⽤户账户和组账户的的相关⽂件及⽂件权限介绍
与⽤户账户和组账户相关的⽂件:
/etc/passwd
/etc/group
/etc/shadow
/etc/gshadow
/etc/default/useradd
/etc/login.defs
/etc/skel(Directory)
/etc/passwd:
root:x:0:0:root:/root:/bin/bash
1  2 3 4  5    6      7
1.⽤户账户登录名称;
2.使⽤“x”表⽰密码占位符;
3.⽤户账户的UID;
4.⽤户账户的GID,即该⽤户账户的基本组的ID;
5.注释信息如⽤户职位、⽤户完整名称等;
6.⽤户账户家⽬录的绝对路径;
7.⽤户的默认登录shell
/etc/group
root:x:0:gentoo
1  2 3    4
1.组账户名称;
2.组账户密码占位符;
3.组账户的GID;
4.以该组为附加组的⽤户列表,多个⽤户之间使⽤“,”分隔;
/etc/shadow
root:$6$1osUNf6.3L1leJlU$AoKGLJDxcmkWGmXxfxNm2OB79MIlyCgp3hVnUQSRpDfUsIlS2ZJI0J7goegN09qH.JlTktRapf8CL
1                                      2                                                                    3  4  5
:7:::
6789
1.⽤户账户登录名;
2.密码的加密算法+salt+密码的加密结果;$可以看作是这三部分分隔符
3.最后⼀次修改密码的时间,其表⽰法为从1970年1⽉1⽇到当前系统时间所表⽰的⽇期的天数;
4.⽤户密码的最短使⽤期限,可以理解为多长时间内不能更改密码;
5.⽤户密码的最长使⽤期限,得以理解为多长时间内⽆需改密码也可以正常登陆;
6.⽤户密码的使⽤时间达到最常使⽤期限之前多少天开始,在⽤户登录到系统时发送警告信息;
7.⽤户密码过期之后的宽限期,可以理解为密码过期之后的多少天内,登录系统时仍然可以提⽰修改密码;
8.⽤户密码的绝对失效时间,其表⽰法为从1970年1⽉1⽇到指定⽇期时间的天数; usermod -e 可修改
9.保留,未被使⽤;
/etc/gshadow
root:::user1,mysuser
1.组账户名称;
2.组账户的加密密码;
3.组管理员,现在废弃了;
4.以该组为附加组的⽤户账户列表;
gpasswd :设置组的密码及管理组成员
gpasswd - 管理员 /etc/group 和 /etc/gshadow
格式:gpasswd [选项] group
-a USERNAME:将-a选项指定的⽤户添加到指定组
-d USERNAME:将-d选项指定的⽤户从指定的组中移除
newgrp  :⽤⼀个新的组重新登录到系统,需要被指定的组有正确密码设置
格式:newgrp [-] [group]
/
etc/default/useradd
作⽤:定义创建⽤户时的⽤户属性的默认值的⽂件
GROUP=100
//在创建⽤户时,如果没有为⽤户指定基本组,那么系统会为⽤户制定⼀个与⽤户名相同的组此组作为其基本组; HOME=/home
//在创建⽤户时,如果没有为⽤户指定家⽬录,则会在/home⽬录中创建⼀个与⽤户名同名的⽬录作为其家⽬录; INACTIVE=-1
//在创建⽤户时,设定⽤户密码过期之后的宽限期,默认为-1,意味着关闭⽤户密码过期期限的功能,即宽限期为永久;
EXPIRE=
//在创建⽤户时,设定⽤户的默认登录shell,默认为/bin/bash;
SHELL=/bin/bash
/
/在创建⽤户时,为⽤户的家⽬录提供默认⽂件的模板;
CREATE_MAIL_SPOOL=yes
//在创建⽤户时,是否直接为⽤户创建邮箱⽂件,默认创建;
/etc/login.defs
