一，Linux的安全模型
1.安全3A
Authentication(認(rèn)證),Authorization(授權(quán)),Accounting(審計(jì))(AAA)是用于對(duì)計(jì)算機(jī)資源的訪問(wèn)、策略執(zhí)行、審計(jì)使用情況和提供服務(wù)賬單所需信息等功能進(jìn)行智能控制的基本組件的一個(gè)術(shù)語(yǔ)。大多數(shù)人認(rèn)為這三個(gè)組合的過(guò)程對(duì)有效的網(wǎng)絡(luò)管理和系統(tǒng)安全管理非常重要。

第一步，認(rèn)證策略提供了辨識(shí)某個(gè)用戶的方法，一般是在認(rèn)證成功之前要求用戶輸入一個(gè)合法的用戶名和有效的密碼。認(rèn)證的過(guò)程有賴于每個(gè)用戶擁有獲取訪問(wèn)權(quán)的唯一標(biāo)準(zhǔn)，AAA服務(wù)會(huì)拿該標(biāo)準(zhǔn)（密碼）和數(shù)據(jù)庫(kù)中的密碼對(duì)比，如果匹配，則允許其訪問(wèn)計(jì)算機(jī)；否則，認(rèn)證失敗拒絕訪問(wèn)。

第二步，認(rèn)證完成后，用戶必須得到授權(quán)才能做特定的事情和處理相關(guān)任務(wù)。在登錄某個(gè)系統(tǒng)后，用戶可能會(huì)嘗試運(yùn)行相關(guān)的命令。授權(quán)的進(jìn)程會(huì)決定用戶是否有運(yùn)行該命令的權(quán)利。簡(jiǎn)單說(shuō)，授權(quán)就是實(shí)施策略的過(guò)程：即是確定允許用戶使用哪種類型或質(zhì)量的活動(dòng)、資源或服務(wù)的過(guò)程。 通常，授權(quán)發(fā)生在認(rèn)證的上下文環(huán)境中。一旦你認(rèn)證了某個(gè)用戶也就意味著該用戶也被授權(quán)了不同種類的訪問(wèn)和活動(dòng)。

在AAA框架中最后的一項(xiàng)是審計(jì)，意思是需要監(jiān)控和測(cè)量在訪問(wèn)的過(guò)程中的資源使用情況。身份認(rèn)證、授權(quán)和審計(jì)服務(wù)通常由專用的AAA服務(wù)提供，AAA服務(wù)是執(zhí)行這些功能的程序。

2.用戶登錄linux的背后發(fā)生了什么
二，Linux系統(tǒng)中用戶和組及相關(guān)的文件
1.linux系統(tǒng)中的用戶類型
一般linux用戶分為管理員和普通用戶，root用戶為超級(jí)管理員 1，超級(jí)管理員默認(rèn)名稱為：root；其UID為： 0 2，普通用戶的UID：1-60000 系統(tǒng)自動(dòng)分配；分為：系統(tǒng)用戶和登錄用戶 系統(tǒng)用戶：1-499（CentOS6）, 1-999 （CentOS7）系統(tǒng)用戶負(fù)責(zé)對(duì)守護(hù)進(jìn)程獲取資源進(jìn)行權(quán)限分配 登錄用戶：500+, 1000+（CentOS7） 使用交互式登錄
2.linux中的用戶組
管理員組的組ID(GID)也為0，叫root組(即使你把其他用戶加入root組，他任然是普通用戶) 普通組分為系統(tǒng)組和普通組： 系統(tǒng)組：1-499, 1-999（CENTOS7） 普通組：500+, 1000+（CENTOS7）

