第5节_了解linux用户、组和文件权限.ppt

1,了解Linux用户、组和文件权限,2,目标：1.访问和使用YaST2.描述基本linux用户安全功能3.管理linux用户和组4.管理并保护linux用户环境5.使用权限保护文件和目录6.使用ACL进行高级访问控制7.了解linux用户鉴定,3,YaST(yetanothersetuptool)：YaST是suselinux特有的一个配置，安装，管理工具。你可以使用YaST配置系统大部分硬件、图形用户界面、因特网访问、安全性设置、用户管理、软件安装、系统更新和系统信息等。,4,YaST启动方式,GUI界面启动YaST选择YaST图标启动从终端窗口输入yast2按下ALT+F2、键入yast2此外还可以通过输入启动模块名称进行启动yast2-l/列出yast有哪些模块yast2module_name/告诉YaST启动哪个模块文本界面（ncurses）启动YaST作为根用户，输入yast即可启动。,5,SuSEconfig角色,将YaST视为各程序的前端，SuSEconfig作为YaST的后端。在进行程序配置过程中首先将输入的信息写入目录/etc/sysconfig/下的文件中，然后再写入最终目标文件。SuSEconfig根据/etc/sysconfig目录下的各个文件的变量置来配置最终的系统，它位于yast的后端，激活用yast修改的配置。,6,目标2：描述基本linux用户安全功能,Linux操作系统的一个主要特点是能够同时处理多个用户，并允许这些用户在同一计算机上同时执行多项任务。,7,文件系统安全性组件,用户：系统访问控制的一个最小单位,在Linux里面用户是私有的帐号组：组是用户的一个集合,当一个用户被创建的时候,他就会被分配个某些预定义的组,一个用户至少要属于一个组,但是它也可以属于很多组,但是只有一个组是primary组.所有权：文件或者文件夹的创建者默认就会成为该文件和文件夹的所有者，所有权只能由根用户手工修改。权限：权限决定了用户对文件或目录的访问权。,8,由于操作系统对数字处理能力优于字符串，因此在linux系统内部将用户和组作为数字来管理。对于根用户，它的UID始终为0，对于普通用户UID编号默认从1000开始。组用户的GID编号默认也是从1000开始。,9,可以使用命令id用户名查看用户信息。可以使用groups用户名查看用户所在组信息。可以实验finger用户名获得有关用户更多信息。,10,根用户主目录在/root/下其他用户主目录在/home/下，都拥有自己的目录。主目录可以确保个人数据和桌面设置仅供用户访问。,11,普通用户VS系统用户：普通用户：是我们为了维护一个安全的系统环境而创建,我们创建他是让该用户通过用户名密码登录到linux系统。系统用户：这类用户通常是在安装的过程中产生的,他一般被一些服务,应用程序所使用,让这些服务有权限去访问一些数据,系统用户一般是有rpm包中的脚本来完成的.比如apache2创建的系统用户wwwrun。,12,用户和组配置文件,Linux系统将所有用户和组的配置数据保存在以下文件中：用户口令文件/etc/passwd文件权限：(-rw-r-r-)用户影子口令文件/etc/shadow文件权限：(-rw-r-)组账号文件/etc/group文件权限：(-rw-r-r-),13,用户和组配置文件,/etc/passwd用户账号相关信息：此文件中每行定义一个用户账号，一行中又划分多个字段定义账号不同属性，各字段用“：”分隔,14,成功创建一个新用户以后，在/etc/passwd文件中就会增加一行该用户的信息，其格式如下：用户名:密码：UID：GID：身份描述：主目录：登陆Shell其中各字段被冒号“：”分成7个部分。,15,用户和组配置文件,/etc/shadow文件保存加密的用户口令和口令失效信息。仅根用户可以修改此文件。,16,17,/etc/group文件保存组信息。文件每一行表示一组记录，包括组名、GID和组的成员，（组成员显示次组成员）例如：video:x:33:geeko,tux组名是video，组ID是33，组成员有geeko和tux。x表示口令字段。,18,使用yast创建用户,操作步骤详见书5-9至5-13,19,从命令行管理用户账户,1.增加用户帐号命令格式：useradd常用选项：-m：创建用户主目录。-g：指定新用户的主组。-G：指定新用户的附加组。-d：指定新用户的主目录。-s：指定新用户使用的Shell，默认为bash。-e：指定用户的登录失效时间，例如：2006-12-31-u：指定新用户的UID。,20,2.修改用户账号usermod命令格式：usermod常用选项：-c：修改用户帐号的备注文字。-d：修改用户登入时的目录。-e:修改帐号的有效期限。-f：修改在密码过期后多少天即关闭该帐号。-g：修改用户所属的群组。-G：修改用户所属的附加群组。-l：修改用户帐号名称。-L:锁定用户密码，使密码无效。-U：解除密码锁定。-u：修改用户ID。,21,3.