基础命令及用户管理

 linux系统登录流程介绍

    用户名、密码登录 --> 权限的管理 --> 审计（日志）
    查看登录日志：/var/log/secure

 Linux基础命令

    分为：内建命令和外部命令
    （1）内建命令是shell的一部分，其中包含的是一些比较简单的linux系统命令，这些命令由shell程序识别并在shell程序内部完成运行，通常在linux系统加载运行shell时就被加载并驻留在系统内存中，其执行速度比外部命令要快，因为解析内部命令shell不需要创建子进程。
    比如：exit、history、echo、cd
    （2）外部命令是linux系统中的实用程序，因为实用程序功能比较强大，所以其包含的程序量也会很大，在系统加载时并不随系统一起被加载到内存中，而是在需要时才将其调用到内存执行。
    比如：ls、vim

    type命令可以分辨内部命令和外部命令，执行type命令会有三种显示形式：
        file: 表示外部命令
        alias：表示该指令为命令别名所设定的名称；
        builtin：表示该指令为bash内部命令

    操作系统基础命令：
    
        关机命令：

            Halt
            Poweroff -f
            Init 0

           
        重启命令：

            Reboot
            Init 6
            Shutdown -r

        Whoami 显示当前登录用户名
        Who 显示当前在线所有用户
        W 显示当前所有登录的用户在做什么

        时间操作命令：

            date
            Date -s 修改时间
            Cal 查看日历
            Ctrl + c 强制中断
            Ctrl + d 正常中断

        新建、移动、复制、删除文件
    

            touch
            mv
            cp
            rm
            tree

        查看历史命令：

        history
            HISTCONTROL=ignoredups        # 默认，忽视重复且相同的命令
            HISTFILE=/root/.bash_history        历史命令保存文件位置
            HISTFILESIZE=1000        历史命令文件行数
            HISTSIZE=1000        历史命令在shell中展示的行数
        
        -c：清空所有历史命令
        n：显示第n行命令
        
        history知识扩展：
            !: 上一个指令
            !!: 执行上一个指令

 用户和组

在linux中，用户可以分为三大类：
    超级用户：root
    虚拟用户：在linux中，满足文件和程序的运行所需而创建的，不能登录，不能使用。
    普通用户：管理员root创建的用户
组：具有相同特征用户的集合，一个组可以包含多个用户，每个用户也可以属于不同的组，组是为了管理员对用户的集中管理，用户组分为两类：
    系统组和用户组
用户和组的关系：
    一对一：一个用户存在一个组
    一对多：一个用户属于多个组，只有一个主组，其余为附加组
    多对一：多个用户共存一个组
    多对多：多个用户可以存在多个组

用户及用户组配置文件介绍：
    /etc/passwd
    
    第一列：用户名
    第二列：密码位
    第三列：UID号 用户
    第四列：GID号 组
    第五列：用户名注释
    第六列：用户的家目录
    第七列：用户默认的shell类型
    
    /etc/group：组及其属性
    
    第一列：组名
    第二列：组密码
    第三列：GID
    第四列：以该组为附加组的用户列表
    
    /etc/shadow 用户密码及其相关属性
    
    第一列：用户名
    第二列：密码位
        为空表示登录不用密码
        $：为加密存放
        *：为账户被锁定
        !!:表示密码过期
    第三列：最后一次修改时间（天数）
    第四列：最小时间间隔：指的是两次修改口令之间所需的最小天数
    第五列：最大时间间隔：指的是两次口令保持有效的最大天数
    第六列：告警时间：从系统开始告警用户到用户密码失效之间的天数
    第七列：不活动时间：表示用户没有登录活动但帐号有效的最大天数
    第八列：失效天数：给出的绝对天数
    
    /etc/gshadow 组密码及其相关属性
    
    第一列：组名
    第二列：组密码第三列：管理员列表，可以更改组密码和成员
    第四列：将该组作为辅助组的成员列表

 用户和组管理命令

    用户管理命令：

        Useradd
        -u: uid 创建用户时指定的uid
        -g：gid 指明创建用户所属组
        -c：用户的注释信息
        -M：不创建家目录
        -s：指定用户的默认shell
        -e：用户过期时间
        -G：为用户指明附加组，组必须提前存在
    
    
    创建用户时默认值设定存放与/etc/default/useradd
    GROUP=100
    HOME=/home            把用户的家目录创建在/home下
    INACTIVE=-1            是否启用帐号过期停权，-1为不启用
    EXPIRE=            帐号终止日期，不设置为不启用
    SHELL=/bin/bash            默认shell
    SKEL=/etc/skel            配置新用户家目录的默认存放位置
    CREATE_MAIL_SPOOL=yes        创建mail文件