Linux組的類別
用戶的主要組(primary group)
用戶必須屬于一個(gè)且只有一個(gè)主組,組名同用戶名，且僅包含一個(gè)用戶，私有組
用戶的附加組(supplementary group)
一個(gè)用戶可以屬于零個(gè)或多個(gè)輔助組
3.Linux用戶和組的主要配置文件
用戶和組的配置文件都位于/etc文件夾下
/etc/passwd：保存用戶及其屬性信息(名稱、UID、主組ID等）
/etc/group：保存組及其屬性信息
/etc/shadow：保存用戶密碼及其相關(guān)屬性
/etc/gshadow：保存組密碼及其相關(guān)屬性
passwd文件格式
passwd文件格式:
1:2:3:4:5:6:7 # 每個(gè)用戶使用一行特定格式的文本記錄
1:login name：登錄用名（steve）
2:passwd：密碼 (x)
3:UID：用戶身份編號(hào) (1000)
4:GID：登錄默認(rèn)所在組編號(hào) (1000)
5:GECOS：用戶全名或注釋
6:home directory：用戶主目錄 (/home/steve)
7:shell：用戶默認(rèn)使用shell (/bin/bash)
shadow文件格式
shadow文件格式
daemon:*:18027:0:99999:7::: # 每個(gè)用戶使用一行特定格式的文本記錄
1:2:3:4:5:6:7:8:9
1:登錄用名
2:用戶密碼:一般用sha512加密
3:從1970年1月1日起到密碼最近一次被更改的時(shí)間
4:密碼再過(guò)幾天可以被變更（0表示隨時(shí)可被變更）
5:密碼再過(guò)幾天必須被變更（99999表示永不過(guò)期）
6:密碼過(guò)期前幾天系統(tǒng)提醒用戶（默認(rèn)為一周）
7:密碼過(guò)期幾天后帳號(hào)會(huì)被鎖定
8:從1970年1月1日算起，多少天后帳號(hào)失效
9:預(yù)留未用
group文件格式
group文件格式
daemon?2:
1:2:3:4
1:群組名稱：就是群組名稱
2:群組密碼：通常不需要設(shè)定，密碼是被記錄在 /etc/gshadow
3:GID：就是群組的 ID
4:以當(dāng)前組為附加組的用戶列表(分隔符為逗號(hào))
gshdow文件格式
gshdow文件格式
daemon:::
1:2:3:4
1:群組名稱：就是群的名稱
2:群組密碼：
3:組管理員列表：組管理員的列表，更改組密碼和成員
4:以當(dāng)前組為附加組的用戶列表：多個(gè)用戶間用逗號(hào)分隔
三，Linux系統(tǒng)中用戶和組的管理命令
1.相關(guān)文件操作
vipw & vigr vipw, vigr - edit the password, group, shadow-password or shadow-group file
-g, --group

Edit group database.
-p, --passwd
Edit passwd database.
-s, --shadow
Edit shadow or gshadow database.
pwck
pwck - verify integrity of password files

