文件权限
默认权限分配 umask
umask是通过八进制的数值来定义用户创建文件或目录的默认权限的
安全权限的临界点是,文件默认权限是644,目录默认权限是755
[root@Poppy joker]# umask
0022 根据下面的判断来设置默认的权限分配 if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then umask 002 else umask 022 fi 所以你是root登录的话,umask是022,如果是uid大于199并且uid和gid不同umask就是002 控制umask方法,umask + 权限 文件的权限 666 全部权限 022 umask默认值 644 文件默认权限 目录权限 777 022 755
特殊权限位
setuid位
linux系统基本权限位为9位权限,但还有额外3位权限位,共12位权限
suid s(有x) S 4 用户对应的权限位,用户对应的3位上 sgid s(有x) S 2 用户组对应的权限位,用户组对应的3位上 sticky t(有x) T 1 其他用户对应的权限位 [root@Poppy ~]# ls -l `which passwd` -rwsr-xr-x. 1 root root 27832 Jun 10 2014 /usr/bin/passwd 属主有个s位,也就是suid,就是说执行命令的任意用户可以获得该属主的权限 u+s u-s,suid针对命令和二进制程序的 setgid位 sgid仅对二进制命令有效 执行命令的任意用户可以获得该属组的权限 g+s g-s 黏贴位 其他用户带个t就是黏贴位,像/tmp目录一样 777 如果设置了黏贴位,除非目录的属主和root用户有权限删除它,除此之外其它用户不能删除这个目录
特殊权限对应的数字小结:
suid 4000权限字符s(S),用户位的x位上设置 chmod 4755 /bin/rm 或 chmod u+s joker sgid 2000权限字符s(S),用户组位的x位上设置 chmod 2755 joker.txt 或 chmod g+s joker 粘滞位 1000权限字符t(T),其他用户位的x位上设置 chmod 1777 /tmp 或 chmod o+t /tmp 如果对应位有x,字符权限表现位小写,否则表现为大写
用户管理
Linux是多任务,多用户的系统,每个文件和进程,都需要对应一个用户和用户,linux系统通过uid和gid来识别用户和组的
用户分类
超级用户:uid=0 例如:root
普通用户:uid=500-65535,是由root授权
关联的四个文件:
/etc/passwod /etc/shadow/ /etc/group /etc/gshadow
虚拟用户:uid=1-499
/etc/skel/*文件
存储家目录环境变量信息
[root@Poppy ~]# useradd joker [root@Poppy ~]# cp -a /etc/skel/* /home/joker/ # 并没有执行 [root@Poppy ~]# ls /etc/skel/ -la total 28 drwxr-xr-x. 2 root root 4096 Aug 18 2017 . drwxr-xr-x. 88 root root 12288 Jun 22 15:14 .. -rw-r--r-- 1 root root 18 Dec 7 2016 .bash_logout -rw-r--r-- 1 root root 193 Dec 7 2016 .bash_profile -rw-r--r-- 1 root root 231 Dec 7 2016 .bashrc [root@Poppy ~]# ls -la /home/joker/ total 20 drwx------ 2 joker joker 4096 Jun 22 15:14 . drwxr-xr-x. 3 root root 4096 Jun 22 15:14 .. -rw-r--r-- 1 joker joker 18 Dec 7 2016 .bash_logout -rw-r--r-- 1 joker joker 193 Dec 7 2016 .bash_profile -rw-r--r-- 1 joker joker 231 Dec 7 2016 .bashrc
/etc/skel的作用
1. 可以把通知的呢绒放到skel,让登录的人去看 2. 统一初始化新用户环境变量 3. 出现-bash-4.1$,原因和解决方法家目录环境变量文件没了,要将/etc/skel/*文件拷回/home/joker/即可,注意要用用户,不能用root操作
/etc/login.defs文件
用来定义创建用户时需要的一些用户的配置信息,如创建用户时是否需要家目录,uid和gid的范围,用户及密码的有效期限
[root@Poppy ~]# cat /etc/login.defs |grep -v "#" MAIL_DIR /var/spool/mail PASS_MAX_DAYS 99999 密码有效期 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 最小长度 PASS_WARN_AGE 7 UID_MIN 1000 UID_MAX 60000 SYS_UID_MIN 201 SYS_UID_MAX 999 GID_MIN 1000 GID_MAX 60000 SYS_GID_MIN 201 SYS_GID_MAX 999 CREATE_HOME yes UMASK 077 USERGROUPS_ENAB yes ENCRYPT_METHOD SHA512