    /etc/login.defs
    
    Usermod
    
        -u: 新UID
        -g：新主组
        -G：新附加组
        -s:新的默认shell
        -c：新的注释
        -d：HOME 新的家目录；若要创建新的家目录并移动原家目录数据，使用-m选项
        -L：lock指定用户，在/etc/shadow密码增加！
        
        
    Userdel
        
        -r：删除用户时，连通家目录，mail一同删除

    Id
        -u：显示UID
        -g：显示GID
        -G：显示用户所属组的id
        -n：显示名称

    Su 切换用户或以其他用户身份执行命令
        （1）su 非登录式切换，不会读取目标用户的部分配置文件，不改变工作目录
        （2）su - 登录式切换，会读取目标用户的配置文件，切换至家目录，完全切换
        （3）root使用su切换至其他用户无须密码，其他用户之间切换或者切换到root需要密码
        
        
    passwd：修改指定用户密码，仅root用户使用
        -e：强制用户下次登录修改密码
        --stdin：从标准输入接收用户密码

组帐号管理：
    Groupadd
        -g：创建指定gid组
        -r：创建系统组
        
    Groupmod
        -n:修改组名
        -g：修改gid
        
    Groupdel
        删除组
        
    Groups
        查看用户所属组列表
        
        
文件权限：
    普通文件
    
    r: 可以读取文件内容
    w: 可以追加或者覆盖文件内容
    x: 可以执行文件，需要和r配合

    目录文件
    
    r：可以查看目录下有那些文件，不能查看文件的详细信息
    w：可以在目录中创建删除文件，需要x配合
    x：可以cd进入该目录

 Linux特殊权限

Setuid
    
当s这个标志出现在文件所有者的x权限上时，例如文件权限 "-rwSr--r--"  说明此文件具有suid特殊权限，SUID功能和限制：
    （1）SUID权限仅对二进制程序有效，首先该二进制需有执行权限
    （2）执行者对于该程序需要具有x的可执行权限；
    （3）本权限仅在执行该程序的过程中有效；
    （4）执行者将具有该程序所有者的权限
    （5）s为小写时，拥有者有x权限，S为大写时，拥有者没有x权限

常见命令，例如：/usr/bin/passwd

密码文件通常只有root有强制写功能，也就是说只有root才可以修改密码，但是为什么普通用户也可以修改自己的密码呢？

因为在/usr/bin/passwd 命令具有SUID权限，在执行时，执行者将具有所有者的权限，所有者是root，所以普通用户也可以修改密码。
举例：netstat

 SGID

当s标志出现在文件所有者的x权限时称为SUID，那么s出现在用户组的x权限时称为SGID。（U表示user，G表示group）。SGID有如下功能：
    （1）SGID对二进制和目录都有用
    （2）程序执行者对该程序具备x权限（3）执行者在执行过程中会获得该程序用户组的支持

举个例子，/usr/bin/locate这个程序可以去查询/var/lib/mlocate/mlocate.db这个文件的内容，mlocate.db的权限如下：

-rwx--s--x root  slocate /usr/bin/locate
-rw-r-----   root slocate /var/lib/mlocate/mlocate.db

若使用vbird这个账号执行locate时，vbird就会获得用户组slocate支持，又由于用户组slocate对mlocate.db具有r权限，所以vbird就可以读取mlocate.db了。

除了二进制程序外，SGID也可以用在目录上。当一个目录设置了SGID权限后，它具有以下功能：
    （1）用户若对此目录具有r和x权限，该用户能够进入该目录
    （2）用户在此目录下的有效用户组将变成该目录的用户组
    （3）若用户在此目录下拥有w权限，则用户所创建的新文件的用户组与该目录的用户组相同

 SBIT

    sbit目前只对目录有效
    sbit对目录的作用是：
        （1）当用户对此目录具有w和x权限时，即具有写入权限时；
        （2）当用户在该目录下创建新文件或目录时，仅有自己和root才有权限删除

SUID/SGID/SBIT权限设置

先将其转换为数字：
    SUID: 4
    SGID: 2
    SBIT: 1

 Linux ACL权限划分

    ACL：access control list 主要是提供传统 读写执行权限以外的具体权限设置，ACL可以针对单一用户、单一文件或者目录进行，对于需要特殊权限的使用状况有一定的帮助。如：某一个文件，不让单一的某个用户访问
    