作⽤:定义shadow_utils相关的属性,包括⽤户邮箱路径、密码的时间参数、UID和GID的范围,删除⽤户账户的命令、是否设置私有组(仅包含⼀个⽤户并作为该⽤户主要组)、权限位掩码、家⽬录创建开关、密码的加密算法;
MAIL_DIR /var/spool/mail
//指定创建⽤户时指定⽤想⽂件的路径;
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
//与密码的时间参数有关的设置;
UID_MIN                  1000
UID_MAX                60000
# System accounts
SYS_UID_MAX              999
#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN                  1000
GID_MAX                60000
# System accounts
SYS_GID_MIN              201
SYS_GID_MAX              999
//指定默认的ID选择范围;
#USERDEL_CMD /usr/sbin/userdel_local
//指定删除⽤户时使⽤的命令;
CREATE_HOME yes
//是否在创建⽤户时为⽤户创建家⽬录的开关;
UMASK          077
//指定⽤户家⽬录的默认权限的掩码;
USERGROUPS_ENAB yes
/
/是否开启私有组开关
ENCRYPT_METHOD SHA512
//使⽤何种算法加密密码
/etc/skel
作⽤:为新创建的⽤户的家⽬录提供默认的[shell配置]⽂件
⽂件系统的权限管理:
普通权限
特殊权限
⽂件的扩展属性
FACL(⽂件系统访问控制列表)
DAC:⾃主访问控制;
安全上下⽂:
任何在计算机中执⾏的任务都是由进程实现的;
进程有必要访问和使⽤⽂件或某些数据资源;
进程和其要操作的⽂件之间的关系可以定义为安全上下⽂;
在DAC模型中,定义安全上下⽂的⽅式很简单:
所有权
任何启动进程的⽤户就是该进程的所有者;进程的所有者也可以变更;      任何创建⽂件的⽤户就是该⽂件的所有者,⽂件的所有者是可以变更的;    使⽤权
在⽂件上⾯定义的对该⽂件的特定使⽤过滤规则;
三个权限:所有者权限、所属组权限、其他⼈权限;
安全上下⽂的匹配规则:
reference group当某个进程想要试图操作某个⽂件时,DAC将作如下规则匹配:
1.判断进程的所有者和⽂件的所有者是否为同⼀⽤户,如果是,则直接应⽤⽂件的所有者权限;
2.如果不是,进⼀步判断进程的所有者是否为⽂件的所属组的成员,如果是,则直接应⽤⽂件的所属组权限;
3.如果不是,直接应⽤其他⼈权限;
⽂件权限的构成:
使⽤权:MODE,Permission
三个基本权限:
r:Readable,可读;
w:Writable,可写:
x:eXecutable,可执⾏;
⽬录⽂件:
r:可以使⽤ls命令获取其中所包含的⽂件的⽂件名列表;
w:可以在此⽬录中进⾏⽂件名修改(创建、删除、修改):即:可以创建⽂件名,删除⽂件名及修改⽂件名    x:可以使⽤ls -l命令来查看各个⽂件的属性信息;在路径中引⽤该⽬录;
⾮⽬录⽂件:
r:可以利⽤cat类的命令获取⽂件中存放的数据信息;
w:可以修改(添加,修改,删除,覆盖)⽂件中所存放的信息;
x:可以将⽂件发起为进程;
获取使⽤权和所有权的相关信息:
ls -l[d] /PATH/SOMEFILE
rwxr-xr-x.:三个权限位(属主/所有者,属组/所属组,其他⽤户)
属主权限:rwx,此权限位标⽰为user,简写为u;
属组权限:r-x,此权限位标⽰为group,简写为g;
其他⽤户权限:r-x,此权限位标⽰为other,简写为o;
所有权限位可以统⼀⽤all标识,简写为a;
注意:“-”表⽰在该权限位上不具备指定权限;
rwx组合称为“权限标识三元组”

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。