一、與用戶和組賬戶相關的文件
1./etc/passwd
用戶的解析庫
每一行是一條記錄,記錄一個和用戶相關的內容
root:x:0:0:root:/root:/bin/bash
1 2 3 4 5 6 7 8
1.用戶賬戶名稱
2.以前是用於保存賬戶密碼,現在使用x來表示密碼佔位符
3.用戶賬戶的UID
4.用戶賬戶的GID(基本組的ID)
5.可選的,爲了存放信息的目的而設,註釋信息,如用戶職位、完整名稱等
6.用戶目錄家目錄的絕對路徑
7.用戶的默認登錄shell
usermod命令實際是修改passwd文件中的字段,當使用useradd時會在passwd文件追加一行信息
2./etc/group
root:x:0:gentoo
1 2 3 4
1.組賬戶名稱
2.組賬戶密碼佔位符
3.組賬戶GID
4.該以該組爲附加組的用戶列表
3./etc/shadow
root:$6$t6zR/bnP6Sfa60QW$ePc6rOskoOYA9ksL9RKB4NZcFWf6zWw.sXPbhmfO/itXzJ35BWPSu2d5Lh3Cr3.LEtd9fjadEw8ogTk22q9D/0::0:99999:7:::
前半段爲用戶賬戶登錄名和密碼加密字段;加密字段爲:加密算法+salt+加密字符串;
: :0:99999:7: : :
1 2 3 4 5 6 7
1.最後一次修改密碼的時間,其表示法爲從1970年1月1日到當前系統時間
2.用戶密碼的最短使用期限,理解爲多長時間內不能更改密碼,0表示隨時可以更改密碼
3.用戶密碼的最長使用期限
4.用戶的用戶密碼的使用時間在達到使用期限前多少天開始給用戶發送警告信息,默認爲七天,用戶密碼過期後 登錄會提示修改密碼
5.用戶密碼過期之後的寬限期,寬限期默認是無限,寬限期內登錄會提示修改密碼,寬限期後只能通過root用戶修改密碼
6.用戶密碼的絕對有效期,其表示法爲從1970年1月1日到當前系統時間
7.保留,未被使用
4./etc/gshadow
root: : :gentoo
1 2 3 4
1.組的名稱
2.組賬戶真正的加密密碼
3.組管理員,現在廢棄
4.組成員
gpasswd 可以設置組的密碼及管理組成員
-a LOGIN_NAME GROUP_NAME 爲賬戶添加附加組
-d LOGIN_NAME GROUP_NAME 爲賬戶刪除附加組
newgrp 用一個新的組重新登錄到系統,需要被指定的組有正確的密碼設置
5./etc/default/useradd
用於定義創建用戶的默認屬性
# useradd defaults file
GROUP=100 GROUP=100意思是當創建用戶時創建與用戶名相同的組作爲基本組
HOME=/home 在/home目錄中窗爲用戶創建一個以用戶名爲目錄名的目錄
INACTIVE=-1 在創建用戶時,設定密碼過期之後的寬限期,默認爲-1
EXPIRE= 在創建用戶時設定用戶密碼的絕對失效日期,默認沒有啓用
SHELL=/bin/bash 默認shell
SKEL=/etc/skel 默認家目錄中的文件
CREATE_MAIL_SPOOL=yes 創建用戶時,是否直接爲用戶創建郵箱文件,默認創建
6./etc/login.defs
用於定義與shadow工具有關的屬性,包括用戶郵箱路徑,密碼的時間參數、UID和GID的範圍、刪除用戶賬戶的命令、是否設置私有組(僅包含一個用戶並作爲該用戶主要組的組)、權限的掩碼、家目錄的創建開關、加密算法、默認的UID和GID的選擇範圍
7./etc/skel(目錄)
爲新創建的用戶的家目錄提供默認的shell配置文件
二、文件系統的權限
1.DAC:自主訪問控制
安全上下文:任何在計算機中執行的任務都是由進程來實現,因此進程有必要使用或訪問某些文件數據資源,進程和其要操作的文件之間的關係,就定義爲安全上下文