ACL使用两个命令来对其进行控制：
    getfacl：获取某个文件、目录的ACL设置项目
    setfacl：设置某个文件、目录的ACL设置项目

 setfacl 参数
  -m：设置后续acl参数
  -x：删除后续acl参数
  -b：删除全部的acl参数
  -k：删除默认的acl参数
  -R：递归设置acl，包括子目录
  -d：设置默认acl

例：创建一文件test，将其权限修改为777，并查看其默认ACL权限配置

    [root@ localhost ~]# touch /test
    [root@ localhost ~]# chmod 777 /test
    [root@ localhost~]# getfacl /test            //获得文件的ACL权限
    getfacl: Removing leading '/' from absolute path names
    # file: test                                //文件名
    # owner: root                            //文件所属者
    # group: root                            //文件所属组
    user::rwx                                //文件所属者权限
    group::rwx                              //同组用户权限
    other::rwx                              //其它者权限

可以看到其它者的权限也是可读可写可执行，可以自行测试，现在我们修改其ACL策略，使用用户test只有读取的权限

[root@zabbix tmp]# setfacl -m u:test:r test
[root@zabbix tmp]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:test:r--        # 可以看到 test 单独的权限为 r--
group::rwx
mask::rwx
other::rwx

注：test权限并不是只根据ACL配置来决定的，它是由test用户基本权限和ACL权限的交集决定的。

other:rwx
acl: r--

所以 test用户只具有 r 权限

[test@zabbix tmp]$ echo 'abc' > test
-bash: test: Permission denied
[test@zabbix tmp]$ rm -rf test
rm: cannot remove ‘test’: Operation not permitted

[root@zabbix tmp]# ll
-rwxrwxrwx+ 1 root root 0 Jan 18 07:10 test        # 可以看见，如果文件具有ACL权限后面会多一个加号

取消ACL

[root@zabbix tmp]# setfacl -x u:test test        # 取消test用户acl权限
[root@zabbix tmp]# setfacl -x m test        # 恢复有效权限
[root@zabbix tmp]# ll
total 0
-rwxrwxrwx 1 root root 0 Jan 18 07:10 test

 linxu隐藏权限

chattr (配置文件隐藏属性)

选项与参数：
    + ：添加某一个特殊参数,其他原本存在参数则不动.
    - ：移除某一个特殊参数,其他原本存在参数则不动.
    = ：配置一定,且仅有后面接的参数
    
    A ：当配置了 A 这个属性时,若你有存取此文件(或目录)时,他的存取时间 atime将不会被修改,可避免I/O较慢的机器过度的存取磁碟.这对速度较慢的计算机有帮助
    S ：一般文件是非同步写入磁碟的(原理请参考第五章sync的说明),如果加上 S 这个属性时,当你进行任何文件的修改,该更动会『同步』写入磁碟中.
    a ：当配置 a 之后,这个文件将只能添加数据,而不能删除也不能修改数据,只有root 才能配置这个属性.
    c ：这个属性配置之后,将会自动的将此文件『压缩』,在读取的时候将会自动解压缩,但是在储存的时候,将会先进行压缩后再储存(看来对於大文件似乎蛮有用的！)
    d ：当 dump 程序被运行的时候,配置 d 属性将可使该文件(或目录)不会被 dump 备份
    i ：这个 i 可就很厉害了！他可以让一个文件『不能被删除、改名、配置连结也无法写入或新增数据！』对於系统安全性有相当大的助益！只有 root 能配置此属性
    s ：当文件配置了 s 属性时,如果这个文件被删除,他将会被完全的移除出这个硬盘空间,所以如果误删了,完全无法救回来了喔！
    u ：与 s 相反的,当使用 u 来配置文件时,如果该文件被删除了,则数据内容其实还存在磁碟中,可以使用来救援该文件喔！
    注意：属性配置常见的是 a 与 i 的配置值,而且很多配置值必须要身为 root 才能配置

例：

[root@localhost ~]# cd /tmp/
[root@localhost tmp]# touch test
[root@localhost tmp]# lsattr test 
---------------- test
[root@localhost tmp]# chattr +i test 
[root@localhost tmp]# lsattr test 
----i----------- test
[root@localhost tmp]# rm -rf test 
rm: cannot remove ‘test’: Operation not permitted
[root@localhost tmp]# echo 'hello test' > test 
-bash: test: Permission denied

-i选项很重要，在系统数据安全方面，由于是隐藏属性，只能lsattr才能查看。

lsattr (显示文件隐藏属性)

    [root@www ~]# lsattr [-adR] 文件或目录
    
    选项与参数：
    -a ：将隐藏档的属性也秀出来；
    -d ：如果接的是目录,仅列出目录本身的属性而非目录内的档名；
    -R ：连同子目录的数据也一并列出来！