리눅스 사용자 그룹 및 권한 관리

사용자, 그룹 및 권한

1 리눅스 보안 모델

자원 할당 :

• 인증 : 인증은 사용자의 신원을 확인
• 인증 : 인증, 세트 다른 권한을 다른 사용자
• 감사 : 오디션 | 회계
  사용자가 성공적으로 로그인하면 시스템이 자동으로 토큰 토큰을 할당 할 때, 포함 : 등 사용자 식별 정보 및 그룹 구성원,

1.1 사용자

리눅스 각 사용자 고유의 사용자 ID에 의해 식별 (UID)

• 관리자 : 루트, 0
• 평균 사용자 : 1-60000 자동 분배
  시스템 사용자 : 1-499 (CentOS는 6 전), 999 (CentOS는 7 후)
  데몬 할당 권한에 대한 리소스에 대한 액세스
  사용자가 로그인 할 때 : 500 (CentOS는 6 전), 1000 + ( CentOS는 7 이상)
  사용자에게 대화 형 로그인 사용

1.2 사용자 그룹

리눅스 이상의 사용자에서 사용자 그룹에 추가 할 수있다, 사용자 그룹 고유의 그룹 ID (GID)에 의해 식별됩니다

• 관리자 : 루트, 0
• 평균 사용자 :
  시스템 그룹 : 1-499 (CentOS는 6 전), 999 (CentOS는 7 후)
  데몬 할당 권한에 대한 리소스에 대한 액세스
  일반 그룹 : 500 (CentOS는 6 전), 1000 +에 (CentOS는 7 후) 사용자

사용자 및 그룹 1.3 사이의 관계

• 사용자의 주 그룹 (주 그룹) : 당신이 사용자의 기본 그룹으로, 동일한 이름의 사용자를 만들 때이 그룹은 또한으로 알려진 하나의 사용자이기 때문에 사용자는 기본 그룹 및 사용자 이름이 자동으로 생성되어, 오직 하나 개의 주요 그룹에 속해야합니다 개인 그룹
• 사용자 (보충 기)의 추가의 기는 : 사용자가 0 또는 그 이상의 보조 그룹 소속 그룹에 속할 수

1.4 보안 컨텍스트

리눅스 보안 컨텍스트 컨텍스트 : 권한 프로그램이 실행, 해당 프로세스 (과정), 프로세스의 개시로 실행은 리소스에 액세스 할 수있는 프로세스는 프로세스를 실행하는 사람의 신원에 따라 달라집니다

2 사용자 및 그룹 정보

2.1 주요 사용자 및 그룹 정보

• / etc / passwd에 : 사용자와 속성 정보 (이름, UID 등, 주 그룹 ID)
• / 기타 / 그림자 : 사용자 암호와 관련 속성
• / 기타 / 그룹 : 그룹 속성 정보와
• / 기타 / gshadow 파일 : 그룹 암호 및 관련 속성

2.2 passwd 파일 형식

로그인 이름 : 로그인 사용자의
passwd를 : 비밀번호
UID : 사용자 식별 번호
GID : 그룹 번호 경우 기본 로그인
GECOS : Notes 사용자의 전체 이름 또는
홈 디렉토리 : 사용자의 홈 디렉토리
쉘 : 사용자의 기본 쉘

2.3 그림자 파일 형식

로그인 사용자 이름
암호 : SHA512 암호화는 일반적으로 사용되는
암호가 변경됩니다 마지막 재생 시간 1 월 1970 년 1
(0 언제든지 변경 될 수 있음을 나타냅니다) 변경 될 수있는 몇 일 동안 암호를
암호가 며칠 변경해야합니다 (99999 수단이 만료되지 않습니다)
암호가 사용자에게 경고하기 위해 며칠 시스템을 만료되기 전에 (기본 일주)
암호가 몇 일 만료 된 후 계정이 잠 깁니다
1970년 1월 1일 날로부터 계정이 실패 일 수는
암호 암호화 알고리즘을 변경 :
authconfig --passalgo=sha256 --update
비밀번호를 보안 정책

• 충분히
• 숫자, 대문자, 소문자 적어도 세 가지의 특수 문자
• 를 사용하여 임의의 암호
• 정기적 인 교체, 지금까지 최근에 사용 된 암호를 사용하지 않는

2.4 그룹 파일 형식

그룹 이름 :
그룹 암호 : 암호를 설정하는 것이 필요가 없습니다 것은에 기록하여 / etc / gshadow 파일
GID를 : 그룹 ID가
추가 그룹의 현재 사용자 그룹 목록 (쉼표로 구분)