在DAC模型當中,定義安全上下文的方式很簡單:
所有權
哪個用戶啓動的進程,那個用戶就是進程的所有者;進程的所有者可以變更
任何創建文件的用戶就是該文件的所有者,文件的所有者可以變更
使用權
在文件上定義的權限
三個權限:所有者權限、所屬者權限、其他人權限
安全上下文的匹配規則:
當某個進程試圖操作某個文件時,DAC將做如下規則匹配:
1)判斷進程的所有者和文件的所有者是否爲同一用戶,如果是,則直接應用文件的所有者權限
2)如果不是,則進一步判斷進程的所有者是否爲文件的所屬組的成員,如果是,則直接應用文件的所屬組權限
3)如果不是,則應用其他人權限
2.文件權限的構成:
使用權:MODE,Permission
三個基本權限:
r:可讀
w:可寫
x:可執行
目錄文件:
r:可以使用ls命令獲取其包含的文件名列表(目錄的內容爲文件名)
w:可以在此目錄中進行文件名的創建、刪除、修改
x:可以使用ls -l命令來查看各個文件的屬性信息;在路徑中引用該目錄
非目錄文件:
r:可以利用cat類命令獲取文件中存放的數據信息
w:可以修改文件中的數據信息
x:可以將文件發起爲進程
獲取權限的使用權和所有權的相關信息,可以使用ls -l
屬主權限;此權限位標識爲user,簡寫爲u
屬組權限:此權限位標識位group,簡寫爲g
其他用戶權限:此權限爲表示爲other,簡寫爲o
所有權限位可以統一用all標識,簡寫爲a
3.數字權限標識法:
--- 000 0
--x 001 1
-w- 010 2
r-- 100 4
使用符號標識權限和數字標識權限的區別:
1.使用符號標識可以只標識某個特定的權限位,也可以同時標識所有的權限位
u=rx ug=rx u=rwx,g=rx,o=r a=rwx
2.使用數字標識法只能同時標識所有權限位
755 644 7==007
4.修改文件的使用權
chmod
1)符號標識法:
u,g,o,a 表示權限位
+,-,= 表示授權方式
+:表示在指定權限位增加權限
-:表示在指定權限位減少權限
=:將指定權限位指定爲"="之後的權限
r,w,x 表示具體權限
注意:chmod +|- r|x FILE 表示在所有權限位增加或撤銷讀或執行權限
chmod +|- w FILE 表示僅在所有者權限位增加或撤銷寫權限
對於文件來說,執行權限是非常重要的安全上下文標識,因此默認情況下,所有的非目錄文件都不應該有執行權限,因爲一旦非目錄具有了執行權限,則意味着該文件可以被執行,發起爲進程,則可以按需使用系統資源
2) 八進制數字權限標識法
具體權限用八進制數字表示
-R 遞歸的設定目標文件或目錄
5.修改文件的所有權
chown 修改文件的屬主和屬組
~]# chown user3 test1 只修改所屬主,不改變所屬組
~]# chown user3: test2 改變所屬主,並且將所屬組改變爲user3的主要組
~]# chown :user3 test3 改變所屬組,所有者不變
~]# chown user3:myuser test4 同時修改所屬組和所屬主
特別的,chown命令中可以使用 . 代替:
-R 遞歸的設置目標文件或目錄的所有權
chgrp(不常用)
mkdir
-m 在創建目錄時爲其制定權限
install 複製文件
-g 設定目標文件的所屬組爲指定組
-m MODE 設置權限,默認是755
-o 設定目標所有者,僅root可用
install命令不能複製目錄,即不能以目錄爲源文件,如果其源文件是一個目錄,則install命令會進入該目錄,依次複製其中所有非目錄
6.特殊權限
1)SUID
僅設置在可執行文件上,默認情況下,當用戶去執行此類文件時,被髮起的進程的所有者不是進程的發起者而是該文件的所有者;SUID在屬主的權限位中的執行權限位,如果屬主具有執行權限則表示爲s,如果沒有則顯示爲S
