介紹安全3A

資源分派：認(rèn)證，授權(quán)，審計(jì)

超過十年行業(yè)經(jīng)驗(yàn)，技術(shù)領(lǐng)先，服務(wù)至上的經(jīng)營模式，全靠網(wǎng)絡(luò)和口碑獲得客戶，為自己降低成本，也就是為客戶降低成本。到目前業(yè)務(wù)范圍包括了：成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)，成都網(wǎng)站推廣，成都網(wǎng)站優(yōu)化，整體網(wǎng)絡(luò)托管，微信小程序，微信開發(fā)，手機(jī)APP定制開發(fā)，同時(shí)也可以讓客戶的網(wǎng)站和網(wǎng)絡(luò)營銷和我們一樣獲得訂單和生意！

用戶和組

用戶user

組group

組的類別

主（要）組：一個(gè)用戶必須屬于一個(gè)組作為主組
輔助組/附加組/附屬組：可有可無，可以多個(gè)，附加組，附屬組

安全上下文

用戶和組的配置文件

 /etc/passwd：用戶及其屬性信息(名稱、UID、主組ID等） 
 /etc/group：組及其屬性信息 
 /etc/shadow：用戶密碼及其相關(guān)屬性 
 /etc/gshadow：組密碼及其相關(guān)屬性

passwd文件格式

login name：登錄用名（wang） ?
passwd：密碼  (x) ?
UID：用戶身份編號(hào) (1000) ?
GID：登錄默認(rèn)所在組編號(hào)  (1000) ?
GECOS：用戶全名或注釋 ?
home directory：用戶主目錄 (/home/wang) ?
shell：用戶默認(rèn)使用shell (/bin/bash)

shadow文件格式

登錄用名 ?
用戶密碼:一般用sha512加密 ?
從1970年1月1日起到密碼最近一次被更改的時(shí)間 ?
密碼再過幾天可以被變更（0表示隨時(shí)可被變更） ?
密碼再過幾天必須被變更（99999表示永不過期） ?
密碼過期前幾天系統(tǒng)提醒用戶（默認(rèn)為一周） ?
密碼過期幾天后帳號(hào)會(huì)被鎖定 ?
從1970年1月1日算起，多少天后帳號(hào)失效
群組名稱：就是群的名稱 ?
群組密碼： ?
組管理員列表：組管理員的列表，更改組密碼和成員 ?
以當(dāng)前組為附加組的用戶列表：多個(gè)用戶間用逗號(hào)分隔

group文件格式

群組名稱：就是群組名稱 ?
群組密碼：通常不需要設(shè)定，密碼是被記錄在 /etc/gshadow  ?
GID：就是群組的 ID  -
以當(dāng)前組為附加組的用戶列表(分隔符為逗號(hào))

例:用戶和組查看配置文件

finger

查看用戶的相關(guān)信息
例：查看用戶wang的下相關(guān)信息

getent

只看指定用戶的相關(guān)信息
例:看root，wang的相關(guān)信息

文件操作

vipw和vigr ?
pwck和grpck

用戶和組管理命令

用戶管理命令 ?
        useradd ?
        usermod ?
        userdel ?
組帳號(hào)維護(hù)命令 ?
        groupadd ?
        groupmod ?
        groupdel

useradd

用戶創(chuàng)建
常用選項(xiàng)

新建用戶的相關(guān)文件和命令

/etc/default/useradd  ?
/etc/skel/*  ?
/etc/login.defs ?newusers  passwd格式文件  批量創(chuàng)建用戶  
chpasswd  批量修改用戶口令

批量修改用戶密碼

usermod

用戶屬性修改

usermod [OPTION] login 
        -u UID: 新UID  
        -g GID: 新主組  
        -G GROUP1[,GROUP2,...[,GROUPN]]]：新附加組，原來的附加組將會(huì)被 覆蓋；若保留原有，則要同時(shí)使用-a選項(xiàng)  
        -s SHELL：新的默認(rèn)SHELL  
        -c 'COMMENT'：新的注釋信息  
        -d HOME: 新家目錄不會(huì)自動(dòng)創(chuàng)建；若要?jiǎng)?chuàng)建新家目錄并移動(dòng)原家數(shù)據(jù)， 同時(shí)使用-m選項(xiàng)  
        -l login_name: 新的名字  
        -L: lock指定用戶,在/etc/shadow 密碼欄的增加 !   
        -U: unlock指定用戶,將 /etc/shadow 密碼欄的 ! 拿掉  
        -e YYYY-MM-DD: 指明用戶賬號(hào)過期日期  
        -f INACTIVE: 設(shè)定非活動(dòng)期限

追加附加組

刪除附加組

userdel

刪除用戶

id

查看用戶相關(guān)的ID信息

     -u: 顯示UID  
     -g: 顯示GID  
     -G: 顯示用戶所屬的組的ID  
     -n: 顯示名稱，需配合ugG使用

su

切換用戶或以其他用戶身份執(zhí)行命令

設(shè)置密碼

passwd :修改指定用戶的密碼

常用選項(xiàng)