grpck
grpck - verify integrity of group files

2.用戶和組管理命令
用戶管理命令

useradd usermod userdel

組帳號(hào)維護(hù)命令

groupadd groupmod groupdel

useradd 創(chuàng)建用戶
選項(xiàng)\用法 useradd [options] LOGIN
-u UID 指定用戶UID
-o 配合-u 選項(xiàng)，不檢查UID的唯一性，可創(chuàng)建不同用戶名同UID的用戶
-g GID GID 指明用戶所屬基本組，可為組名，也可以GID
-c “COMMENT“ 指定用戶的注釋信息
-d HOME_DIR 指定路徑(不存在)為家目錄
-s SHELL 指明用戶的默認(rèn)shell程序，可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,…] 為用戶指明附加組，組須事先存在
-N 不創(chuàng)建私用組做主組，使用users組做主組
-r 創(chuàng)建系統(tǒng)用戶 CentOS 6: ID<500，CentOS 7: ID<1000
-m 創(chuàng)建家目錄，用于系統(tǒng)用戶
-M 不創(chuàng)建家目錄，用于非系統(tǒng)用戶
創(chuàng)建用戶時(shí)默認(rèn)值設(shè)定文件 /etc/default/useradd
顯示或更改默認(rèn)設(shè)置 useradd -D 顯示目前的默認(rèn)值
useradd –D -s SHELL 改變新建用戶的默認(rèn)shell
useradd –D –b BASE_DIR 改變新建用戶的默認(rèn)家目錄
useradd –D –g GROUP 改變新建用戶的所屬組
新建用戶的相關(guān)文件和命令
/etc/default/useradd
/etc/skel/*
/etc/login.defs
newusers 使用passwd格式文件 批量創(chuàng)建用戶
chpasswd 批量修改多個(gè)用戶口令 每行的格式：username:passwd
usermod 修改用戶屬性
參數(shù)\用法 usermod [OPTION] login
-u UID 指定新UID
-g GID 指定新主組
-G GROUP1[,GROUP2,…[,GROUPN]]] 指定新附加組，原來(lái)的附加組將會(huì)被覆蓋；若保留原有，則要同時(shí)使用-a選項(xiàng)
-s SHELL 新的默認(rèn)SHELL
-c ‘COMMENT’ 新的注釋信息
-d HOME 新家目錄不會(huì)自動(dòng)創(chuàng)建；若要?jiǎng)?chuàng)建新家目錄并移動(dòng)原家數(shù)據(jù)，同時(shí)使用-m選項(xiàng)
-l login_name 新的名字
-L lock指定用戶,即是在/etc/shadow 密碼欄的增加感嘆號(hào)!
-U unlock指定用戶,將 /etc/shadow 密碼欄的 ! 拿掉
-e YYYY-MM-DD 指明用戶賬號(hào)過(guò)期日期
-f INACTIVE 設(shè)定非活動(dòng)期限
userdel刪除用戶
選項(xiàng)\用法 userdel [OPTION]… Login
-f, --force 強(qiáng)制刪除用戶
-r, --remove 刪除用戶家目錄和郵箱
id命令查看用戶相關(guān)的ID信息
選項(xiàng)\用法 id [OPTION]… [USER]
-u 顯示UID
-g 顯示GID
-G 顯示用戶所屬的組的ID
-n 顯示名稱，需配合ugG使用
su命令切換用戶或以其他用戶身份執(zhí)行命令
選項(xiàng)\用法 [user [args…]]
切換用戶的方式
su UserName 非登錄式切換，即不會(huì)讀取目標(biāo)用戶的配置文件，不改變當(dāng)前工作目錄
su - UserName 登錄式切換，會(huì)讀取目標(biāo)用戶的配置文件，切換至家目錄，完全切換