删除用户userdel命令格式：userdel常用选项：-r将用户目录下的文档及邮件文件一并删除。但是属于此用户的但不在其主目录内的文件或目录，仍需要我们自己搜索出来并手动删除。我们可以使用这个命令来完成这件事：find/-uid-execrm;,22,4.组增加命令groupadd命令格式：groupadd常用选项：-r：用于创建系统组账号（GID小于500）-g：用于指定GID5.组账号修改groupmod命令格式：groupmod6.删除组账号groupdel命令格式：groupdel只能删除那些没有被任何用户指定为主组的组。,23,7、更改用户口令-passwd命令格式：passwd主要选项：-l：锁定已经命名的账户名称-u：解开账户锁定状态-x,-maximum=DAYS：最大密码使用时间（天）-n,-minimum=DAYS：最小密码使用时间（天）-d：删除使用者的密码-S：检查指定使用者的密码认证种类以上选项只有具备超级用户权限的使用者方可使用,24,目标4：管理并保护linux用户环境,以根用户执行管理任务！,作为系统管理员，建议你以普通用户身份登录，且仅在执行需要使用根用户权限的任务时再切换为根用户。可以使用su命令进行用户间切换。su加选项-c，可以切换用户执行一条命令后再返回。例：su-c“grepgeeko/etc/shadow”,25,一个用户可以同时属于很多个组，但是只有一个组是有效组（primary组），通常该组是在/etc/passwd中指定。使用newgrp或sg命令:修改自己的有效组id(primarygroup)newgrp组名或组IDsg组名或组ID注意：如果目标组没有密码，那么只有组成员能够作这个修改。如果有密码，那么知道密码的用户都可以改。可以输入exit或按ctrl+D撤销上一次的更改。,26,从KDE作为另一个用户启动程序在KDE桌面按ALT+F2，启动命令行对话框，输入要运行的命令。选择另一个用户运行，输入口令。,27,使用sudo委托管理任务,有时候，管理员希望分担一些管理任务给普通用户，但是呢，又不想让他们每次执行任务的时候都用我的root帐号，那我还得告诉每个人root的密码，岂不是失去了安全的意义（比如你要休假了）sudo可以让一个普通用户能够执行一个平时没有权限执行的管理任务。比如sudo/sbin/shutdown-hnow,28,sudo怎么做到的？那是不是所有的普通用户都能通过sudo为所欲为呢？sudo它是通过读取一个配置文件/etc/sudoers来判断当前的用户是否有权限通过sudo来执行这个命令。管理员可以通过visudo命令来编辑这个文件。,29,使用sudo委托管理任务,sudo委托管理任务：授权普通用户执行部分管理任务。sudoers配置文件由两种类型的实体组成:别名(基本变量)用户说明(userspecification)(定义了谁能运行什么).用户说明规则语法：用户/组主机=命令1，命令2.,30,使用sudo委托管理任务,注意：用户/组主机=命令1，命令2.如果命令是一个文件名，那么用户可以随意携带任何参数执行该命令如果命令是一个目录地址，那么用户可以执行该目录下所有的命令（不包括子目录）如果想让用户只能携带某个参数执行命令，那么你需要在命令后面给出具体的参数如果不想让用户执行命令的时候携带参数，那么命令后面接”主机=NOPASSWD:命令1，命令2.,31,使用sudo委托管理任务,默认sudoers配置：%usersALL=(ALL)ALL：允许所有用户可以以任何用户的身份（默认是root）在所有的主机上执行所有的命令Defaultstargetpw:要求输入管理员密码,如果屏蔽则要求输入实际用户的密码,32,使用sudo委托管理任务,33,Sudo实验:1.新建三个用户user1(111111),user2(222222),user3(333333)2.suuser13.passwduser2(看一下是什么结果)4.sudopasswduser2(会提示输入密码，默认管理员密码),34,visudo编辑/etc/sudoers文件：1.屏蔽defaultstargetpw2.屏蔽%usersALL=.3.添加user1ALL=/usr/bin/passwduser24.添加user2ALL=NOPASSWD:/usr/bin/passwduser15.添加user3ALL=NOPASSWD:/usr/bin/passwd,35,配置安全性设置,口令设置引导设置登录设置用户创建设置文件权限详细操作步骤见书5-19至5-24,36,目标5：使用权限保护文件和目录,权限和权限值如何从命令行设置权限如何从GUI设置权限如何修改默认访问权限如何配置特殊文件权限如何配置ext2的更多文件特性,37,目标5：使用权限保护文件和目录,权限和权限值：读(r)：读取文件的内容；列出目录里的对象写(w)：允许修改文件；在目录里面新建或者删除文件。执行(x)：允许执行文件；允许进入目录里。,root不受限制,38,数字权限值：除了用字母rwx来表示权限，还可以使用3位数字来表达文件或目录的权限。