用户、组群和权限.doc

用户、组群和权限目标学习了本单元后，你应该能够：l 解释Linux的安全模型l 解释用户账号和组群账号的目的l 理解并设置文件权限用户l 每个用户都被分配了一个独特的用户ID号码（UID）其中UID 0代表根用户rootl 用户名和UID被保存在/etc/passwd这个文件中l 当用户登陆时，他们被分配了一个主目录和一个运行的程序（通常是shell）l 若无适当权限，用户无法读取、写入或执行彼此的文件用户的管理 1、system-config-users 通过图形管理界面 2、useradd|userdel|passwd 通过命令创建、删除用户、设置密码。useradd（创建用户）参数 参数: -u uid设置用户的uid号 -g gid 设置用户的gid号-o表示去除uid的唯一性。 eg：useradd -u 1 -o abcdi -d /home/ 设置用户的工作目录，自家目录；默认普通用户的工作目录在/home;root用户的工作目录在/root. -s shell 设置用户的工作shell，默认shell为/bin/bash.其它的shell可以查看/etc/shells文件。 /sbin/nologin: 表示允许远程访问数据，但不允许远程管理系统，一般将samba，ftp，www，mail等账户设置为/sbin/nologin.-r 直接建立一个系统账户（非一般用户） uid 100Shell俗称壳（用来区别于核），是指“提供使用者使用界面”的软件（命令解析器）。它类似于DOS下的userdel（删除用户）参数 -r 将此用户的home目录和邮箱一并删除。 userdel -r aaauserdel cc (rm /home/cc /var/mail/cc -rf)passwd（设置密码）参数 -l 锁用户，冰结账户 -u 解锁cc 更改用户密码。组群l 用户被分配给组群l 每个组群都被分配了一个独特的组群ID号码l GID被保存在/etc/group这个文件中l 每个用户都有他们自己的私有组群每个用户都至少属于一个组群，很可能更多，当创建一个用户时，它默认属于一个和他们的用户名相同的组群，例如创建用户test时，也相应创建了test组群，用户test输入test组群可以被添加到其他族群总来获得额外的存取权限l 组群中的所有用户都可以共享属于该组群的文件groupadd|groupmod|groupdel|gpasswd groupadd参数 -g gid -o 去除gid的唯一性 -r 创建系统账号 groupmod参数 -n new_groupname 改名 groupdel参数 /etc/group /etc/gshadow gpasswd参数 -a 将用户添加到工作组中 gpasswd -a user1 g1 -d 将用户从g1组中删除 gpasswd -d user1 g1用户的相关文件 /etc/passwd 存放着所有用户帐号的信息root:x:0:0:root:/root:/bin/bash1 2 3 4 5 6 71：用户名2：密码验证3：用户ID4：组 ID5：用户的描述信息（非必要）6：用户家目录7：该用户当前的shelleg: username:password:User ID:Group ID:comment:home directory:shell/etc/shadow 是/etc/passwd 的影子文件，和/etc/passwd这两个文件是应该是对应互补的（只允许管理员查看）root:$1$wvR9dMo/$oTrZZ1jvDhlSfcNPo4q.:1425:0:99999:7: : :1 2 3 4 5 6 7 8 91:帐号名称2:经过MD5加密过的密码3:最近更动密码的日期（距1971年1月1日）4:密码不可更改的天数（0 表示随时可更动）5:密码需要重新变更的天数（99999永久有效）6:密码需要变更期限前的警告期限（默认为7天）7:密码过期宽恕时间（过了警告期限的还能使用的天数）8:帐号失效时间 （也采用1971年1月1日来设置）9:系统保留/etc/group 含有关于小组的信息root:x:0:root,marco/etc/skel/* 用户个人配置信息目录 /etc/login.defs 用户登录相关信息 /etc/default/useradd useradd命令的默认参数。/.bashrc bash的初始化脚本，启动bash时，此脚本会自动运行。/.bash_profile 用户个人配置文件，环境变量。/.bash_logout 用户注销时，自动执行的脚本。垃圾清理程写在此文件中。以上三个文件，只对某个特定的用户生效，且在登录时或者打开终端时自动运行，或注销时自动运行。用户和工作组实验： 1、创建用户user1,工作目录为/home/user1，shell为/bin/ksh,uid为8888，gid为1，描述是zhangsan。 