1. Linux安全模型

1.1. 用户

1.1.1. Linux中每个用户是通过 User Id （UID）来唯一标识

1.1.2. 管理员：

root, 0 普通用户：1-60000 自动分配

1.1.3. 系统用户：

1-499 （CentOS 6以前）, 1-999 （CentOS 7以后）对守护进程获取资源进行权限分配 登录用户：500+ （CentOS6以前）, 1000+（CentOS7以后） 给用户进行交互式登录使用

1.2. 用户组

1.2.1. 将一个或多个用户加入用户组中，用户组通过Group ID（GID） 来唯一标识

1.2.2. 管理员组：

root, 0 普通组： 系统组：1-499（CentOS 6以前）, 1-999（CentOS7以后）, 对守护进程获取资源进行权限分配 普通组：500+（CentOS 6以前）, 1000+（CentOS7以后）, 给用户使用

1.3. 用户和组的关系

1.3.1. 用户的主要组(primary group)：

用户必须属于一个且只有一个主组，默认创建用户时会自动创建和用户名同名的组，做为用户的主要组，由于此组中只有一个用户，又称为私有组

1.3.2. 用户的附加组(supplementary group)：

一个用户可以属于零个或多个辅助组，附属组

1.4. 安全上下文

1.4.1. 运行中的程序，即进程 (process)，以进程发起者的身份运行，进程所能够访问资源的权限取决于进程的运行者的身份

2. 用户和组的配置文件

2.1. 主要配置文件

2.1.1. /etc/passwd：

用户及其属性信息(名称、UID、主组ID等） /etc/shadow：用户密码及其相关属性 /etc/group：组及其属性信息 /etc/gshadow：组密码及其相关属性

2.2. passwd文件格式

2.2.1. 每一位及其含义

sx：x：1000：1000：sx:/home/sx:/bin/bash

登录用名（sx） passwd：密码 (x) UID：用户身份编号 (1000) GID：登录默认所在组编号 (1000) GECOS：用户全名或注释 home directory：用户主目录 (/home/sx) shell：用户默认使用shell (/bin/bash)

2.3. shadow文件格式

2.3.1. 每一位的含义

sx:$6$0uhikd/hr4omSCVV$Mbw.JBj9J2Gl/8m6OvEnZvjZtEbecBlczIW8D6pOF1TwZ7fJkamit77XOJ6ScMHO6YvGH0J7JtXhGuAr9Utt00:18883:0:99999：7:::

登录用名 用户密码(一般用sha512加密) 从1970年1月1日起到密码最近一次被更改的时间 密码再过几天可以被变更（0表示随时可被变更） 密码再过几天必须被变更（99999表示永不过期） 密码过期前几天系统提醒用户（默认为一周） 密码过期几天后帐号会被锁定 从1970年1月1日算起，多少天后帐号失效

2.4. group文件格式

2.4.1. 每一位的含义

sx：x：1000:

群组名称：就是群组名称 群组密码：通常不需要设定，密码是被记录在 /etc/gshadow GID：就是群组的 ID 以当前组为附加组的用户列表(分隔符为逗号)

2.5. gshadow文件格式

2.5.1. 每一位的含义

sx:!::

群组名称：就是群的名称 群组密码： 组管理员列表：组管理员的列表，更改组密码和成员 以当前组为附加组的用户列表：多个用户间用逗号分隔

3. 用户和组管理命令

3.1. 用户

3.1.1. 用户创建useradd

格式：

useradd [options] LOGIN

常见选项：

 -u UID
 -o 配合-u 选项，不检查UID的唯一性
 -g GID 指明用户所属基本组，可为组名，也可以GID
 -c "COMMENT“ 用户的注释信息
 -d HOME_DIR 以指定的路径(不存在)为家目录
 -s SHELL 指明用户的默认shell程序，可用列表在/etc/shells文件中
 -G GROUP1[,GROUP2,...] 为用户指明附加组，组须事先存在
 -N 不创建私用组做主组，使用users组做主组
 -r 创建系统用户 CentOS 6之前: ID<500，CentOS7 以后: ID<1000
 -m 创建家目录，用于系统用户
 -M 不创建家目录，用于非系统用户
 -p 指定加密的密码

如果希望用户不能非交互式登录（su – username）可以在创建的时候指定-s选项为/sbin/nologin

useradd 命令默认值设定由/etc/default/useradd定义

3.1.2. 用户属性修改usermod

格式

usermod [OPTION] login

常用选项：

 -u UID: 新UID
 -g GID: 新主组
 -G GROUP1[,GROUP2,...[,GROUPN]]]：新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使用-a选项
 -s SHELL：新的默认SHELL
 -c 'COMMENT'：新的注释信息
 -d HOME: 新家目录不会自动创建；若要创建新家目录并移动原家数据，同时使用-m选项
 -l login_name: 新的名字
 -L: lock指定用户,在/etc/shadow 密码栏的增加 !
 -U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
 -e YYYY-MM-DD: 指明用户账号过期日期
 -f INACTIVE: 设定非活动期限，即宽限期

3.1.3. 删除用户userdel

格式：

userdel [OPTION]... Login

常见选项：

 -f, --force  强制
 -r, --remove 删除用户家目录和邮箱

3.1.4. 查看用户相关id信息id

格式：

id [OPTION]... [USER]

常见选项：

 -u: 显示UID
 -g: 显示GID
 -G: 显示用户所属的组的ID
 -n: 显示名称，需配合ugG使用

3.1.5. 切换用户

1、su

格式：

su [options...] [-] [user [args...]]