每个数字是相应对象指派的以下三个值的和：读：4写：2执行：1,39,如何从命令行设置权限：chmod:修改文件或者目录的权限(符号或者数字)说明：可以使用此命令添加、删除文件或目录的权限，还可以指派权限。文件所有者和根用户都可以使用该命令。语法：chmod选项符号filenamechmod选项数值filename选项：-R递归修改或设置文件、目录及其子目录的访问特权。-f强制改变文件访问特权；如果是文件的拥有者，则得不到任何错误信息,40,符号格式为，其中who、operator和privilege的可能取值如表所示。,41,42,数值格式中：第一位数字表示指派给文件或目录所有者的权限。第二位表示指派给文件及目录相关的组的权限。第三位数字表示指派给其他用户的权限。,43,如何从GUI界面设置权限,44,如何修改默认访问权限？,用户新建文件或者目录的系统初始权限是什么？系统默认创建文件的权限是666，默认创建目录的权限是777。能不能修这个默认的初始权限呢？我们可以用umask来修改你创建文件或目录的缺省权限！,45,如何修改默认访问权限？,使用方法：首先确定umask使用的对于目录的最大的权限是777，即rwxrwxrwx；而对于文件最大的权限是666，即rw-rw-rw-；如果我们运行命令：umask022，则022与目录的最大权限值777进行异或运算，所以建立的新目录缺省权限为：755，即rwxr-r-；而对于新建立的文件则是022与文件的最大权限值666进行异或运算，所建立的新文件的缺省权限为：644，即rw-r-r-；,46,如何修改默认访问权限？,47,如何修改默认访问权限？,需要特别说明：对于文件的执行权限（即x权限）使用umask命令是无法使其起作用的，系统强制关闭文件的x缺省执行权限。如果想使文件有运行权限，只能由chmod命令进行设置。PS:运行umask命令只对于当前shell环境起作用，重新登录后恢复到系统默认的缺省权限，如果想每次登录后都使用自己设置的缺省权限，将umask命令添加到你的.profile文件中即可。,48,更改文件或目录的所有者和组,chown:更改文件或目录的所有者和组chown新的用户.新的组文件（：和.都可以，但是中间不能有空格)同时更改文件的用户和组）例：将文件file的所有者和组改成student和stuchownstudent.stufilechown新的用户文件（只更改所有者，而不更改组）例：将文件file的所有者改成studentchownstudentfilechown.新的组文件（只更改组，而不更改用户）例：将文件file的组改成stuchown.stufilechgrp：更改文件的组,49,如何配置特殊文件权限？,下列三种特性用于特殊情况（在没有执行权限时使用大写字母）,50,设置特殊权限,为目录/home/share添加粘滞位权限chmodo+t/home/sharechmod1755/home/share为文件/usr/bin/myapp添加SUID权限chmodu+s/usr/bin/myappchmod4755/usr/bin/myapp为目录/home/groupspace添加SGID权限chmodg+s/home/groupspacechmod2755/home/groupspace,51,课堂练习题,1.Linux文件权限一共10位长度，分成四段，第三段表示的内容是（）。A.文件类型B.文件所有者的权限C.文件所有者所在组的权限D.其他用户的权限2对名为fido的文件用chmod551fido进行了修改，则它的许可权是（）。A.-rwxr-xr-xB.-rwxr-rC.-r-r-rD.-r-xr-x-x,52,课堂练习题,3某文件的组外成员的权限为只读；所有者有全部权限；组内的权限为读与写，则该文件的权限为()。A467B674C476D7644系统中有用户user1和user2，同属于users组。在user1用户目录下有一文件file1，它拥有644的权限，如果user2用户想修改user1用户目录下的file1文件，应拥有（）权限。A744B664C646D7465关于建立系统用户的不正确描述是（）A在Linux系统下建立用户使用useradd命令B每个系统用户分别在/etc/passwd和/etc/shadow文件中有一条记录C访问每个用户的工作目录使用命令“cd/用户名”D每个系统用户在默认状态下的工作目录在/home/用户名,53,目标6：使用ACL进行高级访问控制,什么是ACL?AccessControlList访问控制列表扩展了传统的文件权限概念！,54,文件temp的文件所有者是user1，所有组是users，用户geeko属于users组，现在如果想给用户geeko设置对文件的写入权限，但是又不想把给写入权限分给users组其他用户，该怎么设置？,55,56,重要的ACL术语:访问ACL:各种文件系统对象的用户和组的访问权限由访问ACL来决定。