-d：刪除指定用戶密碼
-l：鎖定指定用戶
-u：解鎖指定用戶
-e：強(qiáng)制用戶下次登錄修改密碼
-f：強(qiáng)制操作
-n mindays：指定最短使用期限
-x maxdays：大使用期限
-w warndays：提前多少天開始警告
-i inactivedays：非活動(dòng)期限
--stdin：從標(biāo)準(zhǔn)輸入接收用戶密碼
示例：echo "PASSWORD" | passwd --stdin USERNAME

組

groupadd ：創(chuàng)建組

groupdel :刪除組
groupmod ：組屬性修改

gpasswd ：組密碼

newgrp：臨時(shí)切換主組, 如果用戶本不屬于此組，則需要組密碼

更改和查看組成員

groups :查看用戶所屬組列表成員

修改文件的屬主和屬組

chown

修改文件的屬主

chgrp

修改文件的屬組

文件權(quán)限

文件屬性

三種權(quán)限

chown

修改所有者

chmod

修改文件權(quán)限（rwx|X）

文件：
r 可使用文件查看類工具獲取其內(nèi)容
w 可修改其內(nèi)容
x 可以把此文件提請內(nèi)核啟動(dòng)為一個(gè)進(jìn)程 ?
目錄：
r 可以使用ls查看此目錄中文件列表
w 可在此目錄中創(chuàng)建文件，也可刪除此目錄中的文件
x 可以使用ls -l查看此目錄中文件元數(shù)據(jù)（須配合r），可以cd進(jìn)入此目錄
X 只給目錄x權(quán)限，不給文件x權(quán)限

chmod

-R: 遞歸修改權(quán)限 ?
MODE： 修改一類用戶的所有權(quán)限
u= g= o= ug= a= u=,g=
修改一類用戶某位或某些位權(quán)限
u+ u- g+ g- o+ o- a+ a- + - ?
chmod [OPTION]... --reference=RFILE FILE...
參考RFILE文件的權(quán)限，將FILE的修改為同RFILE

權(quán)限設(shè)置示例

chgrp sales testfile ?
chown root:admins testfile ?
chmod u+wx,g-r,o=rx file ?
chmod -R g+rwX /testdir ?
chmod 600 file ?
chown mage testfile

去掉wang賬號(hào)所有者的讀寫權(quán)限，去掉所屬組的寫權(quán)限，去掉其他的寫權(quán)限

給wang賬號(hào)所有者加上讀寫執(zhí)行權(quán)限

chmod -X

只針對文件夾加權(quán)限

新建文件和目錄的默認(rèn)權(quán)限

umask

可以用來保留在創(chuàng)建文件權(quán)限
對應(yīng)的權(quán)限位遮掩住， 666|777 umask=000,新建文件基于安全原因，不允許有執(zhí)行權(quán)限

簡捷方法

默認(rèn)權(quán)限：
目錄=777-umask
文件=666-umask , 觀察結(jié)果有奇數(shù)+1

將umask寫入文件保存：

練習(xí)

建一個(gè)臨時(shí)權(quán)限為000的文件，臨時(shí)改umask的權(quán)限

umask -S 以模式方式顯示

例:

umask -p : 輸出結(jié)果可被調(diào)用

例：直接寫入 .bashrc文件

Linux文件系統(tǒng)上的特殊權(quán)限

可執(zhí)行文件上SUID權(quán)限

可執(zhí)行文件上SGID權(quán)限

Sticky 位

權(quán)限位映射

設(shè)定文件特定屬性

例:

ACL訪問控制列表

實(shí)現(xiàn)靈活的權(quán)限管理除了文件的所有者，所屬組和其它人，可以對更多的用戶設(shè)置權(quán)限

ACL權(quán)限生效次序：

所有者，ACL中自定義用戶，ACL自定義的組，所屬組，other
注意：

setfacl

是用來在命令行里設(shè)置ACL（訪問控制列表）
例：給wang賬號(hào)設(shè)置ACL權(quán)限

getfacl

查看文件權(quán)限

mask

設(shè)置除所有者和other以外的用戶或組的高權(quán)限
加了ACL權(quán)限后組權(quán)限是mask權(quán)限 而不是group組權(quán)限

mask權(quán)限限高桿，其他用戶的權(quán)限不能超過mask權(quán)限
例:

setfacl -x：

例：去掉wang賬戶的權(quán)限

setfacl -b

清除文件上所有ACL權(quán)限
例: 清除a.log文件上所有ACL權(quán)限

set

選項(xiàng)會(huì)把原有的ACL項(xiàng)都刪除，用新的替代，需要注意的是一定要包含 UGO的設(shè)置，不能象-m一樣只是添加ACL就可以
例:

備份和回復(fù)ACL權(quán)限

setfacl -b

還原文件權(quán)限
例: 還原/data 目錄下所有文件及文件夾權(quán)限

cp -p

復(fù)制保留文件ACL權(quán)限

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)頁名稱：用戶組和權(quán)限管理-創(chuàng)新互聯(lián)
文章出自：http://weahome.cn/article/djjcii.html