root使用su切換至其他用戶無(wú)須密碼；非root用戶切換時(shí)需要密碼
換個(gè)身份執(zhí)行命令
UserName -c ‘COMMAND’ 執(zhí)行完命令還在當(dāng)前用戶下
選項(xiàng)：-l --login
su -l UserName 相當(dāng)于 su - UserName
使用passwd命令設(shè)置密碼
選項(xiàng)\用法 passwd [OPTIONS] UserName: 修改指定用戶的密碼
常用選項(xiàng)
-d 刪除指定用戶密碼
-l 鎖定指定用戶
-u 解鎖指定用戶
-e 強(qiáng)制用戶下次登錄修改密碼
-f 強(qiáng)制操作
-n mindays 指定最短使用期限
-x maxdays 最大使用期限
-w warndays 提前多少天開(kāi)始警告
-i inactivedays 非活動(dòng)期限
–stdin 從標(biāo)準(zhǔn)輸入接收用戶密碼
示例：echo “PASSWORD” | passwd --stdin USERNAME
用戶相關(guān)的其它命令
chfn 指定個(gè)人信息
chsh 指定shell
finger 查看相關(guān)的注釋信息
使用groupadd命令創(chuàng)建組
選項(xiàng)\用法 groupadd [OPTION]… group_name
-g GID 指明GID號(hào)；范圍[GID_MIN, GID_MAX]
-r 創(chuàng)建系統(tǒng)組
CentOS 6: ID<500
CentOS 7: ID<1000
修改groupmod和刪除組groupdel
選項(xiàng)\用法 groupmod [OPTION]… group
-n group_name 指定組的新名字
-g GID 新的GID
組刪除：groupdel groupdel GROUP
gpasswd命令更改組密碼
選項(xiàng)\用法 gpasswd [OPTION] GROUP
-a user 將user添加至指定組中
-d user 從指定組中移除用戶user
-A user1,user2,… 設(shè)置有管理權(quán)限的用戶列表
newgrp命令：臨時(shí)切換主組
如果用戶本不屬于此組，則需要組密碼
groupmems更改和groups查看組成員
選項(xiàng)\用法 groupmems [options] [action]
options：
-g, --group groupname 更改為指定組 (只有root)
actions：
-a, --add username 指定用戶加入組
-d, --delete username 從組中刪除用戶
-p, --purge 從組中清除所有成員
-l, --list 顯示組成員列表
groups [OPTION].[USERNAME]… 查看用戶所屬組列表
練習(xí)
題目 解答
創(chuàng)建用戶gentoo，附加組為bin和root，默認(rèn)shell為/bin/csh，注釋信息為"Gentoo Distribution” useradd -G bin,root -s /bin/csh -c “Gentoo Distribution” gentoo
創(chuàng)建下面的用戶、組和組成員關(guān)系
名字為webs 的組 groupadd webs
用戶nginx，使用webs 作為附加組 useradd -G webs nginx
用戶varnish，使用webs 作為附加組 useradd -G webs varnish
用戶mysql，不可交互登錄系統(tǒng)，且不是webs的成員，nginx，varnish，mysql密碼都是magedu
useradd mysql -s /bin/nologin
cat > passwd <<EOF
nginx:magedu
varnish:magedu
mysql:magedu
EOF
echo passwd | chpasswd
四，Linux系統(tǒng)中文件權(quán)限管理
1.文件屬性及命令
文件屬性

