第3章 系統(tǒng)安全

1、第3章系統(tǒng)安全 本章要點 文件和目錄的訪問權(quán)限設(shè)置 用戶管理與維護基本知識、常用命令 組管理與維護基本知識、常用命令3.1文件和目錄的訪問權(quán)限設(shè)置1文件和目錄的訪問權(quán)限在“l(fā)s -l”命令的顯示結(jié)果中，每行第1個字段的第210位表示文件或目錄的訪問權(quán)限。- r w x r - - r - -1root root 10 10月 9 16:57 myfile.txt文件所屬用戶權(quán)限其他用戶權(quán)限同組用戶權(quán)限在表示權(quán)限時，具有某種權(quán)限就在該位置用相應(yīng)的權(quán)限字母表示， 不具有該權(quán)限，使用“-”表示。讀權(quán)限、寫權(quán)限和執(zhí)行權(quán)限對文件和目錄具有不同的含義。文件的訪問權(quán)限：讀權(quán)限(r)：只允許用戶讀其內(nèi)容，而禁

2、止做任何的更改操作。寫權(quán)限(w)：允許用戶修改或刪除文件。執(zhí)行權(quán)限(x)：用戶可以將該文件作為一個程序執(zhí)行。執(zhí)行權(quán)限只對可執(zhí)行文件起作用，例如可執(zhí)行的二進制文件或腳本文件，對其他格式的文件則不起作用。目錄的訪問權(quán)限：讀權(quán)限(r)：允許列出存儲在該目錄下的文件，即讀目錄內(nèi)容列表。寫權(quán)限(w)：允許從目錄中刪除或添加新的文件或目錄。執(zhí)行權(quán)限(x)：允許在目錄中查找，并能用cd命令將工作目錄轉(zhuǎn)到該目錄。文件和目錄的訪問權(quán)限除了用r、w、x、- 表示之外，還可以使用數(shù)字來表示outfile.txt文件權(quán)限myfile.txt的權(quán)限655r wxr-r - -11 0 1 01 1 0111110010

3、 0r w- r -xr - x7442改變文件和目錄的訪問權(quán)限chmod命令文件和目錄具有的權(quán)限并不是一成不變的，用戶可以根據(jù)需要對權(quán)限進行修改。普通用戶在未授權(quán)的情況下，只能對個人主目錄中的文件和目錄修改權(quán)限，而超級用戶可以對系統(tǒng)中所有的文件和目錄修改權(quán)限。修改權(quán)限使用chmod命令。語法：chmod 參數(shù)模式 文件或目錄參數(shù)：-R：改變目錄的權(quán)限時，對目錄下的所有文件與子目錄進行相同權(quán)限的變更(即以遞歸的方式逐個變更)。-f：強制改變文件的訪問權(quán)限，如果是文件的擁有者，則不會出現(xiàn)錯誤信息。模式有兩種形式，一種稱為字符方式，一種稱為數(shù)字方式。字符方式由用戶、操作符、許可權(quán)三部分組成，表示增

4、加/減少/設(shè)置何種用戶對文件的何種操作權(quán)限。用戶用以下的字母表示：許可權(quán)包括：r w x u g o讀權(quán)限寫權(quán)限執(zhí)行權(quán)限和文件擁有者權(quán)限相同和文件擁有者同組的用戶權(quán)限相同和其他用戶權(quán)限相同u g oa文件所屬用戶同組用戶其他用戶所有用戶(默認值，和ugo聯(lián)合使用時等價)操作符包括：+-=在原有權(quán)限基礎(chǔ)上增加權(quán)限在原有權(quán)限基礎(chǔ)上減少權(quán)限重新指定權(quán)限，原有權(quán)限將全部消失例1：增加所屬用戶對appc文件的執(zhí)行權(quán)限，增加同組用戶對appc文件的寫權(quán)限：rootlocalhost test# chmod u+x,g+w appc例2：取消所屬用戶對myfile文件的寫權(quán)限：rootlocalhost t