用户管理命令
1. useradd 添加用户
/etc/default/useradd ,是在使用useradd添加用户时的一个需要调用的一个默认的配置文件
[root@Poppy ~]# cat /etc/default/useradd # useradd defaults file GROUP=100 依赖于/etc/login.defs的USERGROUPS_ENAB参数,如果为no,则此处控制 HOME=/home INACTIVE=-1 是否启用账号过期停权,-1表示不启用 EXPIRE= 账号终止日期,不设置表示不启用 SHELL=/bin/bash SKEL=/etc/skel 新用户默认的文件存放路径 CREATE_MAIL_SPOOL=yes 是否创建邮箱 useradd -D -s /bin/bash 可以修改默认配置,-D就是指的/etc/default/useradd文件
参数参考:
useradd -u 指定uid -s 指定登录shell /sbin/nologin -c 注释 -d 家目录 -G 属于多个组 -m 创建家目录 -g 属于的主组 -e 指定过期时间 “2018/08/08” -M 不创建家目录
[root@Poppy ~]# useradd -c "描述" -u 1111 -G joker -s /bin/sh -md /lili lili
[root@Poppy ~]# tail -1 /etc/passwd
lili:x:1111:1111:描述:/lili:/bin/sh
2. userdel 删除用户
userdel -r user
-r将家目录也一并删除
/etc/passwod /etc/shadow/ /etc/group /etc/gshadow 里面关于user的信息都会被删除
3. groupadd 添加组
与groupadd 命令有关的文件 /etc/group 用户组相关文件 /etc/gshadow 用户组加密相关文件 -g指定组id groupadd -g 101 user
4. groupdel 删除组
groupdel groupuser
5. passwd 修改密码
不加用户,修改当前用户
/etc/shadow
--stdin 从stdin读入密码 echo "123456"|passwd --stdin joker
6. gpasswd 更改用户组密码
gpasswd 组名即可更改
7. chage 用来设置或修改用户密码有效期限
-l 用户信息,主要读取的是shadow文件 [root@Poppy ~]# chage -l root Last password change : Jun 06, 2018 密码修改时间 Password expires : never 密码过期 Password inactive : never 密码禁用,停用 Account expires : never Minimum number of days between password change : 0 多少天内禁止修改密码 Maximum number of days between password change : 99999 多少天以后修改新密码 Number of days of warning before password expires : 7 密码过期前多少天开始提醒 -E 账号过期时间,写法MM/DD/YY chage -E "20181212" user passwd -n 7 -x 60 -w 10 -i 30 joker min max warning inactive chage -m 7 -M 60 -w 10 -I 30 oldboy
8. usermod 修改用户信息
参数与useradd相同
usermod -L user 冻结
-U user 解冻
附赠 /etc/passwod /etc/shadow/ /etc/group /etc/gshadow里面的每行每段的解释
1)/etc/passwd 的内容理解: 在/etc/passwd 中,每一行都表示的是一个用户的信息;一行有7个段位;每个段位用:号分割,例如: beinan:x:500:500:beinan sun:/home/beinan:/bin/bash linuxsir:x:501:502::/home/linuxsir:/bin/bash 第一字段:用户名(也被称为登录名);在上面的例子中,我们看到这两个用户的用户名分别是 beinan 和linuxsir; 第二字段:口令;在例子中我们看到的是一个x,其实密码已被映射到/etc/shadow 文件中; 第三字段:UID ;请参看本文的UID的解说; 第四字段:GID;请参看本文的GID的解说; 第五字段:用户名全称,这是可选的,可以不设置,在beinan这个用户中,用户的全称是beinan sun ;而linuxsir 这个用户是没有设置全称; 第六字段:用户的家目录所在位置;beinan 这个用户是/home/beinan ,而linuxsir 这个用户是/home/linuxsir ; 第七字段:用户所用SHELL 的类型,beinan和linuxsir 都用的是 bash ;所以设置为/bin/bash ; 2)关于UID 的理解: UID 是用户的ID 值,在系统中每个用户的UID的值是唯一的,更确切的说每个用户都要对应一个唯一的UID ,系统管理员应该确保这一规则。