热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

0518第五节课

安全3AAuthentication:认证Authorzation:授权Accouting|Audition:审计用户管理用户:UID:0,不一定是root,root的uid非0时

安全3A


  Authentication:认证

  Authorzation:授权

  Accouting|Audition:审计




用户

  管理用户:UID:0,不一定是root,root的uid非0时并不是管理用户,主要还是看的uis


  普通用户:uid 1-65535

    系统用户:1-499(centos6) 1-999(centos7)

      系统用户是指那些nologin用户,对守护进程获取资源进行权限分配

    登录用户:500- (centos6) 1000- (centos7)

      通过账号密码登录的用户,交互式登录




  管理员组: GID:0


  普通组: 

    系统组:1-499(centos6) 1-999(centos7)


    普通组:500-             1000-




安全上下文:

  简单的说就是一个进程的权限取决于开启这个进程的用户的权限



linux组的类别

  用户的主要组:有且只能有一个组

    私有组:简单的说就是在组内只有以为与组同名的用户,这个组就叫做这个用户的私有组


  用户的附加组:可以有多个,也可以没有的组




主组的四个重要的配置文件


  主:/etc/passwd

      /etc/shadow


  组:/etc/group

      /etc/gshadow



  passwd:记录用户账户的一些相关信息的文件


  格式:

    用户名:x:UID:GID:描述内容:家目录:默认bash



  x:6以前的系统是一些加密的密码,6以后加密密码放在shadow,这里改成了x代替


  GID:passwd中的GID是显示用户的主组的GID


  shadow:记录用户加密密码的文件


  格式:

    用户名:加密类型:随机字符:加密密码正文:最后一修改密码的时间:密码的最小使用期限:密码的最大使用期限:警告期限:非活动期限:用户账号过期期限:保留字段


  随机字符:为了防止密码相同的用户在正文字段的加密密码显示相同,加密时会在密码中加入一些随机的字符


  最后:显示的是linux元年到最后一次修改密码经过的天数


  警告期限:在密码过期前X天警告你密码还有X天就要过期


  非活动期限:密码在过期后并不立即无法使用,会有一个最终期限供你修改密码,当最终期限过后,密码将失效


  用户过期期限:一个用户的使用期限,当过期后该用户将无法登陆

  当用户没有密码的时候,用户名:!!:~,!!代表无法登录,是系统默认给的,但是将!!删掉后就可以直接不需要密码登录,反过来看,当我们不想某个用户登录时,可以再shadow里给他的那串用户名后边(用户名!:)加一个!就行





  组的group和gshadow基本相同


  group的最后是组内的用户,这个前边一个是组管理员用户,添加组管理员,组管理员可以添加删除组成员对组进行一些修改






密码的复杂性策略:这还用人教?




4个小命令


  vipw和vigr

  更改passwd和group的命令,感觉似乎用不太到。。



  pwck和grpck

  检查passwd和group两个文件的修改是否有什么错误,感觉用到的可能性也不大。。


  姑且记住吧




用户管理命令

  useradd:添加用户的命令

     -u:制定创建用户的uid

     -g:制定用户主组的gid

         注意:不指定主组的话,将会自动创建用户的私人组

     -G:制定用户附加组的GID

     -d:制定用户的家目录

         注意:当制定的家目录存在的目录的时候,是不会默认添加文件的,可以手动从/etc/skel复制过来

     -c:添加描述内容

     -r:创建系统用户

     -s:制定用户的默认shell

     -M:不创建用户的家目录

         注意:当用户没有家目录时,仍旧可以登录,但是登录后不再家目录中,在/目录下

     -N:不创建用户的私人组,将用户的主组设置为useradd-    D中的默认组

     -D:一些默认的设置的更改

         注意:配置文件存放在:/etc/default/useradd下


  注意:一些默认的配置,想修改的话,可以去/etc/login.defs去更改



  userdel:删除用户,默认是不删除用户的家目录

     -r:连同用户的家目录mail等一同删除

  注意:当我们在删除一个用户的时候,不加-r的话用户的家目录等一些创建用户时自动给创建的目录都不会删除,反过来说,加上-r后只是会删除在创建用户时创建的那些目录,用户自行创建的目录文件是不会删除的,但是这些目录和文件的主、组会变成原用户的UID和GID,当这些ID再次被分配到某用户的时候,文件的主、组会变成这个用户