5、est# chmod u-w myfile數(shù)字方式是指直接用八進制的權(quán)限碼表示文件和目錄的權(quán)限。例如：rootlocalhost test# chmod 444 myfile3設(shè)置默認權(quán)限掩碼umask命令當用戶創(chuàng)建一個新的文件或目錄時，Linux系統(tǒng)根據(jù)umask命令的參數(shù)來設(shè)定新創(chuàng)建文件和目錄的訪問權(quán)限，umask命令的參數(shù)稱為默認權(quán)限掩碼。新建文件和目錄的權(quán)限是由以下兩條共同決定的： 系統(tǒng)默認權(quán)限 默認權(quán)限掩碼目錄的系統(tǒng)默認權(quán)限為777，文件的系統(tǒng)默認權(quán)限為666，即系統(tǒng)不會自動為新建文件設(shè)置執(zhí)行權(quán)限。公式：新建文件和目錄的權(quán)限等于系統(tǒng)默認權(quán)限邏輯與默認權(quán)限掩碼的反碼 。語法：umask

6、 默認權(quán)限掩碼值默認權(quán)限掩碼是位的掩碼，掩碼位為1表示新創(chuàng)建的文件和目錄的相應(yīng)訪問權(quán)限應(yīng)該被關(guān)閉。例如：rootlocalhost test# umask 077系統(tǒng)默認權(quán)限掩碼的設(shè)置只在當前系統(tǒng)中有效，系統(tǒng)重新啟動后，默認權(quán)限掩碼又會恢復到系統(tǒng)的默認值，如果想讓設(shè)置的默認權(quán)限掩碼在系統(tǒng)重啟后保持不變，可以將umask的設(shè)置寫到系統(tǒng)配置文件/etc/profile中。4改變文件或目錄的所屬組chgrp命令語法：chgrp 參數(shù) 組 文件或目錄列表chgrp命令用于改變文件或目錄所屬的用戶組。其中組可以是組ID，也可以是組名。文件或目錄列表支持通配符。參數(shù)：-R：遞歸地改變目錄及其所有的文件和子

7、目錄的屬組。例如：rootlocalhost root# chgrp -R book /opt/local /book改變/opt/local目錄、/book目錄及其子目錄下的所有文件和子目錄的屬組為book。5. 改變文件或目錄的所屬用戶或所屬組chown命令語法：chown 參數(shù) 用戶:組 文件或目錄列表chown命令可以改變文件或目錄的擁有者，也可以改變文件或目錄的所屬組。用戶可以是用戶名或用戶ID。組可以是組名或組ID。文件或目錄列表支持通配符。參數(shù)：-R：遞歸地改變目錄及其下的所有文件和子目錄的擁有者或所屬組。例如：rootlocalhost root# chown oracle o

8、raclefile.tar將文件oraclefile.tar的所有者改為oracle。3.2用戶管理3.2.1用戶的分類Linux中的用戶分為兩種類型，一種是超級用戶，一種是普通用戶。除了用戶帳號外，Linux還為用戶分配了數(shù)字型的用戶ID號，超級用戶的ID為0，普通用戶的ID一般在50060000之間。3.2.2用戶帳Linux系統(tǒng)使用帳來保存用戶賬戶信息，其中包括1/etc/passwd該文件由許多條記錄組成，每條記錄占一行，記錄了一個用戶帳號的必要信息。每條記錄由7個字段組成，字段間用冒號“：”隔開，其格式如下：用戶ID：組ID：個人信息：用戶主目錄：使用的Shell用戶名：用戶名：用戶

