用户和组配置文件
用户
-
令牌token,identity
-
Linux 用户: Username/UID
-
管理员: root, 0
-
普通用户:1-60000 自动分配
- 系统用户:1-499,1-999 (CentOS7) 对守护进程获取资源进行权限分配
- 登录用户:500+,1000+(CentOS7) 交互式登录
组
-
Linux组:Groupname/GID
-
管理员组:root, 0
-
普通组:
- 系统组:1-499,1-999 (CENTOS7)
- 普通组:500+,1000+(CENTOS7)
安全上下文
- Linux安全上下文 运行中的程序:进程(process) 以进程发起者的身份运行: root: /bin/cat 进程所能够访问资源的权限取决于进程的运行者的身份
组的类别
- Linux组的类别 用户的主要组(primary group) 用户必须属于一个且只有一个主组 组名同用户名,且仅包含一个用户,私有组 用户的附加组(supplementary group) 一个用户可以属于零个或多个辅助组
- Linux用户和组的主要配置文件: /etc/passwd:用户及其属性信息(名称、UID、主组ID等) /etc/group:组及其属性信息 /etc/shadow:用户密码及其相关属性 /etc/gshadow:组密码及其相关属性
passwd文件格式
- login name:登录用名(wang)
- passwd:密码(x)
- UID:用户身份编号(1000)
- GID:登录默认所在组编号(1000)
- GECOS:用户全名或注释
- home directory:用户主目录(/home/wang)
- shell:用户默认使用shell (/bin/bash)
shadow文件格式
- 登录用名 用户密码:一般用sha512加密
- 从1970年1月1日起到密码最近一次被更改的时间
- 密码再过几天可以被变更(0表示随时可被变更)
- 密码再过几天必须被变更(99999表示永不过期)
- 密码过期前几天系统提醒用户(默认为一周)
- 密码过期几天后帐号会被锁定
- 从1970年1月1日算起,多少天后帐号失效
密码加密
- 加密机制: 加密:明文--> 密文 解密:密文--> 明文
- 单向加密:哈希算法,原文不同,密文必不同 相同算法定长输出,获得密文不可逆推出原始数据 雪崩效应:初始条件的微小改变,引起结果的巨大改变 md5: message digest,128bits sha1 : secure hash algorithm, 160bits sha224: 224bits sha256: 256bits sha384: 384bits sha512: 512bits
- 更改加密算法: authconfig --passalgo=sha256 --update
密码的复杂性策略
- 使用数字、大写字母、小写字母及特殊字符中至少3种
- 足够长
- 使用随机密码
- 定期更换,不要使用最近曾经使用过的密码
group文件格式
- 群组名称:就是群组名称
- 群组密码:通常不需要设定,密码是被记录在/etc/gshadow
- GID:就是群组的ID
- 以当前组为附加组的用户列表(分隔符为逗号)
gshdow文件格式
- 群组名称:就是群组名称
- 群组密码:
- 组管理员列表:组管理员的列表,更改组密码和成员
- 以当前组为附加组的用户列表:(分隔符为逗号)
文件操作
- vipw和vigr
- pwck和grpck
用户管理命令
- 用户管理命令useradd;usermod;userdel
- 组帐号维护命令groupadd;groupmod;groupdel
用户创建
- useradd [options] LOGIN -u UID -o 配合-u选项,不检查UID的唯一性 -g GlD:指明用户所属基本组,可为组名,也可以GID -c "COMMENT":用户的注释信息 -d HOME_DIR:以指定的路径(不存在)为家目录 -s SHELL:指明用户的默认shell程序,可用列表在/etc/shells文件中 -G GROUP1[,GROUP2,.…]:为用户指明附加组,组须事先存在 -N 不创建私用组做主组,使用users组做主组 -r: 创建系统用户CentOS 6:ID