系统用户的UID的值从0开始,是一个正整数,至于最大值可以在/etc/login.defs 可以查到,一般Linux发行版约定为60000; UID 是确认用户权限的标识,用户登录系统所处的角色是通过UID 来实现的,而非用户名,切记; 在Linux 中,root的UID是0,拥有系统最高权限;比如我在/etc/passwd 中把beinan的UID改为0后,你设想会发生什么呢?beinan这个用户会被确认为root用户。beinan这个帐号可以进行所有root的操作; 一般情况下,每个Linux的发行版都会预留一定的UID和GID给系统虚拟用户占用,虚拟用户一般是系统安装时就有的,是为了完成系统任务所必须的用户,但虚拟用户是不能登录系统的,比如ftp、nobody、adm、rpm、bin、shutdown等;预留数量以各个系统中/etc/login.defs 中的 UID_MIN 的最小值为准;比如Fedora 系统 login.defs的UID_MIN是500,而UID_MAX 值为60000,也就是说我们通过adduser默认添加的用户的UID的值是500到60000之间; 2、关于/etc/shadow ; 1)/etc/shadow 概说; /etc/shadow文件是/etc/passwd 的影子文件,这个文件并不由/etc/passwd 而产生的,这两个文件是应该是对应互补的;shadow内容包括用户及被加密的密码以及其它/etc/passwd 不能包括的信息,比如用户的有效期限等;这个文件只有root权限可以读取和操作,权限如下: -r——– 1 root root 1.5K 10月 16 09:49 /etc/shadow 2)/etc/shadow 的内容分析; /etc/shadow 文件的内容包括9个段位,每个段位之间用:号分割;我们以如下的例子说明; beinan:$1$VE.Mq2Xf$2c9Qi7EQ9JP8GKF8gH7PB1:13072:0:99999:7::: linuxsir:$1$IPDvUhXP$8R6J/VtPXvLyXxhLWPrnt/:13072:0:99999:7::13108: 第一字段:用户名(也被称为登录名),在/etc/shadow中,用户名和/etc/passwd 是相同的,这样就把passwd 和shadow中用的用户记录联系在一起;这个字段是非空的; 第二字段:密码(已被加密),如果是有些用户在这段是x,表示这个用户不能登录到系统;这个字段是非空的; 第三字段:上次修改口令的时间;这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔(天数),您可以通过passwd 来修改用户的密码,然后查看/etc/shadow中此字段的变化; 第四字段:两次修改口令间隔最少的天数;如果设置为0,则禁用此功能;也就是说用户必须经过多少天才能修改其口令;此项功能用处不是太大;默认值是通过/etc/login.defs文件定义中获取,PASS_MIN_DAYS 中有定义; 第五字段:两次修改口令间隔最多的天数;这个能增强管理员管理用户口令的时效性,应该说在增强了系统的安全性;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_MAX_DAYS 中定义; 第六字段:提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_WARN_AGE 中定义; 第七字段:在口令过期之后多少天禁用此用户;此字段表示用户口令作废多少天后,系统会禁用此用户,也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用; 第八字段:用户过期日期;此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,帐号永久可用; 第九字段:保留字段,目前为空,以备将来Linux发展之用; 如果更为详细的,请用 man shadow来查看帮助,您会得到更为详尽的资料; 二、关于用户组; 具有某种共同特征的用户集合起来就是用户组(Group)。用户组(Group)配置文件主要有 /etc/group和/etc/gshadow,其中/etc/gshadow是/etc/group的加密信息文件; 1、/etc/group 解说; 文件是用户组的配置文件,内容包括用户和用户组,并且能显示出用户是归属哪个用户组或哪几个用户组,因为一个用户可以归属一个或多个不同的用户组;同一用 户组的用户之间具有相似的特征。 2、/etc/group 内容具体分析 /etc/group 的内容包括用户组(Group)、用户组口令、GID及该用户组所包含的用户(User),每个用户组一条记录;格式如下: group_name:passwd:GID:user_list 在/etc/group 中的每条记录分四个字段: 第一字段:用户组名称; 第二字段:用户组密码; 第三字段:GID 第四字段:用户列表,每个用户之间用,号分割;本字段可以为空;如果字段为空表示用户组为GID的用户名; 我们举个例子: root:x:0:root,linuxsir 注:用户组root,x是密码段,表示没有设置密码,GID是0,root用户组下包括root、linuxsir以及GID为0的其它用户(可以通过/etc/passwd查看);; 2、关于GID ; GID和UID类似,是一个正整数或0,GID从0开始,GID为0的组让系统付予给root用户组;系统会预留一些较靠前的GID给系统虚拟 用户(也被称为伪装用户)之用;查看系统添加用户组默认的GID范围应该查看 /etc/login.defs 中的 GID_MIN 和GID_MAX 值; 我们可以对照/etc/passwd和/etc/group 两个文件;我们会发现有默认用户组之说;即当一个用属于多个组时会有一个默认的组;在创建目录和文件时,会使用默认的用户组; 3、/etc/gshadow 解说; /etc/gshadow是/etc/group的加密资讯文件,比如用户组(Group)管理密码就是存放在这个文件。