常见选项：

 -l  --login  su -l UserName  相当于 su - UserName
 -c, --command <command>   pass a single command to the shell with -c

切换方式

su UserName：非登录式（非交互式）切换，即不会读取目标用户的配置文件，不改变当前工作目录，即不完全切换
su - UserName：登录式（交互式）切换，会读取目标用户的配置文件，切换至自已的家目录，即完全切换

说明：root su至其他用户无须密码；非root用户切换时需要密码

注意：su 切换新用户后，使用 exit 退回至旧的用户身份，而不要再用 su 切换至旧用户，否则会生成很多的bash子进程，环境可能会混乱。

3.1.6. 设置密码passwd

格式：

passwd [OPTIONS] UserName

常用选项：

 -d：删除指定用户密码
 -l：锁定指定用户
 -u：解锁指定用户
 -e：强制用户下次登录修改密码
 -f：强制操作
 -n mindays：指定最短使用期限
 -x maxdays：最大使用期限
 -w warndays：提前多少天开始警告
 -i inactivedays：非活动期限
 --stdin：从标准输入接收用户密码,Ubuntu无此选项

非交互式修改用户密码

#此方式更通用，适用于各种Linux版本，如:ubuntu
 [root@centos8 ~]#echo -e '123456\n123456' | passwd mage

#适用于红帽系列的Linux版本
 [root@centos8 ~]#echo '123456' | passwd --stdin mage

#适用于Ubuntu版本
 [root@ubuntu1804 ~]#echo wang:centos |chpasswd

3.1.7. 修改用户密码策略chage

格式：

chage [OPTION]... LOGIN

常用选项：

 -d LAST_DAY                #更改密码的时间
 -m --mindays MIN_DAYS
 -M --maxdays MAX_DAYS
 -W --warndays WARN_DAYS
 -I --inactive INACTIVE        #密码过期后的宽限期
 -E --expiredate EXPIRE_DATE #用户的有效期
 -l 显示密码策略

3.1.8. 用户相关的其它命令

chfn 指定个人信息

 chsh 指定shell，相当于usermod -s
 finger 可看用户个人信息

3.2. 组

3.2.1. 创建组groupadd

格式：

groupadd [OPTION]... group_name

选项：

 -g GID 指明GID号；[GID_MIN, GID_MAX]
 -r 创建系统组，CentOS 6之前: ID<500，CentOS 7以后: ID<1000

3.2.2. 修改组groupmod

格式：

groupmod [OPTION]... group

选项：

 -n group_name: 新名字
 -g GID: 新的GID

3.2.3. 删除组groupdel

格式：

groupdel [options] GROUP

选项：

 -f, --force 强制删除，即使是用户的主组也强制删除组,但会导致无主组的用户不可用无法登录

3.2.4. 更改组密码 gpasswd

格式：

gpasswd [OPTION] GROUP

选项：

 -a user 将user添加至指定组中
 -d user 从指定附加组中移除用户user
 -A user1,user2,... 设置有管理权限的用户列表

3.2.5. 临时切换主组newgrp

格式：

newgrp [-] [group]

如果使用 – 选项，可以初始化用户环境

3.2.6. 更改和查看组成员groupmems

格式：

groupmems [options] [action]

选项：

 -g, --group groupname  #更改为指定组 (只有root)
 -a, --add username  #指定用户加入组
 -d, --delete username #从组中删除用户
 -p, --purge     #从组中清除所有成员
 -l,  --list     #显示组成员列表

3.3. 作业

创建用户gentoo，附加组为bin和root，默认shell为/bin/csh，注释信息为”Gentoo Distribution” 2. 创建下面的用户、组和组成员关系 名字为webs 的组 用户nginx，使用webs 作为附加组 用户varnish，使用webs 作为附加组 用户mysql，不可交互登录系统，且不是webs 的成员，nginx，varnish，mysql密码都是magedu

useradd gentoo -G bin,root -s /bin/csh -c "Gentoo Distribution"    

通过getent命令可以查看系统的数据库中的相关记录，如果用户较多直接查看/etc/passwd文件不好看可以只接指定库中的某个用户进行查看

 groupadd webs
 useradd nginx -G webs
 useradd varnish -G webs
 useradd mysql -s ''
 echo 'magedu' | passwd --stdin nginx
 echo 'magedu' | passwd --stdin varnish
 echo 'magedu' | passwd --stdin mysql    

4. 文件权限管理

4.1. 文件权限

4.1.1. 文件所有者和属组属性操作

设置文件的所有者chown

既可以修改文件属主，也可以修改文件属组

格式：

 chown [OPTION]... [OWNER][:[GROUP]] FILE...
 chown [OPTION]... --reference=RFILE FILE...

