --shell SHELL：修改用户的默认shell；
    注意：登录用户，为其自定义的shell程序必须在/etc/shells中，否则不能登录。
        -L, --lock：锁定用户密码；即在用户原来的密码字符串之前添加一个"!"；
        -U, --unlock：解锁用户的密码；
        -e, --expiredate EXPIRE_DATE:用与设置用户密码过期时间。
        -f,--inactive INACTIVE:密码过期后，不活动时间。    3.userdel命令：删除用户
       userdel [选项] 登录
            -r：删除用户时一并删除其家目录；
说明1. /etc/passwd 解析库字段，解析库每行为一条记录，信息栏以“：”分隔：
        以新添加的用户storm用户的解析库条目为例：
    storm:x:5001:5001::/home/storm:/bin/bash
    各字段意义如下；
        name:passwd:UID:GID:comment:Home_directory::shell
说明2. /etc/shadow 密码库解析库字段，解析库每行为一条记录，信息栏以“：”分隔：
     以新添加的用户storm用户解析的库条目为例：
    storm:!!:16867:0:99999:7:::
login_name:登录名
encripted_password:加密的密码
date of last password change：上次跟新密码时间（这里时间都是用距离1970-01-01的天数）；
minimum password age：最小密码更换周期天数，不到期，想更换密码也更换不了；
maximum password age：最长密码更换周期天数，到期不改，会有措施；
password warning period：密码过期警告日期，在到期之前会提示改密码警告；
password inactivity period：密码到期后宽限时间，在宽限时间内只能重新设置密码后，才能使用系统；
account expiration date：硬性规定的过期时间，到期就会不能登录；
reserved field：保留他用
说明3：用户密码是用md5，sha64,sha248,sha512等单向加密算法加密的，为了防止试探，每个加密串都添加的salt以防止试出密码，salt为随机字符串，linux中的随机设备为/dev/randow（随机树，默认使用硬盘熵数，耗尽则阻塞，不再输出）和/dev/urandom(伪随机数，默认使用硬盘熵数，耗尽则用软件模拟再输出)
说明4：密码过期机制：
    4.passwd命令：
    passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]
（1）passwd：修改用户自己的密码；
普通用户(1)要求输入老密码(2)符合密码复杂度
密码复杂度：不能少于8位，复杂度要使用4类中的三类以上，不能近似旧密码等等
（2）passwd USERNAME：修改指定用户的密码，仅root有此权限；
        -l, -u：锁定和解锁用户；
        -d：清除用户密码串；
        -e DATE: 过期期限，日期；
        -i DAYS：非活动期限；
        -n DAYS：密码的最短使用期限；
        -x DAYS：密码的最长使用期限；
        -w DAYS：警告期限；


（3）passwd --stdin：通过标准输入，输入密码；
echo "PASSWORD" | passwd --stdin USERNAME
su命令：switch user


5.用户切换
（1）不读取目标用户的个人配置文 件，半切换
    su USERNAME
(2)读取目标用户的个人配置文件，登录式切换
    su -[l] USERNAME
        options:-c ，--command COMMAND: 仅仅以目标用户执行命令后，并返回结果，而不真正 执  行身份切换
    说明：root切换到其他用户是不需要密码的，普通用户切换到任何用户都需要密码；
6.gpasswd:为组添加密码
    /etc/gshadow:
    gpasswd [option] group
        -a USERNAME:向组加用户
        -d  USERNAME：向 组删除用户
7.newgroup命令：登录到另一个组，切换到已有属组是不需要密码，并更改属组为目标属组，切换到新组时，需要新组密码了。
8.chage: chage - change user password expiry information