默认ACL:默认ACL只能应用于目录，它决定了文件系统对象在创建时从父目录继承的权限(文件继承它作为自己的访问ACL,子目录继承它为自己的访问ACL和默认ACL)。ACL实体：每一个ACL都是由一系列的ACL实体组成。一条ACL实体就是一条记录。,57,ACL类型:最小ACL:和传统的权限概念一样，该ACL也只含有所有者，所属组和其他用户的权限。扩展ACL:扩展ACL比较丰富，它可以包括一个掩码项，还包含多个已命名用户和已命名组类型的项。,58,ACL通过以下权限类型扩展典型linux文件权限：已命名用户。使用该类型可以将权限指派给一个或多个用户。已命名组。使用该类型可以将权限指派给一个或多个组。掩码。使用该类型可以限制已命名用户或组的权限。,59,ACL类型,60,MASK的作用：mask会影响nameduser,namedgroup,group实体的权限(实际有效权限为二者逻辑与的结果)。,61,ACL和权限的映射关系：当你设置了ACL以后，ACL中权限会映射到linux标准的权限位，而且是双向的！下面是最小ACL映射：,62,扩展ACL映射：,63,ACL命令行工具getfacl:显示文件或者目录的acl(即使该文件系统不支持acl，也会显示该对象的权限位)setfacl:更改和创建文件或者目录的acl-m添加或者修改对象的acl实体-x删除对象的acl实体-d设置defaultacl-b删除所有扩展acl实体,64,已命名用户：setfaclmu:username:rxfile已命名组：setfaclmg:groupname:rxfile掩码：setfaclmm:rxfile,65,如果是多个命名用户和命名组，能否在一个语句中写完呢？你可以在m后面加上所有的实体，只要每个实体之间用逗号隔开即可。能否一次配置多个对象的ACL?只要多个对象以空格符分隔开即可。,66,67,如何使用默认acl配置目录默认acl对文件和子目录的影响：子目录继承父目录的默认acl作为自己的默认acl和访问acl文件只继承父目录的默认acl作为自己的访问acl,68,如何使用默认ACL配置目录,选项-d提示setfacl在默认ACL中执行以下修改-m,69,70,71,ACL检查算法：在为任何进程或应用程序授予访问受ACL保护的文件系统对象的权限之前，将应用检查算法。作为一条基本规则，按照以下顺序检查：拥有者、已命名用户、所属组或已命名组，其他。如果某个进程属于多个组并且属于多个组项，情况会更加复杂，这时将从所具有的权限里随机选择一个。,72,应用程序对ACL的处理：支持ACL：操作以后ACL记录不变基本的文件命令，如cp、mv、ls等支持acl。不支持ACL:操作以后ACL记录会丢失但是有点编辑器或文件管理器如：konqueror却不支持ACL,73,目标7:了解Linux用户鉴定,应用程序如何去鉴定一个用户的合法性？早先时期，需要对用户进行验证的应用程序，必须把代码和某种验证机制编译到一起。例如，ftp服务器使用密码对用户进行校验，就要在程序中编译进这种认证机制。鉴定手法越来越多，应用程序怎么办？智能卡，指纹，密钥。,74,LINUX系统的鉴定基于可插拔鉴定模块（PAM）。什么是PAM?Linux-PAM(PluggableAuthenticationModulesforLinux.基于Linux的可插拔验证模块)是一组共享库，使用这些模块，系统管理者可以自由选择应用程序使用的验证机制。也就是说，勿需重新编译应用程序就可以切换应用程序使用的验证机制。,75,1.是否可以把PAM用于任何需要验证的程序？要看程序是否支持pam2.怎样才能区分程序是否使用了PAM验证！使用ldd命令（打印出每个应用程序用到的共享库），如果这个程序的使用的动态连接库没有libpam和libpam_misc，那它肯定不使用PAM验证。,76,PAM模块位于/lib/security目录下，模块中每个文件名的前缀都是pam_。PAM的配置在目录/etc/pam.d下完成，该目录包含使用PAM的每个应用程序的配置文件。这里有个特殊配置文件other，如果未找到特定于应用程序的文件，则该文件包含默认配置。,77,PAM支持的四种管理界面：1、认证管理（authenticationmanagement）主要是接受用户名和密码，进而对该用户的密码进行认证，并负责设置用户的一些信息。2、帐户管理（accountmanagement）主要是检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的限制等等。3、密码管理（passwordmanagement）主要是用来修改用户的密码。4、会话管理（sessionmanagement）主要是提供对会话的管理和记账（accounting）。这类模块是处理为用户提供服务之前/后需要做的一些事情，包括：记录打开/关闭交换数据的信息，监视目录等。,78,本节内容总结,目标：1.访问和使用YaST2.描述基本linux用户安全功能3.管理linux用户和组4.管理并保护linux用户环境5.使用权