2.5 gshdow 파일 형식

그룹 이름
그룹 암호
그룹 관리자 목록 : 목록의 그룹 암호 및 그룹 관리자 구성원 변경하려면
사용자 목록의 현재 그룹 추가 그룹 : 여러 사용자가 쉼표로 구분 중

2.6 파일 작업

• vipw를하고 vigr
• 하거나 pwck과는 grpck

3 사용자 및 그룹 관리 명령

사용자 관리 명령

• useradd와
• usermod에
• userdel과
  그룹 계정 관리 명령
• groupadd
• groupmod
• groupdel

3.1 사용자는 만들 수 있습니다

은 useradd 명령은 새 리눅스 사용자 작성하는
형식을 :
useradd [options] LOGIN
일반 옵션 :

-u UID
-o 配合-u选项，不检查UID的唯一性
-g GID  指明用户所属基本组，可为组名，也可以GID
-c "COMMENT"    用户的注释信息
-d HOME_DIR 以指定的路径为家目录
-s SHELL  指明用户的默认shell程序，可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,...]   为用户指明附加组，组须事先存在
-N 不创建私用组做主组，使用users组做主组
-r 创建系统用户CentOS 6之前：ID<500,CentOS 7以后：ID<1000
-m 创建家目录，用于系统用户
-M 不创建家目录，用于非系统用户

은 useradd 명령은 디폴트 값은 / etc / 기본 / 정의 useradd를 지정
표시를하거나 기본 설정을 변경

useradd -D
useradd -D -s SHELL
useradd -D -b BASE_DIR
useradd -D -g GROUP

새로운 사용자의 문서

• 은 / etc / 기본 / useradd와
• 을 / etc / skel이 / "*"
• 같은 /etc/login.defs
  배치 사용자 생성
  newsusers passwd 格式文件
  사용자 암호를 수정 배치
  echo username:passwd | chpasswd

3.2 수정 사용자 속성

사용자를 수정하고 usermod 명령은 속성
: 형식
usermod [OPTION] login
공통 옵션 :

-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]：新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使用-a选项
-s SHELL：新的默认SHELL
-c 'COMMENT'：新的注释信息
-d HOME: 新家目录不会自动创建；若要创建新家目录并移动原家数据，同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 ! 
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限，即宽限期

3.3 사용자 삭제

리눅스 사용자 삭제 userdel을
: 형식
userdel [OPTION]... Login
공통 옵션 :

-f --force       强制
-r --remove      删除用户家目录和邮箱

3.4보기 관련 사용자 ID 정보

id 명령은 사용자의 UID, GID 및 기타 정보를 볼 수
id [OPTION]... [USER]
일반적인 옵션을 :

-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称，需配合ugG使用

3.5 사용자 전환은 다른 사용자로 명령을 실행하거나

SU : 그 스위치 사용자 전환 사용자에게 명령하고, 지정된 사용자로서 명령 실행
형식 :
su [options...] [-] [user [args...]]
일반 옵션 :

-l --login   su -l UserName     相当于 su - UserName
-c, --command <command>         pass a single command to the shell with -c

사용자 전환 방식 :

• 스와 사용자 이름 : 대상 사용자의 프로필을 읽지 않습니다 nonlogin 형 스위치는 불완전 현재 작업 디렉토리 변경되지 않는
  완전 전환
• SU - 사용자 이름 : 로그 식 스위치는 완전히 전환 대상 사용자의 프로필, 자신의 홈 디렉토리로 전환 읽는
  암호가없는 다른 사용자에게 루트 SU, 암호가 루트가 아닌 사용자에 필요한 스위치 : 설명을
  참고 : SU 스위치를 새 사용자에게 그렇지 않으면 bash는 자식 프로세스 환경을 많이 생성, 기존 사용자에게 반환하고 이전 사용자로 전환하려면 SU를 사용하지 않는 출구를 사용 후 혼동 할 수있다.
  명령의 정체성의 변화 :
  su [-] UserName -c 'COMMAND'

3.6 암호

passwd에 사용자 암호를 변경할 수 있습니다
형식 :
passwd [OPTIONS] UserName
일반 옵션 :

-d：删除指定用户密码
-l：锁定指定用户
-u：解锁指定用户
-e：强制用户下次登录修改密码
-f：强制操作
-n mindays：指定最短使用期限
-x maxdays：最大使用期限
-w warndays：提前多少天开始警告
-i inactivedays：非活动期限
--stdin：从标准输入接收用户密码,Ubuntu无此选项