/etc /gshadow和/etc/group是互补的两个文件;对于大型服务器,针对很多用户和组,定制一些关系结构比较复杂的权限模型,设置用户组密码是极 有必要的。比如我们不想让一些非用户组成员永久拥有用户组的权限和特性,这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性,这时就要用 到用户组密码; /etc/gshadow 格式如下,每个用户组独占一行; groupname:password:admin,admin,…:member,member,… 第一字段:用户组 第二字段:用户组密码,这个段可以是空的或!,如果是空的或有!,表示没有密码; 第三字段:用户组管理者,这个字段也可为空,如果有多个用户组管理者,用,号分割; 第四字段:组成员,如果有多个成员,用,号分割; 举例: beinan:!::linuxsir linuxsir:oUS/q7NH75RhQ::linuxsir 第一字段:这个例子中,有两个用户组beinan用linuxsir 第二字段:用户组的密码,beinan用户组无密码;linuxsir用户组有已经,已经加密; 第三字段:用户组管理者,两者都为空; 第四字段:beinan用户组所拥有的成员是linuxsir ,然后还要对照一下/etc/group和/etc/passwd 查看是否还有其它用户,一般默认添加的用户,有时同时也会创建用户组和用户名同名称; linuxsir 用户组有成员linuxisir ; 如何设置用户组的密码? 我们可以通过 gpasswd 来实现;不过一般的情况下,没有必要设置用户组的密码;不过自己实践一下也有必要;下面是一个为linuxsir用户组设置密码的例子; gpasswd 的用法: gpasswd 用户组 [email=root@localhost]root@localhost[/email] ~]# gpasswd linuxsir 正在修改 linuxsir 组的密码 新密码: 请重新输入新密码: 用户组之间的切换,应该用 newgrp ,这个有点象用户之间切换的su ;我先举个例子: [beinan@localhost ~]$ newgrp linuxsir 密码: [beinan@localhost ~]$ mkdir lingroup [beinan@localhost ~]$ ls -ld lingroup/ drwxr-xr-x 2 beinan linuxsir 4096 10月 18 15:56 lingroup/ [beinan@localhost ~]$ newgrp beinan [beinan@localhost ~]$ mkdir beinangrouptest [beinan@localhost ~]$ ls -ld beinangrouptest drwxrwxr-x 2 beinan beinan 4096 10月 18 15:56 beinangrouptest 说明:我是以beinan用户组切换到linuxsir用户组,并且建了一个目录,然后再切换回beinan用户组,又建了一个目录,请观察两个目录属用户组的不同;还是自己体会吧;
用户登录信息查询
# w 显示谁登录,并且在做什么 [root@Poppy ~]# w 16:20:10 up 16 days, 2:10, 3 users, load average: 0.00, 0.01, 0.05 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 61.149.21.148 14:16 1:48m 0.04s 0.04s -bash root pts/2 61.149.21.148 15:13 53:06 0.01s 0.01s -bash root pts/3 61.149.21.148 16:16 2.00s 0.01s 0.00s w # last 根据的是/var/log/wtmp文件 [root@Poppy ~]# last root pts/3 61.149.21.148 Fri Jun 22 16:16 still logged in root pts/2 61.149.21.148 Fri Jun 22 15:13 still logged in root pts/0 61.149.21.148 Fri Jun 22 14:16 still logged in root pts/0 61.149.21.148 Fri Jun 22 14:12 - 14:16 (00:03) root pts/0 123.122.218.236 Thu Jun 21 22:34 - 02:24 (03:50) # lastlog 根据/var/log/lastlog文件,计算机用户最近登录的情况 rsync pts/1 Wed Jun 6 18:35:01 +0800 2018 www **Never logged in** redis **Never logged in** # groups user 用户属于哪个组 [root@Poppy ~]# groups root root : root # users 用户的组信息,但是好像没啥用 # env|grep -i 用户,查看用户的环境变量 [root@Poppy ~]# su - joker Last login: Fri Jun 22 21:33:00 CST 2018 on pts/2 [joker@Poppy ~]$ env |grep -i joker USER=joker MAIL=/var/spool/mail/joker PATH=/application/mysql/bin/:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin:/home/joker/.local/bin:/home/joker/bin PWD=/home/joker HOME=/home/joker LOGNAME=joker # su 命令 su - 用户,希望你加-,-相当于用户的环境变量,就是切换成了用户的环境变量 # su - 用户 -c command,还在当前,但是我内部在用户执行了个命令,多用于开机启动的命令,在任务计划里面
sudo
我们可以把某些超级用户权限分类有针对性授权给指定的普通用户,并且普通用户不需要知道root密码就可以使用得到的授权。
sudo提权实现没有权限的用户执行命令 首先,配置sudoers: 终端命令;visudo,相当于vim 配置文件/etc/sudoers 在第98行如下 ## Allow root to run any commands anywhere 用户或者组 机器=授权角色 可执行命令 root ALL=(ALL) ALL joker ALL=(ALL) /usr/bin/passwd @group ALL=(ALL) ALL user ALL=(ALL) NOPASSWD:ALL 解释: 第一个ALL代表机器,就是所有机器,第二个ALL代表所有角色,第三个ALL代表可以执行所有命令,NOPASSWD代表提权命令时不需要提示密码 注意; 如果,提示命令找不到,很可能是环境变量导致 root下,echo $path user下,echo $path 在user下,修改vi ~/.bash_profile,将/usr/local/sbin:/sbin:/usr/sbin加入进去 sudo -l 查看用户有什么权限 visudo -c 检查语法
/etc/sudoers配置文件
# 主机别名 ## Host Aliases ## Groups of machines. You may prefer to use hostnames (perhaps using ## wildcards for entire domains) or IP addresses instead. # Host_Alias FILESERVERS = fs1, fs2 # Host_Alias MAILSERVERS = smtp, smtp2 # 用户别名 ## User Aliases ## These aren't often necessary, as you can use regular groups ## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname ## rather than USERALIAS # User_Alias ADMINS = jsmith, mikem # 用户身份别名 Runas_Alias OP = root # 命令别名 ## Command Aliases ## These are groups of related commands... ## Networking # Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool ## Installation and management of software # Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum # 缩写 User_Alias JJADMINS = joker Cmnd_Alias SYSTEMCMD = /bin/ping,/bin/grep,/bin/tail,/bin/cat Runas_Alias OP = root JJADMINS ALL=(OP) SYSTEMCMD
别名要大写
命令路径要用全路径
用“\”换行
sudo审计日志
凡是sudo执行的命令都会被记录到日志 [root@Poppy ~]# rpm -qa sudo rsyslog rsyslog-7.4.7-16.el7.x86_64 sudo-1.8.6p7-23.el7_3.x86_64 [root@Poppy ~]# Defaults logfile=/var/log/sudo.log >> /etc/sudoers [root@Poppy ~]# cat /var/log/sudo.log Jun 22 22:28:54 : joker : TTY=pts/2 ; PWD=/home/joker ; USER=root ; COMMAND=/bin/ping baidu.com Jun 22 22:29:03 : joker : TTY=pts/2 ; PWD=/home/joker ; USER=root ; COMMAND=/bin/cat