用法说明：

 OWNER  #只修改所有者
 OWNER:GROUP #同时修改所有者和属组
 :GROUP  #只修改属组，冒号也可用 . 替换
 --reference=RFILE  #参考指定的的属性，来修改 
 -R #递归，此选项慎用，非常危险！

设置文件的属组信息chgrp

只能修改文件的属组

格式：

 chgrp [OPTION]... GROUP FILE...
 chgrp [OPTION]... --reference=RFILE FILE...

4.1.2. 文件权限

定义对象

 owner 属主, u
 group 属组, g
 other 其他, o

对文件的权限

 r 可使用文件查看类工具，比如：cat，可以获取其内容
 w 可修改其内容
 x 可以把此文件提请内核启动为一个进程，即可以执行（运行）此文件（此文件的内容必须是可执行）

对目录的权限

 r 可以使用ls查看此目录中文件列表
 w 可在此目录中创建文件，也可删除此目录中的文件，而和此被删除的文件的权限无关
 x 可以cd进入此目录，可以使用ls -l查看此目录中文件元数据（须配合r权限），属于目录的可访问的最小权限
 X 只给目录x权限，不给无执行权限的文件x权限

修改文件选项chmod

格式：

 chmod [OPTION]... MODE[,MODE]... FILE...
 chmod [OPTION]... OCTAL-MODE FILE...
 #参考RFILE文件的权限，将FILE的修改为同RFILE
 chmod [OPTION]... --reference=RFILE FILE...

说明： 模式法格式

 MODE：who opt permission
 who:u,g,o,a
 opt:+,-,=
 permission:r,w,x

修改指定一类用户的所有权限

 u=  g= o= ug=  a= u=,g=

修改指定一类用户某个或某个权限

u+ u- g+ g- o+ o- a+ a- + -

-R: 递归修改权限

数字法真香

4.1.3. 新建文件和目录的默认权限

umask

4.1.4. 练习

1. 当用户docker对/testdir 目录无执行权限时，意味着无法做哪些操作？
2. 当用户mongodb对/testdir 目录无读权限时，意味着无法做哪些操作？
3. 当用户redis 对/testdir 目录无写权限时，该目录下的只读文件file1是否可修改和删除？
4. 当用户zabbix对/testdir 目录有写和执行权限时，该目录下的只读文件file1是否可修改和删除？
5. 复制/etc/fstab文件到/var/tmp下，设置文件所有者为tomcat读写权限，所属组为apps组有读写权限，其他人无权限
6. 误删除了用户git的家目录，请重建并恢复该用户家目录及相应的权限属性

4.1.5. 特殊权限

除了种常见的权限：r, w, x 还有三种特殊权限：SUID, SGID, Sticky

特殊权限SUID

SUID 作用于二进制可执行文件上,用户将继承此程序所有者的权限

 chmod u+s FILE...
 chmod 4xxx FILE
 chmod u-s FILE...

特殊权限SGID

作用于二进制可执行文件上,用户将继承此程序所有组的权限
作于于目录上, 此目录中新建的文件的所属组将自动从此目录继承

 chmod g+s FILE...
 chmod 2xxx FILE
 chmod g-s FILE...

特殊权限 Sticky 位

作用于目录上,此目录中的文件只能由所有者自已来删除

 chmod o+t DIR...
 chmod 1xxx DIR
 chmod o-t DIR...

数字法表示就在原先的三位数前面再加一位数即可例如chmod 4777 haha

权限位映射

 SUID: user,占据属主的执行权限位
 s：属主拥有x权限
 S：属主没有x权限

 SGID: group,占据属组的执行权限位
 s： group拥有x权限
 S：group没有x权限

 Sticky: other,占据other的执行权限位
 t：other拥有x权限
 T：other没有x权限

4.1.6. 文件特殊属性

作用：设置文件的特殊属性，可以防止root 用户误操作删除或修改文件

不能删除，改名，更改

chattr +i file

只能追加内容，不能删除，改名

chattr +a file

显示特定属性

lsattr

4.1.7. 访问控制列表acl

acl权限功能

• 实现灵活的权限管理除了文件的所有者，所属组和其它人，可以对更多的用户设置权限

acl生效顺序

• 所有者，自定义用户，所属组|自定义组，其他人

acl相关命令

• setfacl 可设置ACL权限

• getfacl 可查看设置的ACL权限