3.7 사용자 암호 정책을 수정

CHAGE 사용자 암호 정책 수정할 수 있습니다
형식 :
chage [OPTION]... LOGIN
일반 옵션 :

-d LAST_DAY               #更改密码的时间
-m --mindays MIN_DAYS
-M --maxdays MAX_DAYS
-W --warndays WARN_DAYS
-I --inactive INACTIVE #密码过期后的宽限期
-E --expiredate EXPIRE_DATE #用户的有效期
-l 显示密码策略

다른 사용자 관련 명령 3.8

• 개인 정보를 지정 chfn 명령
• chsh 명령, 동등한 기능 usermod -s 쉘을 지정
• 사용자의 개인 정보를 볼 수 손가락

3.9 그룹 만들기

그룹 달성 groupadd 작성
형식 :
groupadd [OPTION]... group_name
일반 옵션 :
-g GID GID 번호 지정 [GID_MIN가 GID_MAX]
-R 및 LT는 시스템 그룹을 생성 CentOS는 6 전 : ID <500, CentOS는 7 일 : ID를 <1,000

3.10 그룹 수정

groupmod 그룹 속성 수정
형식 :
groupmod [OPTION]... group
일반 옵션 :
-n GROUP_NAME : 새 이름
GID -g : 새로운 GID

3.11 그룹 삭제

groupdel은 그룹 삭제할 수 있습니다
: 형식
groupdel [options] GROUP
공통 옵션 :
-f를, --force는 강제로 사용자의 주 그룹도 강제로 그룹을 제거하더라도 제거

3.11 그룹 변경 비밀번호

gpasswd 명령어 명령, 당신은 그룹의 암호를 변경할 수 있습니다, 당신은 추가 회원 그룹 수정할 수 있습니다
: 형식
gpasswd [OPTION] GROUP
공통 옵션 :

-a user 将user添加至指定组中
-d user 从指定附加组中移除用户user
-A user1,user2,... 设置有管理权限的用户列表

3.12 임시 메인 스위치 그룹

사용자가이 그룹에 속하지 않는 경우면 newgrp 명령은 일시적으로, 주요 그룹을 전환 할 수 있습니다, 그룹 암호가 필요합니다
형식 :
newgrp [-] [group]
경우 - 옵션, 사용자가 환경을 초기화 할 수 있습니다

변화와 뷰 그룹 구성원에 3.13

그룹을 관리 할 수 있습니다 groupmems 추가 멤버쉽
: 형식
groupmems [options] [action]
공통 옵션 :

-g, --group groupname       #更改为指定组 (只有root)
-a, --add username          #指定用户加入组
-d, --delete username       #从组中删除用户
-p, --purge                 #从组中清除所有成员
-l,  --list                 #显示组成员列表

그룹은 사용자 그룹 관계를 볼 수있는
형식 :

#查看用户所属组列表
groups [OPTION].[USERNAME]...

4 파일 권한 관리

4.1은 파일의 소유자 및 그룹 작업을 속성

소유자 대한 Chown 4.1.1 설정 파일

파일 소유자를 수정하는 명령을 chown하지, 파일 소유자는 그룹 수정할 수 있습니다
형식 :

chown [OPTION]... [OWNER][:[GROUP]] FILE...
chown [OPTION]... --reference=RFILE FILE...

지침 :

OWNER                #只修改所有者
OWNER:GROUP          #同时修改所有者和属组
:GROUP               #只修改属组，冒号也可用 . 替换
--reference=RFILE    #参考指定的的属性，来修改   
-R                   #递归，此选项慎用，非常危险！

이 정보 chgrp하지 4.1.2 설정 파일의 집합입니다

그룹 만 파일에 속한다 chgrp 명령의 수정
형식 :

 chgrp [OPTION]... GROUP FILE...
 chgrp [OPTION]... --reference=RFILE FILE...

