Управление учетными записями и привилегиями в среде Linux

Это пятый день моего участия в августовском испытании обновлений, подробности о мероприятии:Испытание августовского обновления

Вечный ученик, практик и активный собеседник, приверженный пути развития технологий, оригинальный блогер, занятый и иногда ленивый, и подросток, которому иногда скучно, а иногда и смешно.

Добро пожаловать в поиск WeChat »ИТ-путешествие Джейка"Сфокусируйся на!

Оригинальная ссылка:Управление учетными записями и привилегиями в среде Linux

предисловие

В системе Linux учетные записи пользователей делятся на разные типы в соответствии с потребностями управления системой, а их права и роли также различны, в основном это суперпользователи, обычные пользователи и пользователи программ.

Учетная запись пользователя

Суперпользователь: пользователи root являются учетной записью суперпользователя по умолчанию в системе Linux, аналогично пользователю администратора в системе Windows. Только когда выполняется задача управления и обслуживания системы, рекомендуется использовать систему входа в систему пользователя root, а для ежедневных транзакций рекомендуется использовать только обычные учетные записи пользователей.
Обычные пользователи: Учетные записи обычных пользователей должны быть созданы пользователями root или другими пользователями-администраторами, и их разрешения ограничены.Как правило, они имеют полные разрешения только в собственном домашнем каталоге пользователя.
Пользователь программы: при установке системы Linux и некоторых приложений будут добавлены определенные учетные записи пользователей с низким уровнем привилегий. Эти пользователи, как правило, не имеют права входить в систему, а используются только для поддержания нормальной работы системы или программа.

2. Групповой аккаунт

Несколько пользователей группируются вместе на основе определенного отношения для формирования группы пользователей, а учетная запись, используемая для представления всех пользователей в группе, называется групповой учетной записью. Каждая учетная запись пользователя принадлежит хотя бы к одной группе, которая называется базовой группой пользователя. Если пользователь также входит в другие группы, эта группа называется дополнительной группой пользователя.

3. UID и номер GID

Каждая учетная запись пользователя в системе Linux имеет цифровую идентификационную метку, называемую UID. UID используется в качестве основных данных для различения пользователей. В принципе, номер UID каждого пользователя должен быть уникальным. Номер UID учетной записи пользователя root имеет фиксированное значение 0, а номер UID учетной записи пользователя программы по умолчанию составляет от 1 до 499, а номер UID от 500 до 60000 по умолчанию назначается обычным пользователям.

Подобно UID, каждая учетная запись группы также имеет цифровую идентификационную метку, называемую GID.Номер GID учетной записи корневой группы представляет собой фиксированное значение 0, а номер GID учетной записи группы программы составляет 1 ~ 499, 500 ~ 60000 GID. по умолчанию.По умолчанию номер назначается общей группе.

В-четвертых, файл учетной записи пользователя

Существует два основных файла конфигурации, связанных с учетными записями пользователей, а именно /etc/passwd и /etc/shadow. Первый используется для сохранения основной информации, такой как имя пользователя, хост-каталог и оболочка входа в систему, а второй используется для сохранения пароля пользователя, срока действия учетной записи и другой информации. В двух файлах конфигурации каждая строка соответствует учетной записи пользователя, а различные элементы конфигурации разделяются двоеточием «:».

4.1 Формат строки конфигурации в файле passwd

Основная информация об учетных записях всех пользователей в системе хранится в файле /etc/passwd, который представляет собой текстовый файл, и любой пользователь может прочитать его содержимое.

[root@localhost ~]# head -2 /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
[root@localhost ~]# tail -1 /etc/passwd
ftpadmin:x:502:503::/home/ftpadmin:/bin/bash

В начале файла passwd, включая информацию об учетной записи суперпользователя root и каждого пользователя программы, информация о вновь добавленной учетной записи пользователя в системе будет сохранена в конце файла passwd. Каждая строка файла passwd содержит семь полей конфигурации, разделенных двоеточием «:».

Поле 1: Имя учетной записи пользователя. Это также отличительное имя, используемое для входа в систему.
Поле 2: зашифрованная строка пароля пользователя или заполнитель пароля «x».
Поле 3: номер UID учетной записи пользователя.
Поле 4: номер GID базовой групповой учетной записи, к которой она принадлежит.
Поле 5: полное имя пользователя.
Поле 6: Домашний каталог, то есть рабочий каталог по умолчанию, в который входит пользователь.
Поле 7: Оболочка входа и другая информация.

4.2 Формат строки конфигурации в теневом файле

Файл теневой копии называется «файл теневой копии», в котором хранится информация о пароле каждой учетной записи пользователя, поэтому доступ к файлу теневой копии должен быть строго ограничен. По умолчанию только пользователь root может читать содержимое файла, и ему не разрешено напрямую редактировать содержимое файла.