管理SUID權限:
1.符號標識法:chmod u+s FILE
2.數字表示法:chmod 4755 FILE
2)SGID
可設置在可執行文件或目錄上(一般都設置在目錄上),如果某個目錄設置了SGID權限,並且對於某些組內用戶有寫權限,則所有在此目錄中創建的新文件和目錄的所屬組均爲其父目錄的所屬組,而並非發起用戶所在的主要組;SGID在屬組的權限位中的執行權限位,如果屬組具有執行權限則表示爲s,如果沒有則顯示爲S
管理SGID權限:
1.符號標識法:chmod g+s DIR
2.數字表示法:chmod 2755 DIR
3)STICKY
僅設置在目錄的其他用戶權限位的執行權限上
如果在某個目錄上的權限設置爲多個用戶都擁有寫權限,那就意味着凡是擁有寫權限的用戶都能直接管理該目錄中的所有文件名,包括改名文件及刪除文件名等操作,因此需要再這樣的目錄上設置STICKY特殊權限;如果此類目錄設置了STICKY,則所有用戶即便擁有寫權限也僅能刪除所有者爲其自身的文件
STICKY權限的顯示位置:在目錄的其他用戶的權限位的執行權限上,如果該權限爲本來有執行權限,則顯示爲t,否則爲T
管理STICKY權限:
1.符號標識法:chmod o+t DIR
2.數字表示法:chmod 1770 DIR
7.權限遮罩碼:umask
作用:創建目錄或文件時,被創建出來的文件或目錄的默認權限上刪除遮罩碼上對應的權限
注意:在創建和文件時,默認不設置特殊權限
對於目錄:默認權限爲0777-umask
對於非目錄:默認權限爲0666-umask
unmask NUMBER 設置遮罩碼
unmask 顯示當前遮罩碼
umask配置文件在/etc/bashrc
如果用戶的UID大於199且用戶名和基本組名相同時,則遮罩碼爲002,否則爲022
8.文件的擴展屬性
lsattr
MODE:+-=[aAcCdDeijsStTu]
a:在向文件寫數據時,只能以附加的方式進行寫操作;文件的內容不能被更改和刪除,一般會爲日誌文件設置此屬性;
A:文件的訪問時間戳控制屬性,對於併發訪問較高的文件應該設置此屬性防止IO高負荷
c:設置是否自動壓縮之後再儲存
C:是否開啓寫時複製功能
d:在使用dump備份文件系統時,跳過屬性設置爲d的文件
D:設置文件在文件系統中的異步寫操作
i:設置文件不能被刪除,改名及設定鏈接關係
s:設置文件的保密性刪除
u:與s相反,文件被刪除,儲存器中會繼續保存其中內容,僅僅是刪除了文件名
9.FACL(filesystem access control list),文件系統訪問控制列表,要嚮應用此功能,必須要讓文件系統支持,默認支持
FACL爲文件系統的額外賦權機制;在原有的u,g,o權限之外,讓普通用戶能夠控制權限賦予另外的用戶或組的一種賦權機制
這種機制在CentOS或者RHEL7之後的發行版本中,才逐漸成熟;
與FACL相關的命令
setfacl FILE
-m acl_spec 爲指定文件設置acl_sepc
-x acl_spec 將acl_spec從指定文件上溢出
acl_spec:acl_specification,acl規格,訪問控制列表
u:USERNAME:MODE
g:USERNAME:MODE
MODE一般使用符號權限標識法標識的權限
示例:爲文件賦予指定用戶的額外訪問權限
setfacl -m u:link:rwx /tmp/temp
撤銷指定文件的額外訪問權限
setfacl -x u:link /tmp/temp
注意:如果設置了FACL之後,再修改目標文件的試用權限,那麼FACL中設置的權限條目可能受到影響而導致授權失敗;因此,爲了保證沒有此項干擾,應該先調整目標文件或目錄的權限,再設置FACL
getfacl FILE