2、创建用户admin，工作目录为/admin,shell为/bin/bash,uid为0，gid为0，描述为administrator 3、创建用户lisi，设置只允许远程访问，不允许远程管理。 4、创建工作组group1，并将user1,lishi添加到group1组中。Linux文件安全性l 每个文件都属于一个UID和一个GIDl 三种存取权限类型：进程使用和文件相同的UID来运行（用户，user）进程使用和文件相同的GID来运行（组群，group）所有其他进程（其他，other）权限类型l 在显示权限时，使用了四种符号： r读权限 对于文件：就是具有浏览文件内容的权限 对于目录：就是具有对这个目录进行列表的权限 w写权限 对于文件：就是可以修改文件的内容，但不意味着可以删除文件 对于目录：就是可以在目录下创建文件，删除文件 判断是否可以删除一个文件，依据是否对文件所在目录具有写权限 x执行权限 对于文件：具有执行这个文件的权限，一般是指命令，脚本等可执行文件 对于目录：具有进入该目录- 权限（在r、w或x的位置上）d rwxr-xr-x 4 root root 1024 Feb 13 11:08 boot1 2 3 4 5 6 7 8 1.验证文件为目录或者档案，一般有以下类型：）“d”目录， “-”档案）“l”链接档， “p”数据传输文件）“b”硬件设备 “c”串口或者并口2.文件的权限属性3.链接（确定里面有多少个下一级子目录）4.文件拥有者（不是建立者）5.文件归属组6.文件大小7.修改日期8.文件名称（注意前面带“.”的为隐藏文件）l 文件类型（-）: - 普通文件 d 目录文件 l 符号链接文件 b 块设备 c 字符设备文件 s scoket文件 p pipo管道文件 查看权限l 文件权限可以用ls l命令来查看l 文件类型和权限被一个10个字符长的字符串代表-rwx-r-x- 1 andersen trusted 2948 Oct 11 14:07 myscript解析权限-rwx-r-x- 1 andersen trusted 2948 Oct 11 14:07 myscript所属用户andersen具有读取、写入、执行权限组群trusted中的成员具备读取和执行权限其他用户没有任何权限l 用户掩码umaskumask是从权限中“拿走”相应的位,且文件创建时不能赋予执行权限默认普通帐号的umask 0002 建立文件：664 = 0666-0002 建立目录：775 = 0777 - 0002 默认管理员的umask 0022 建立文件：644 = 0666 - 0022 建立目录：755 = 0777 - 0022 l 特殊权限特权位和粘贴位suid:普通用户在执行具有suid权限的文件时，是以属有者的身份在执行。例如：/bin/ping /bin/mount sgid:任何用户在具有sgid权限位的目录下创建文件或目录时，会自动的继承父目录的工作组。sticky 粘贴位,普通用户a创建的文件只允许a和root用户删除，其它的任何均不可删除。如何计算：suid,sgid,t u=rwx g=rwx o=rwx 1 1 1 111 111 111 7 7 7 7补充权限suid 4 用于表示“x” 小写“s”代表有“x”位sgid 2 用于表示“x” 小写“s”代表有“x”位sticky bit 1 用于表示“x”小写“t”代表有“x”位注意：T或S为大写时，表示相对应的x执行位不存在。改变文件所有者只有根用户（root）才能改变文件的所有者只有根用户（root）或所有者才能改变文件的组群chown命令被用来改变所属用户 chown R 用户名 文件|目录（-R递归修改）chgrp被用来改变所属组群 chgrp R 组群名 文件|目录（-R递归修改）改变权限方法l 符号式方法要改变存取权限模式：chmod R 模式 文件这里的模式是 u、g或o分别代表用户、组群和其他用户 +或-代表授予或拒绝 r、w和x分别代表读取、写入和执行例如： chmod ugo+x myfile（或者chmod +x myfile）：授予所有用户以读取权限 chmod o-wx myfile：拒绝其他用户的写入和执行权限l 数字式方法使用三个数字模式 第一个数字代表所属用户的权限 第二个数字代表群组权限 第三个数字代表其他用户的权限通常把以下数值相加起来计算权限 4代表读取 2代表写入 1代表执行例如： chmod 640 myfile总结l 所有文件都属于一个用户和一个组群l 文件的模式由三类权限构成：用户权限、组群权限以及其他权限l 三种权限可以被授予或拒绝：读取（r）、写入（w）、执行（x）练习1、 以下数字式权限的符号式表达是什么？644、755、000、711、700、777、555、111、600、