  提示:用户的一些目录可以自行删除

        家目录:/home

        邮箱:  /var/spool/mail


  usermod:修改用户的属性

     -u:修改用户的UID

     -g:修改用户的主组

     -G:修改用户的附加组

         注意:这个修改是指覆盖修改,即原来的附加组会被取消变成新的附加组,想要添加附加组加-a

     -aG:给用户添加附加组

     -c:修改用户的描述

     -d:修改用户的家目录

         注意:家目录的内容是不会移动的,想要连同家目录的内容一同移动,加-m

     -md:复制家目录的内容,移动到新指定的家目录

     -s:修改用户的shell

     -L,U:锁定解锁用户





组管理命名

  groupadd:创建新的组

    -g:指定GID

    -r:创建系统组


  groupdel:删除组


  groupmod:修改组

    -g:修改组GID

    -n:修改组名称



批量创建组用户

  newusers:创建一个文本,在文本里按照passwd的格式来写用户,然后

     newusers file


  chpasswd:批量修改用户口令

      文件内格式

      user : 密码


 id:查看用户id

   -u:查看用户的uid

   -g:查看用户的主组的gid

   -G:查看用户的所有附加组的id

   -n:不以id显示,以name显示




 su:切换用户的命令

   -:中间加-是指登录式用户切换,不加是非登录式用户切换

   却别自己查看一下两种方式切换后的用户的工作目录和家目录就能清楚了


   -c


   su - name -c command


     以name用户的身份运行command命令


 passwd:更改密码,不加任何参数为更改自己的密码,可加用户名来更改他人密码


    -e:修改最后一次更改密码日期,改成0下一次登录就必须更改密码

    -n,x:修改密码的最大最小期限

    -w:修改警告期限

    -i:修改费活动期限

    --stdin:

      passwd  --stdin name  可以通过重定向或者管道来更改密码


 gapsswd:不加参数为修改组密码,组密码的具体作用可以再newgrp看出

    -a:在组内添加用户

    -d:删除组内某个用户

    gpasswd -a name gname


 groupmems -a     -g:类似gpasswd加参数

    -a:添加用户

    -d:删除用户

    -l:列出组用户

    -p:清空组用户


 chage  -l  列出密码用户的各种期限时间


 chsh:更改用户的shell


 chfn:更改finger



 groups gname:查看某个组的组成员




 newgrp:临沭切换到某个组,切换的是主组。。当你不属于那个组的附加组的时候需要输入组密码(gpasswd的用处)

     加-选项同su



将系统设置成只允许管理员登录

   用touch在/etc先下创建/etc/nologin文件就行,取消的时候将这个文件删掉






 权限管理


 krwxrwxrwx


 k是指文件类型:-,d,c,b,l,s,p

 r:read

 x:excute

 w:write


 u:user


 g:group


 o:other

 a:all


 对于文件来说

    r:代表可以读取文件的内容

    w:代表可以给文件内容进行添加修改等操作

    x:代表该文件是可执行的

 注意:因为对于文件来说,一旦执行,影响的将不是文件本身而是整个系统,这是十分危险的操作,因此,默认的不会给与文件x权限即文件默认能得到的最大权限为

    -rw-rw-rw-


 对于目录来说

    r:代表目录可以通过ls查看目录内的内容,但不能用ll

    w:代表可以对目录内的文件进行添加删除

    x:代表可以cd至此目录中并且可以通过ll来查看目录内文件的具体属性

 注意:对于目录来说一般是要给与r与x 权限的



 -rwx rwx rwx

  421

  u   g   o


 权限相关命令:chmod chown chgrp umask


 chmod:修改文件或目录的权限

    -R:递归

    --reference=file1 file2  :按照file1给file2设置权限


 用法:chmod u=   ,g=    ,o= / a=     file

       设置具体权限


       chmod u+   ,g+    ,o+ / a+     file

       添加某个权限


       chmod 777 file

       设置具体权限


 注意:u,g,o可以一起写成ugo,ug,og,等等,分开写之间用逗号隔开

       chmod在使用-R的时候为了避免给文件加上x执行权限,可以使用X,这个的意思是只给目录x权限,不给文件



 chgrp :设置组

    -R:递归


 用法: chgrp gname file



 chown :设置主,组


    -R:递归

 用法:chown name : gname file


 注意:chown既可以改组也可以改主,只更改组时,gname前边的:一定记得写,不然会被识别成主,但是在只更改主的时候,后边的:一定记得不要写,不然会被识别成主,组是同名字


 同时,chmod -R +X dir      X对目录没有什么特殊做作,直接给与x权限,但是对于文件,如果文件的权限里,任何位置有一个x权限

 那么,X将给与ogu三个位置都给x权限,如果文件一个x权限都没有,那么X将不给于任何的x权限      




 umask:不知道怎么形容

   umask不加参数,显示当前的umask的值


   umask ####:更改umask值


   注意:通过这个更改的umask值只针对当前shell,umask的值相对全局修改,可以直接重定向到/etc/bashrc,同样的影响单个用户直接

   重定向到家目录下的.bashrc即可


Linux的特殊权限


 SUID:只针对可执行的二进制程序有效,对目录无效,作用是让用户在运行该程序的时候短暂获得该文件的所有者的权限

       典型的就是/usr/bin/passwd这个程序,用户在运行的passwd的时候可以影响到平常不能看的/etc/passwd


       用法: chmod u+s/S file       s:源文件具有x权限时用

                                     S:源文件不具备x权限时使用


       注意:这个权限事实上是一个很危险的权限,所有,我们在对一个程序加上这个权限,再去放在一些移动设备上例如U盘等,再去将U盘挂载到另一台机器或系统上

       而又需要手动挂载,需要记得启用noSUID,自动挂载是默认开启的,手动挂载需要自己开启


  SGID:可以对文件,也可以对目录使用,对文件使用效果与SUID差不多,是让运行这个程序的用户具有这个程序的组的权限,对目录使用时,对于此目录有w权限的用户在此目录下所创建的目录,其所属组将变成该目录,一般用于协作