[root@localhost ~]# head -2 /etc/shadow
root:$1$zvbfAo4p$mg5k7oNqxBxzDyQYd.dB3/:17307:0:99999:7:::
bin:*:15980:0:99999:7:::
[root@localhost ~]# tail -1 /etc/shadow
ftpadmin:$6$xf828o4R$ApMz8RE4mV43E7JAsgr9d63B3jEapVqYBpSc7aPTkvcnL8lRGaJhTP.OVI2pq1kHJRGFdqMIvHpTLQgzGT0El0:17308:0:99999:7:::

Каждая строка теневого файла содержит девять полей конфигурации, разделенных двоеточиями «:».

Поле 1: Имя учетной записи пользователя.
Поле 2: Информация о строке пароля, зашифрованная с помощью MD5. Если это «*» или «!!», это означает, что пользователь не может войти в систему. Если это поле пусто, пользователь может войти в систему без пароля.
Поле 3: Время последней смены пароля.
Поле 4: Минимальное количество дней действия пароля. По умолчанию 0, что означает отсутствие ограничений.
Поле 5: Максимальное количество дней действия пароля. Значение по умолчанию — 99999, что означает отсутствие ограничений.
Поле 6: За сколько дней нужно предупредить пользователя об истечении срока действия пароля, по умолчанию 7.
Поле 7: Через сколько дней после истечения срока действия пароля можно отключить этого пользователя.
Поле 8: Время истечения срока действия учетной записи, по умолчанию это пустое число, указывающее, что учетная запись доступна постоянно.
Поле 9: Зарезервированное поле, в настоящее время не имеет специального назначения.

Пять, добавить, удалить, изменить сводку команд учетной записи пользователя

1628081124(1).png

6. Просмотр свойств каталогов и файлов

В модели безопасности файловой системы Linux файлу или каталогу в системе присваиваются два атрибута: права доступа и владелец файла, которые для краткости называются «разрешением» и «атрибуцией». Среди них права доступа включают три основных типа: чтение, запись и исполняемый файл, а атрибуция включает владельца (учетная запись пользователя, которому принадлежит файл) и группу (учетная запись группы, которой принадлежит файл). Система Linux контролирует процесс доступа пользователей к данным в соответствии с правами доступа и атрибуцией файлов или каталогов.

При использовании команды ls с параметром «-l» подробная информация о файле или каталоге будет отображаться в длинном формате, включая такие параметры, как права доступа к файлу и авторство.

[root@localhost ~]# ls -ld /etc /etc/passwd
drwxr-xr-x. 130 root root 12288 10月 19 16:03 /etc
-rw-r--r--    1 root root  1876 5月  22 2017 /etc/passwd

Каталог /etc и файл /etc/passwd принадлежат пользователю root и группе root, а данные в первом поле указывают права доступа к файлу или каталогу, «drwxr-xr-x» и «-rw». -r--r- -" Поле разрешений состоит из четырех частей.

Первый символ: указывает на тип файла, который может быть d (каталог), b (файл блочного устройства), c (файл символьного устройства), «-» (обычный файл), буква «|» (файл ссылки), так далее.;
Символы со 2 по 4: Указывает права доступа пользователя-владельца (пользователя) файла к файлу.
5-7-й символы: указывает права доступа каждого пользователя элемента (группа) в группе файла в файл.
Символы с 8-го по 10-й: Указывает права доступа любого другого пользователя (Другого) к файлу.

Символы разрешений r, w, x используются для файлов, чтобы указать, что они доступны для чтения, записи и выполнения.

Символы разрешений r, w и x могут быть представлены восьмеричными числами 4, 2 и 1 соответственно, указывая на то, что числа необходимо накапливать, когда требуется комбинация разрешений; x" состоит из трех сегментов разрешений, поэтому он представлен как «755».

chmod [ugoa...] [+-=] [rwx] файл или каталог... или chmod nnn файл или каталог...

«ugoa» указывает тип пользователя, для которого установлено разрешение. «u» обозначает владельца файла, «g» обозначает пользователя в группе файла, «o» обозначает любого другого пользователя, а «a» обозначает всех пользователей.
"+-=" указывает действие операции установки разрешений. «+» означает увеличение соответствующих полномочий, «-» означает уменьшение соответствующих полномочий, а «=» означает только установку соответствующих полномочий.
«rwx» — это форма разрешения в виде комбинации символов, которую также можно использовать отдельно;

Опция "-R" команды chmod рекурсивно изменяет атрибуты всех подразделов в указанном каталоге;

Команда chown может установить только владельца и группу или установить владельца и группу одновременно.

chown owner[:[группа владельцев]] файл или каталог...

При одновременной настройке владельца и группы разделяйте имя пользователя и имя группы двоеточием «:». Если вы устанавливаете только группу, вам нужно использовать форму «:имя группы»;

Если вам нужно только установить владельца каталога или файла, вы можете напрямую использовать имя пользователя для указания атрибуции.Вы также можете использовать параметр «-R» для рекурсивного изменения атрибуции каталога.