3-4 linux 用户及权限管理

1. 安全上下文（secure context）

取决于资源权限和进程权限

分为三种：r:读，w：写，x：执行

每一类用户都有三个权限

文件：

r：可读，可以使用类似cat等命令来查看文件内容

w：可写，可以编辑或者删除此文件

x：可执行，executable， 可以在命令提示符下当做命令提交到内核运行

目录：

r：可以对此目录执行以列出内部所有文件

w：可以在此目录创建文件

x：可以使用cd切换进次目录，也可以使用ls  -l 查看内部文件的详细信息

2. 用户与组的略讲

用户： UID       /etc/passwd  用户信息库，找到用户的ID号

组：GID     /etc/group    找到组的ID号

影子口令：

/etc/shadow    真实用户密码

/etc/gshadow    真实组密码

3. 用户类别

管理员： UID永远是0

普通用户：1-65535。其中系统用户是1--499， 一般用户是500 – 65535

系统用户只是运行进程，没有登录权限。

4. 用户组

管理员组

普通组：系统组和一般组

用户组类别：

私有组：创建用户时，没有指定它所属组，系统会自动地为其创建一个与用户名形同的组

基本组：用户的默认组

附加组（额外组）：默认组以外的其它组

a. 先看访问者与访问文件的宿主是否一样

b. 不一样，看宿组

c. 然后看其它的附加组

补充说明：运行先看它的宿主与文件宿主是否一致，再看运行的宿组是否符合后面的宿组，而不是看两个宿组是否一致

5. 用户信息库详解

如图，/etc/passwd/下，有7个字段

1. account

2. password：如果是X，是密码的占位符，在/etc/shadow 中

3. UID

4. GID，基本组ID

5. GECOS，用户的注释信息

6. home DIR，家目录

7. shell： 用户的默认shell，在 /etc/shells下可以看到

补充：

关于shadow的讲解：

第一位：account

第二位：encrypted password

第一位：$6，表示一种加密方式，$1表示MD5加密方式

加密方法

1. 对称加密：加密和解密使用同一个

2. 公钥加密：每个密码都成对儿出现，一个为私钥（secretkey），一个为公钥（publickey）。有个原理：公钥加密，私钥解密；私钥加密，公钥解密。

3. 单向加密（散列加密）：明文到密文的过程，提取数据特征码，常用于数据完整性校验。这个关系还比较法乱，讲到一个雪崩效应，貌似是指一个数据的改变引来重大改变。还有一个定长输出，有MD5（message digest信息摘要）128位定长输出。SHA1（secure hash algorithm 160位定长输出）

第二位：$是杂质。

第三位：是真实密码

如果遇到两个！，是锁空

6. 添加用户

useradd

注意：下面用到了一个which的概念（ which  查看可执行文件的位置），然后用到了变量的概念$, 其实这个可以用反引号来替代，是反引号。

用法： useradd            USERNAME

加入了一个tom的用户

管理员可以用#passwd   tom来对Tom改密码

下面这个例子，比较全，先建一个Jack，可以看到Jack的信息，然后在密码区域shadow没有密码显示，添加密码之后再看密码

此处看useradd文件。可以修改的。

7. 组格式

组格式如下：

创建一个组， creategroup