       用法: chmod g+s/S file/dir       同上


       注意:SGID有类似递归行的特性,在SGID目录下创建的子目录同样具有SGID权限



  sticky:该权限只针对目录,对文件无任何意义,作用是让用户在目录下创建的文件,只有用户自己和管理员可以删除


       用法:chmod o+t/T  dir            同上

       注意:只是无法删除文件,但是文件的内容数据还是可以影响的,可以通过重定向来影响数据



  针对特殊权限,同样可以用数字来进行设定

  SUID=4  SGID=2  STICKY=1

  chmod X777 file/dir

  chmod X666  。。。



   ps:该命令是查看当前用户进程的命令

      -aux:连别的用户的命令也一并显示出来




文件的隐藏属性


   chattr:给文件目录添加隐藏属性的命令

       -i:文件不能被修改,包括删除,添加等

       -a:文件只能被添加内容,不能修改删除内容

       -R:递归,对目录用

       -v:显示详细

   lsattr:查看文件影藏属性的命令

       -R:递归

       -a:影藏文件的也显示出来

       -d:只查看目录的隐藏属性







本文出自 “博客作业初版” 博客,谢绝转载!

0518 第五节课


推荐阅读
  • 本文探讨了C++编程中理解代码执行期间复杂度的挑战,特别是编译器在程序运行时生成额外指令以确保对象构造、内存管理、类型转换及临时对象创建的安全性。 ... [详细]
  • 通常情况下,修改my.cnf配置文件后需要重启MySQL服务才能使新参数生效。然而,通过特定命令可以在不重启服务的情况下实现配置的即时更新。本文将详细介绍如何在线调整MySQL配置,并验证其有效性。 ... [详细]
  • 本文探讨了如何利用NFC技术,将存储在Android手机中的患者信息安全高效地传输到台式计算机。重点介绍了适用于医院场景的NFC USB读卡器(如ACR122U)的应用方法。 ... [详细]
  • 探讨 HDU 1536 题目,即 S-Nim 游戏的博弈策略。通过 SG 函数分析游戏胜负的关键,并介绍如何编程实现解决方案。 ... [详细]
  • 深入解析动态代理模式:23种设计模式之三
    在设计模式中,动态代理模式是应用最为广泛的一种代理模式。它允许我们在运行时动态创建代理对象,并在调用方法时进行增强处理。本文将详细介绍动态代理的实现机制及其应用场景。 ... [详细]
  • 本题要求在一组数中反复取出两个数相加,并将结果放回数组中,最终求出最小的总加法代价。这是一个经典的哈夫曼编码问题,利用贪心算法可以有效地解决。 ... [详细]
  • 本文详细介绍了如何解决 Microsoft SQL Server 中用户 'sa' 登录失败的问题。错误代码为 18470,提示该帐户已被禁用。我们将通过 Windows 身份验证方式登录,并启用 'sa' 帐户以恢复其访问权限。 ... [详细]
  • ListView简单使用
    先上效果:主要实现了Listview的绑定和点击事件。项目资源结构如下:先创建一个动物类,用来装载数据:Animal类如下:packagecom.example.simplelis ... [详细]
  • 本文详细介绍了get和set方法的作用及其在编程中的实现方式,同时探讨了点语法的使用场景。通过具体示例,解释了属性声明与合成存取方法的概念,并补充了相关操作的最佳实践。 ... [详细]
  • 深入理解ExtJS:从入门到精通
    本文详细介绍了ExtJS的功能及其在大型企业前端开发中的应用。通过实例和详细的文件结构解析,帮助初学者快速掌握ExtJS的核心概念,并提供实用技巧和最佳实践。 ... [详细]
  • Python自动化测试入门:Selenium环境搭建
    本文详细介绍如何在Python环境中安装和配置Selenium,包括开发工具PyCharm的安装、Python环境的设置以及Selenium包的安装方法。此外,还提供了编写和运行第一个自动化测试脚本的步骤。 ... [详细]
  • 本文详细介绍如何在 iOS 7 环境下申请苹果开发者账号,涵盖从访问开发者网站到最终激活账号的完整流程。包括选择个人或企业账号类型、付款方式及注意事项等。 ... [详细]
  • 主调|大侠_重温C++ ... [详细]
  • 本篇文章介绍如何将两个分别表示整数的链表进行相加,并生成一个新的链表。每个链表节点包含0到9的数值,如9-3-7和6-3相加得到1-0-0-0。通过反向处理链表、逐位相加并处理进位,最终再将结果链表反向,即可完成计算。 ... [详细]
  • 本文探讨了如何利用HTML5和JavaScript在浏览器中进行本地文件的读取和写入操作,并介绍了获取本地文件路径的方法。HTML5提供了一系列API,使得这些操作变得更加简便和安全。 ... [详细]
author-avatar
love28119_529_700
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有