/etc/passwd 用户名:密码占位符:UID:GID:注释信息:家目录:默认shell
定制用户属性
/etc/group 用户名:x:GID:以此组为额外组的用户列表:
/etc/shadow登录名:加密密码:最近以此密码修改的时间:密码最短使用期限:密码最长使用期限:密码到期警告天数:账号的非活动天数:账号过期期限:预留段
从1970年1月1日开始至上次修改密码时的天数
-u UID,有效范围0-65535 例:useradd -u UID Ubuntu
-g GID,有效范围已有的GID
-c COMMENT
-d /path/to/somewhere
-r 创建系统用户,ID范围1-499之间的用户
-M 不为用户创建家目录
-m 必须为用户创建家目录
usermod:
-u UID
-g GID
-a -G GID -a保留原来的额外组,增加新增的额外组 -G修改额外组会覆盖原有的额外组 append,追加
-c COMMENT
-s /PATH/TO/SHELL
-l New_NAME:修改用户登录名称
-m -d /path/to/somewhere -d只修改家目录指向,同时使用-m选项可实现将原来家目录移动为新的目录
groupadd
-g GID
-r 创建系统组
密码管理
passwd:修改自己的密码
-l:锁定用户账号
-u 解锁用户账号
shadow 用户名:密码
密码安全策略:
足够复杂:
1、密码长度至少5位:
2、包含大小写、数字和特殊字符至少三类
3、定期更换:不要重复只用此前用过的密码
groupmod 修改属性
-g GID
-n NEW_NAME
加密方法:
对称加密:加密和解密使用同一个密钥:3DES,AES(Advanced Encrption Standard):密钥管理及分发功能很差
公钥加密:也叫非对称加密:私钥/公钥(s/p),公钥可以从私钥中提取得到:加密速度慢:通常用于密钥分发:RSA, DSA
单项加密:只能加密不能解密,提取数据特征码,特性
1、无论输入是多大,其输出是定长的:
2、如果输入的数据一样,其结果一定一样;反之,输入数据的微小改变,将引起结果的巨大改变,雪崩效应
3、算法:md5(message digest),SHA(Secure Hash Algorithm),SHA1
Md5:128bits,sha1:160bits, sha-256:256bits, sha-512:512bits
openssl passwd -1 -salt 12345678 pa55word
密钥属性的修改:
passwd
-e
-n: 密码最短使用天数
-x: 最长使用天数
-w: 警告天数
-I:非活动时长
chage
-d:修改密码的最近一次修改时间
-m: 密码最短使用期限
-M: 密码最长使用期限
-W:警告天数
-I:非活动天数
-E:过期时间
chmod
-e YYYY-MM-DD
-f 0过期 -1表示永不过期
gpasswd:为组设定密码
newgrp GROUP:临时设定指定的组为自己的基本组
权限:
r:read,4
w:write,2
x:execute,1文件可发起的进程,目录表示可ls,-l,cd
文件系统安全模型:
属主,属组,其他人
改变文件权限(mode)
chmod:change mode
chmod [选项] 权限 文件
权限定义方式:
1.同时修改三类用户的权限:8进制数字方式
2.修改某一类或某些用户的权限:u,g,o , a
3.只操作某类用户的某位或某些位权限:u,g , o ,a
选项:
-R:递归修改权限:
--reference=/path/to/somefile
例:chmod --reference=/etc cups/
修改文件的属主和属组:
chown[选项] 用户 文件
chgrp [选项] 组 文件
chown mongodb a.txt
chgrp mongodb a.txt
chown 用户:组 文件
chown 用户.组 文件
只更改文件组 chown :redis a.txt
chown --reference=b.txt a.txt
删除用户
userdel USERNAME
-r 删除家目录
删除组
group GROUPNAME
管理员和普通用户创建文件或目录的默认权限:
umask:遮罩码
创建文件:666-umask
文件默认不能有执行权限
创建目录:777-umask
设定umask
umask 002 仅对当前shell生效退出后还原
shell环境设定:
shell也是应用程序,工作于用户模式;运行为进程:
shell进程用户提供命令行界面;提供一些列工作特性,有些特性可以自行设定:
/etc/shells: tcsh, dash,
/sbin/nologin: 不能登录
useradd -s /sbin/nologin mongodb
原文:http://blog.51cto.com/yq1986/2337218