9、登錄系統(tǒng)使用的帳號。：用戶登錄時驗證其身份的。用戶ID：系統(tǒng)中用來惟一標識用戶的數(shù)字。組ID：用戶所在基本組的標識，Linux系統(tǒng)內(nèi)部使用它來區(qū)分不同的 組，相同的組具有相同的GID。個人信息：記錄了用戶的一些個人信息，如電話、傳真等，也可以為 空，用于finger命令的輸出。用戶主目錄：通常在/home下，目錄名和用戶名相同，是用戶成功登錄后的默認當前目錄。使用cd 可以轉(zhuǎn)到當前用戶的主目錄。Shell：用戶登錄后，要啟動一個進程，負責將用戶的操作傳給內(nèi)核，這個進程是用戶登錄到系統(tǒng)后運行的命令解釋器或某個特定的程序， 即Shell。2/etc/shadow該文件又稱為文件，存放有用戶真正的，

10、只對超級用戶可讀。文件中包含一行行的記錄，每行記錄和passwd文件的記錄行相對應(yīng)。每行記錄由9個字段組成， 字段之間以冒號“：”分隔。這些字段分別是：用戶名：加密后的：最后一次修改時間：最小時間間隔：最大時間間隔：警告時間：不活動時間：失效時間：標志用戶名：與/etc/passwd文件中的用戶名一致。加密后的：為空則表示用戶不需即可登錄。為“！”表示未設(shè)置。如果第一個字符是“*”則表示該用戶被禁用。最后一次修改時間：從1970年1月1日到用戶最后一次修改經(jīng)過的天數(shù)。最小時間間隔：兩次修改間隔的最小天數(shù)。最大時間間隔：保持有效的最大天數(shù)。警告時間：從系統(tǒng)提出警告到正式失效的天數(shù)。不活動時間：過

11、期多少天后，該賬號被禁用。失效時間：從1970年1月1日到標志：未使用。失效的絕對天數(shù)。3.2.3 用戶帳號管理1增加用戶增加用戶使用useradd或adduser命令，只有超級用戶root才能執(zhí)行添加用戶操作。語法：useradd 參數(shù) 用戶名參數(shù)：-c comment：關(guān)于用戶的注釋性描述。-d dirctory：為用戶設(shè)置主目錄。默認是在/home下和用戶名同名的目錄。-g group：為用戶設(shè)置基本組。如不指定該參數(shù)，則建立用戶同時會建立一個和用戶名同名的組，組ID為當前最大的組ID加1，作為用戶的基本組。-G group：為用戶設(shè)置附屬組，該用戶將同時是這些組的成員。如果有多個組，不

12、同組之間用“，”隔開。group必須是事先存在的。-m：若用戶的主目錄不存在，則建立此目錄。-k shell_dir：在使用m選項時，把shell_dir目錄中的文件復制到用戶的主目錄中。如不指定shell_dir，則將/etc/skel下的文件復制過去。注意，此選項必須和-m選項同時使用。-s shell：設(shè)置用戶登錄后進入的Shell。-u uid：設(shè)置用戶的UID。例如：rootlocalhost root# useradd user1手工建立用戶主要是執(zhí)行以下幾個步驟：1) 在/etc/passwd文件中增加一行用戶信息。2) 建立用戶主目錄，并賦予用戶對主目錄的讀、寫、執(zhí)行權(quán)限。3)

13、 將/etc/skel目錄下的內(nèi)容包括隱藏文件全部拷貝到用戶主目錄中。4) 執(zhí)行pwconv命令，使passwd文件和shadow文件保持一致。5) 設(shè)置用戶初始。2設(shè)置用戶添加用戶后，還必須為用戶設(shè)置才能使用該帳號登錄系統(tǒng)。用戶進行修改。以后可以隨時由超級用戶或用戶自己語法：passwd 用戶名3刪除用戶語法：passwd -d 用戶名4禁用和恢復用戶帳號暫時禁止某用戶登錄系統(tǒng)，或是為禁止的用戶解禁。使用帶參數(shù)的passwd命令。語法：passwd 參數(shù) 用戶名參數(shù)：-l：鎖定用戶，該用戶將被禁用，無法登錄系統(tǒng)。-u：對被鎖定的用戶解除鎖定，用戶可以繼續(xù)登錄系統(tǒng)。-S：查看用戶當前的狀態(tài)。5