文件屬性操作命令
chown 設(shè)置文件的所有者
chgrp 設(shè)置文件的屬組信息
使用chown/chgrp修改文件的屬主和屬組
選項(xiàng)/用法 chown [OPTION]… [OWNER][:[GROUP]] FILE…
chown OWNER file 改變文件屬主
chown OWNER:GROUP 同時(shí)改變屬主和屬組
chown :GROUP 只改變屬組，冒號(hào)也可用 . 替換
-R: 遞歸
chown [OPTION]… --reference=RFILE FILE… 繼承文件的屬主屬組
修改文件的屬組：chgrp
chgrp [OPTION]… GROUP FILE…
chgrp [OPTION]… --reference=RFILE FILE…
-R 遞歸
2.文件的權(quán)限
文件的權(quán)限主要針對(duì)三類對(duì)象進(jìn)行定義
owner 屬主, u
group 屬組, g
other 其他, o
每個(gè)文件針對(duì)每類訪問(wèn)者都定義了三種權(quán)限
r Readable
w Writable
x eXcutable
每種權(quán)限所對(duì)應(yīng)的具體允許行為
文件
r 可使用文件查看類工具獲取其內(nèi)容
w 可修改其內(nèi)容
x 可以把此文件提請(qǐng)內(nèi)核啟動(dòng)為一個(gè)進(jìn)程
目錄
r 可以使用ls查看此目錄中文件列表
w 可在此目錄中創(chuàng)建文件，也可刪除此目錄中的文件
x 可以使用ls -l查看此目錄中文件元數(shù)據(jù)（須配合r），可以cd進(jìn)入此目錄
X 只給目錄x權(quán)限，不給文件x權(quán)限
使用觸chmod更改文件權(quán)限
選項(xiàng)/用法
chmod [OPTION]… OCTAL-MODE FILE…
-R: 遞歸修改權(quán)限
chmod [OPTION]… MODE[,MODE]… FILE…
MODE：修改一類用戶的所有權(quán)限
u= g= o= ug= a= u=,g=
修改一類用戶某位或某些位權(quán)限
u+ u- g+ g- o+ o- a+ a- + -
chmod [OPTION]… --reference=RFILE FILE…
參考RFILE文件的權(quán)限，將FILE的修改為同RFILE
權(quán)限設(shè)置示例
chgrp market files
chown root:admins testfile
chmod u+wx,g-r,o=rx file
chmod -R g+rwX /pat/to/dir
chmod 600 file
chown steve file1
使用umask來(lái)規(guī)定新創(chuàng)建的文件和目錄的默認(rèn)權(quán)限
新建文件的默認(rèn)權(quán)=666-umask 如果所得結(jié)果某位存在執(zhí)行（奇數(shù)）權(quán)限，則將其權(quán)限+1
新建目錄的默認(rèn)權(quán)限=777-umask
非特權(quán)用戶umask是 002
root的umask 是 022
umask 默認(rèn)查看當(dāng)前shell環(huán)境的umask
umask # 設(shè)定umask
示例：umask 002
umask u=rw,g=r,o=
umask –S 模式方式顯示
umask –p 輸出可被調(diào)用
配置文件：全局設(shè)置：/etc/bashrc 用戶設(shè)置：~/.bashrc
練習(xí)
當(dāng)用戶docker對(duì)/testdir 目錄無(wú)執(zhí)行權(quán)限時(shí)，意味著無(wú)法做哪些操作？ docker不能新建、重命名或刪除文件，不能追加目錄內(nèi)文件內(nèi)容，不能轉(zhuǎn)到該目錄
當(dāng)用戶mongodb對(duì)/testdir 目錄無(wú)讀權(quán)限時(shí)，意味著無(wú)法做哪些操作？
當(dāng)用戶redis 對(duì)/testdir 目錄無(wú)寫(xiě)權(quán)限時(shí)，該目錄下的只讀文件file1是否可修改和刪除？ 不可以
當(dāng)用戶zabbix對(duì)/testdir 目錄有寫(xiě)和執(zhí)行權(quán)限時(shí)，該目錄下的只讀文件file1是否可修改和刪除？ 只讀文件只可以讀，不可以修改，因?yàn)閷?duì)目錄有執(zhí)行權(quán)限，所有可以刪除文件
復(fù)制/etc/fstab文件到/var/tmp下，設(shè)置文件所有者為tomcat讀寫(xiě)權(quán)限，所屬組為apps組有讀寫(xiě)權(quán)限，其他人無(wú)權(quán)限 cp /etc/fstab /var/tmp/–> chown tomcat:apps /var/tmp–> chmod 660 /var/tmp/fstab
誤刪除了用戶git的家目錄，請(qǐng)重建并恢復(fù)該用戶家目錄及相應(yīng)的權(quán)限屬性 cp -a /etc/skel/ /home/git/ --> chown -R git:git /home/git/–>chmod -R 700 /home/git
五，Linux系統(tǒng)中的特殊權(quán)限
1.linux中有三種特殊權(quán)限
SUID SGUI Sticky
用于可執(zhí)行文件 用于可執(zhí)行文件和目錄 目錄設(shè)置Sticky 位，只有文件的所有者或root可以刪除該文件
2.SUID權(quán)限用于可執(zhí)行文件上
任何一個(gè)可執(zhí)行程序文件能不能啟動(dòng)為進(jìn)程：取決發(fā)起者對(duì)程序文件是否擁有執(zhí)行權(quán)限