4.2 파일 권한

4.2.1 설명 파일 사용 권한

주요 파일 사용 권한은 객체의 세 가지 유형에 대해 정의

owner 属主, u
group 属组, g
other 其他, o

참고 : 사용자의 최종 권한, 소유자, 소유 그룹, 기타, 즉각적인 효과와 일치하는 권한되면 더 이상 올바른 권한 참조입니다 올바른 순서 매칭, 왼쪽에서
각 파일에 대한 각 클래스 방문자에 대해 정의 된 세 가지 일반적인 권한을
각 클래스의 각 파일에 대한 세 가지 방문자가 권한이 정의

r Readable
w Writable
x eXcutable

파일에 대한 사용 권한 :

r 可使用文件查看类工具，比如：cat，可以获取其内容
w 可修改其内容
x 可以把此文件提请内核启动为一个进程，即可以执行（运行）此文件（此文件的内容必须是可执行）

디렉토리에 액세스 :

r 可以使用ls查看此目录中文件列表
w 可在此目录中创建文件，也可删除此目录中的文件，而和此被删除的文件的权限无关
x 可以cd进入此目录，可以使用ls -l查看此目录中文件元数据（须配合r权限），属于目录的可访问的最小权限
X 只给目录x权限，不给无执行权限的文件x权限

권한 수학적 법칙

사용 권한 항목	파일 형식	읽기	쓰기	실행	읽기	쓰기	실행	읽기	쓰기	실행
문자 표현	(d / l / C / S / P)	(아르 자형)	(w)	(엑스)	(아르 자형)	(w)	(엑스)	(아르 자형)	(w)	(엑스)
디지털 표현	4	이	1	4	이	1	4	이	1
권한 할당		파일 소유자			파일은 사용자 그룹에 속하는			다른 사용자

4.2.2 수정 파일 권한 ****는 chmod
형식 :

chmod [OPTION]... MODE[,MODE]... FILE...
chmod [OPTION]... OCTAL-MODE FILE...
#参考RFILE文件的权限，将FILE的修改为同RFILE
chmod [OPTION]... --reference=RFILE FILE...

설명 :

MODE：who opt permission
who:u,g,o,a 
opt:+,-,=
permission:r,w,x

修改指定一类用户的所有权限
u= g= o= ug= a= u=,g=

修改指定一类用户某个或某个权限
u+ u- g+ g- o+ o- a+ a- + -

-R: 递归修改权限

파일과 디렉토리 4.3 새로운 기본 권한

의 umask 값은 권한에 남아있는 파일을 만들 수 있습니다
구현 :

• 새로운 기본 권한 파일 : 결과가 실행 (홀수) 권한의 존재에 의해 얻은 경우 666 - umask를, 그것도, 한 권리입니다
  수 변경
• 새로운 디렉토리에 대한 기본 권한 : 777 - umask를
  권한이없는 사용자의 umask 기본값은 002입니다
  UMASK 기본 022의 루트
  umask를 참조

umask
#模式方式显示
umask –S 
#输出可被调用
umask –p

수정이의 umask
umask #
umask를 지속

• 전역 설정 :은 / etc / bashrc에
• 사용자 설정 : ~ / .bashrc에

4.4 리눅스 파일 시스템에 대한 특별 권한

세 가지 일반적인 권리 앞에 소개 : SUID, SGID, 스티커 : X, 승, 세 가지 특별한 권한 R이 있습니다

4.4.1 특별한 권한 SUID

전제 조건 : 물론 속하는 소유자의 그룹이, 파일 소유자와 그룹이
모든 실행 파일이 프로세스를 시작할 수 없습니다 1. 프로그램의 개시는 파일 권한 실행이 있는지 여부에 따라
그 처리 후에 처리 할 2. 시작 그룹이 그룹의 소유자가 개시는, 프로세스의 개시가 속한이다
권한을 프로세스가 파일에 액세스 3. 프로세스의 개시가에 따라
응용 프로그램 파일 속성 : 파일의 소유자로, 프로세스의 개시 (A) 마스터 권한
프로세스 개시제 (b)는 파일에 속하는 그룹이다 애플리케이션 파일 권한이 기
(c) 어플리케이션 파일 "기타"권한
SUID 특징 이진 실행 파일 권한에 :

• 모든 실행 파일은 프로세스를 시작할 수 없습니다 : 프로그램의 개시는 파일이 실행 권한이 있는지 여부에 따라 달라집니다
• 원본 파일의 소유자의 주요 공정 인 과정으로 시작한 후
• SUID은 이진 실행 프로그램에 대한 유효
• 디렉토리에 SUID 의미없는
  SUID 권한 :

chmod u+s FILE...
chmod 6xxx FILE
chmod u-s FILE...

4.4.2 특별한 권한 SGID

SGID 바이너리 실행 파일 권한이 있습니다 :

• 모든 실행 파일은 프로세스를 시작할 수 없습니다 : 프로그램의 개시는 파일이 실행 권한이 있는지 여부에 따라 달라집니다
• 프로세스로 시작 후에는 원래의 프로그램에 대한 그룹의 과정이다 그룹이 파일입니다
  SGID 권한 :

chmod g+s FILE... 
chmod 2xxx FILE
chmod g-s FILE...