14、刪除用戶語法：userdel 參數(shù) 用戶名參數(shù)：-r：刪除用戶帳戶的同時，將用戶主目錄及其下的所有文件和目錄全部刪除掉。6. 查看登錄用戶(1) who命令功能：查看當前有哪些用戶登錄到系統(tǒng)中來。(2) whoami命令功能：查看當前本終端登錄系統(tǒng)的用戶名稱。(3) w命令功能：系統(tǒng)管理員在任意時刻都可以查看有哪些用戶登錄到系統(tǒng)中并且在做什么。語法：w 用戶名(4) last命令在進行系統(tǒng)維護時，管理員可以查看過去都有哪些用戶登錄到系統(tǒng)中來，這時使用last命令。last命令可以查看的信息包括：登錄的用戶名、登錄用戶使用的終端、登錄的日期和時間，登錄用戶現(xiàn)在的狀態(tài)。3.2.5單用戶模式當roo

15、t用戶忘記了自己的登錄，或是因為誤操作刪除了系統(tǒng)的帳用戶模式修改root，而又退出了系統(tǒng)時，可以進入單。在Linux5.0系統(tǒng)中，單用戶模式的系統(tǒng)提示符為：sh-3.00#啟動單用戶模式有幾種方式： 在多用戶模式或圖形方式下，執(zhí)行init 1命令。 修改/etc/inittab文件，使系統(tǒng)默認啟動單用戶模式。id:3:initdefault:#系統(tǒng)默認啟動完全多用戶模式將3改為1，則默認啟動單用戶模式 通過GRUB啟動管理器對系統(tǒng)內(nèi)核參數(shù)進行修改3.2.6用戶身份的轉(zhuǎn)換su命令可以實現(xiàn)用戶身份的轉(zhuǎn)換，前提是能夠提供新身份的正確，超級用戶轉(zhuǎn)換為其他用戶不需要輸入。su命令有兩種語法形式：su -

16、s shell-c command用戶帳號 su -s shell-c command - 用戶帳號參數(shù)：-s shell：指定轉(zhuǎn)換后的用戶使用的Shell。-c command：執(zhí)行command時使用轉(zhuǎn)換后的身份，執(zhí)行完畢再轉(zhuǎn)換回原來的身份。注意：-和用戶帳號之間有一個空格間隔。3.3組的管理3.3.1組帳和用戶管理類似，組的管理也使用帳1/etc/group文件保存組的信息。文件中的每一行記錄了一個組的信息，每行記錄包括4個字段， 不同的字段之間用冒號隔開，內(nèi)容包括：組GID：組成員組名：組 組：加入組時需要的，通常并不使用。 組GID：系統(tǒng)為組分配的數(shù)字值，用于系統(tǒng)內(nèi)部對組的標識，組名

17、不同，GID也不相同。 組成員：屬于該組的用戶帳號列表，各帳號間用逗號分隔。3.3.2組的添加和刪除組的添加使用groupadd命令，只能由超級用戶執(zhí)行添加組操作。語法：groupadd 組名例如：rootlocalhost root# groupadd workgroup刪除組使用groupdel 組名注意：刪除組時，如果該組是用戶的基本組，則組不能被刪除。另外，組被刪除時，組所擁有的文件并不會被刪除掉，這些文件的所屬組信息也不會發(fā)生改變。3.3.3組的維護1. 修改組的屬性語法：groupmod 參數(shù) 組名參數(shù)：-g newgid ：把組的GID改成newgid。-n newname ：把組的名稱改成newname。2. 組中用戶的添加和刪除語法：gpasswd 參數(shù) 組名參數(shù)