啟動(dòng)為進(jìn)程之后，其進(jìn)程的屬主為原程序文件的屬主
SUID只對(duì)二進(jìn)制可執(zhí)行程序有效 ;SUID設(shè)置在目錄上無(wú)意義
權(quán)限設(shè)定
chmod u+s FILE…
chmod u-s FILE…
3.SGID權(quán)限用于可執(zhí)行文件上
任何一個(gè)可執(zhí)行程序文件能不能啟動(dòng)為進(jìn)程：取決發(fā)起者對(duì)程序文件是否擁有執(zhí)行權(quán)限
啟動(dòng)為進(jìn)程之后，其進(jìn)程的屬組為原程序文件的屬組
權(quán)限設(shè)定：
chmod g+s FILE…
chmod g-s FILE…
4.SGID權(quán)限用于目錄，用來(lái)創(chuàng)建一個(gè)協(xié)作目錄
默認(rèn)情況下，用戶創(chuàng)建文件時(shí)，其屬組為此用戶所屬的主組
一旦某目錄被設(shè)定了SGID，則對(duì)此目錄有寫(xiě)權(quán)限的用戶在此目錄中創(chuàng)建的文件
所屬的組為此目錄的屬組;通常用于創(chuàng)建一個(gè)協(xié)作目錄
權(quán)限設(shè)定：
chmod g+s DIR…
chmod g-s DIR…
5.Sticky位 權(quán)限
具有寫(xiě)權(quán)限的目錄通常用戶可以刪除該目錄中的任何文件，無(wú)論該文件的權(quán)限或擁有權(quán)
在目錄設(shè)置Sticky 位，只有文件的所有者或root可以刪除該文件
sticky 設(shè)置在文件上無(wú)意義
權(quán)限設(shè)定：
chmod o+t DIR…
chmod o-t DIR…
例如：
ls -ld /tmp
drwxrwxrwt 12 root root 4096 Nov 2 15:44 /tmp
用數(shù)字表示特殊權(quán)限
特殊權(quán)限數(shù)字法
SUID SGID STICKY
000 0
001 1
010 2
011 3
100 4
101 5
110 6
111 7
chmod 4777 /tmp/a.txt
6.特殊權(quán)限位映射
SUID: user,占據(jù)屬主的執(zhí)行權(quán)限位
s 屬主擁有x權(quán)限
S 屬主沒(méi)有x權(quán)限
SGID group,占據(jù)屬組的執(zhí)行權(quán)限位
s group擁有x權(quán)限
S group沒(méi)有x權(quán)限
Sticky other,占據(jù)other的執(zhí)行權(quán)限位
t other擁有x權(quán)限
T other沒(méi)有x權(quán)限 v
7.設(shè)置文件特定屬性
chattr +i file 不能刪除，改名，更改
chattr +a file 只能追加內(nèi)容
lsattr file 顯示特定屬性
六，Linux文件系統(tǒng)的FACL
FACL全稱為：文件訪問(wèn)控制列表
ACL：Access Control List 用于實(shí)現(xiàn)靈活的權(quán)限管理
除了文件的所有者，所屬組和其它人，可以對(duì)更多的用戶設(shè)置權(quán)限
CentOS7 默認(rèn)創(chuàng)建的xfs和ext4文件系統(tǒng)具有ACL功能
CentOS7 之前版本，默認(rèn)手工創(chuàng)建的ext4文件系統(tǒng)無(wú)ACL功能,需手動(dòng)增加
tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test
ACL生效順序：所有者–>自定義用戶–>所屬組|自定義組–>其他人
**為多用戶或者組的文件和目錄賦予訪問(wèn)權(quán)限r(nóng)wx **
mount -o acl /directory 開(kāi)啟facl功能
getfacl file |directory
setfacl -m u:wang:rwx file|directory
setfacl -m g:admins:rw file| directory
setfacl -x u:wang file|directory
setfacl -b file1 清除所有ACL權(quán)限
getfacl file1 | setfacl --set-file=- file2 復(fù)制file1的acl權(quán)限給file2
mask只影響除所有者和other的之外的人和組的最大權(quán)限
mask需要與用戶的權(quán)限進(jìn)行邏輯與運(yùn)算后，才能變成有限的權(quán)限(Effective Permission)
用戶或組的設(shè)置必須存在于mask權(quán)限設(shè)定范圍內(nèi)才會(huì)生效
setfacl -m mask::rx file
–set選項(xiàng)會(huì)把原有的ACL項(xiàng)都刪除，用新的替代，需要注意的是一定要包含
UGO的設(shè)置，不能象-m一樣只是添加ACL就可以
示例：
setfacl --set u::rw,u:wang:rw,g::r,o::- file1
備份和恢復(fù)ACL
主要的文件操作命令cp和mv都支持ACL，只是cp命令需要加上-p 參數(shù)。但是tar等常見(jiàn)的備份工具是不會(huì)保留目錄和文件的ACL信息
getfacl -R /tmp/dir1 > acl.txt
setfacl -R -b /tmp/dir1
setfacl -R --set-file=acl.txt /tmp/dir1
setfacl --restore acl.txt
getfacl -R /tmp/dir1