디렉토리 기능에 대한 SGID 권한 :
디렉토리가 설정 SGID가되면 사용자가 파일을 만들 때 기본적으로, 그것은 기본 그룹은 사용자가 속한이 그룹을위한하려면,이 디렉토리는 사용자가 만든이 디렉토리에 대한 쓰기 액세스 권한이 파일이 마지막에 속한 그룹은 일반적으로 협력 디렉토리 작성하는 데 사용되는 디렉토리의 집합입니다
SGID 권한 :

chmod g+s DIR...
chmod 2xxx DIR
chmod g-s DIR...

4.4.3 특별한 권한 스티키 비트

디렉토리는 사용자가 쓰기 권한에 관계없이 파일 사용 권한이나 소유권, 그 디렉토리에있는 파일을 삭제할 수 있습니다 일반적으로
만 소유자 또는 루트 파일이 파일을 삭제할 수 있습니다 스티키 비트가 설정되어있는 디렉토리에있는
파일에 의미가 끈적 설정
스티커 권한 설정 :

chmod o+t DIR...
chmod 1xxx DIR
chmod o-t DIR...

4.4.4 특수 권한 디지털 법

SUID SGID STICKY

000 0
001 1
010 2
011 3
100 4
101 5
110 6
111 7

허가 맵
SUID : 사용자 오너 실행 허가 비트 점유
S : 소유자 X 특권 가지고
상관 권한 X 소유자 : S
그룹에 속하는 권한 비트 실행 차지하는 그룹 : SGID
그룹은 X 특권 가지고 S
S를 그룹 : 없음 X를 권한
스티커 : 다른, 다른 실행 권한 비트를 차지
X가 다른 허가 : t
T를 : 다른 X 없음 권한을

4.5 구성 파일 특수 속성

특수 속성 설정 파일, 당신은 실수로 삭제 루트 사용자에 액세스하거나 파일을 수정할 수 있습니다
변경, 이름을 변경, 삭제할 수 없습니다
chattr +i
, 이름 변경, 삭제 할 수없는 경우에만 추가 콘텐츠를
chattr +a
디스플레이 특정 속성을
lsattr

4.6 액세스 제어 목록

4.6.1 ACL 권한 기능

ACL : 액세스 제어 목록, 유연한 권한 관리
소유자뿐만 아니라, 소유 그룹 및 기타 문서, 더 많은 사용자가 설정할 수있는 권한
CentOS7 기본 XFS 및 ext4를 파일 시스템은 기능 ACL 생성됩니다
CentOS7 버전 전에 수동으로 디폴트를 만들 ACL없이 ext4 파일 시스템은 수동으로 증가 필요

tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test

ACL 시행한다 순서 :
소유자, 사용자 지정 사용자, 소유 그룹 | 사용자 정의 그룹, 다른 사람

4.6.2 ACL 관련 명령

setfacl 명령은 ACL 권한을 설정할 수
의 설정을 볼 수 있습니다 ACL 권한 getfacl 사용을
마스크 권한을

• 마스크는 소유자 및 기타와 추가로 최대의 인권 그룹에 영향을 미치는
• 마스크는 제한 권한 (유효 권한을) 될 수있는 사용자의 권한을 가진 논리적 AND 연산 할 필요가 후
• 설정 사용자 또는 그룹 설정 권한의 범위 내에서 적용하려면 마스크에 존재해야합니다
  예를 :
  setfacl -m mask::rx file
  --set 옵션은 새로운 대안으로, 기존의 모든 ACL 항목을 삭제합니다, 우리는 우고 설정을하지 포함해야한다는 것을 주목해야 -m처럼 당신은 ACL에 추가 할 수있는
  예를 :
  setfacl --set u::rw,u:wang:rw,g::r,o::- file1

4.6.3 백업 및 복원 ACL

주요 파일 조작은 cp 명령과 ACL, 단지 -p 매개 변수를 추가해야 cp 명령을 지원 MV. 그러나 일반적인 백업 도구 타르로 ACL 정보 디렉토리를 보존하고 파일되지 않은
예 :

#备份ACL
getfacl -R /tmp/dir > acl.txt
#消除ACL权限
setfacl -R -b /tmp/dir
#还原ACL权限
setfacl -R  --set-file=acl.txt /tmp/dir
#还原ACL权限
setfacl --restore acl.txt
#查看ACL权限
getfacl -R /tmp/dir