Linux使用者和使用者組基本概念

一、Linux使用者基本概念

1、 3A認證機制

計算機如何區分不同的使用者呢 ？ --->  使用者標識（使用者名稱、GID）、密碼；

認證資訊：通過比對事先儲存的，與登入時提供的資訊是否一致

• Authentication: 認證機制,通過某種方案來確認使用者是其聲稱的使用者，如密碼、生物識別等
• Authorization: 授權機制， 資源使用級別(Linux只有管理員和普通使用者兩級分配機制，許可權)
• Audition: 審計機制，監督許可權的使用 ，log審計憑據---額外審計功能SELinuse

2、 使用者分類

使用者標識： UserID, UID,  16bits 二進位制數表示，也就是： 0 - 65535

Linux核心（2.6.x）已經可以支援到2^32 - 1 個識別符號。

• root : 0
• 普通使用者： 1 - 65535
• 系統使用者： 1-499（CentOS 6） ;  1-999（CentOS 7）
• 登入使用者： 500 - 60000（CentOS 6） ； 1000 - 60000 （CentOS 7）

3、 使用者組態檔

（1） 使用者資訊庫: /etc/passwd
格式(七段):account：password：UID：GID：GECOS：directory：shell
account: 使用者名稱
password：預留位置x；
UID：使用者的ID號
GID：使用者所屬的主組的ID號；
GECOS：注釋資訊
directory：使用者的家目錄；
shell：使用者的預設shell，登入時預設shell程式；

（2）密碼儲存位置： /etc/shadow
格式(九段):使用者名稱:加密的密碼：最近一次修改密碼的時間：最短使用期限：最長使用期限：警告期段：過期寬限時間：賬號失效日期：保留欄位

• login name：使用者名稱
• encrypted password：經過編碼的密碼
• date of last password change：密碼最近一次修改密碼的時間
• minimum password age：密碼最短使用期限
• maximum password age：密碼最長使用期限：表示兩次修改密碼的最長間隔。
• password warning period：警告時間：表示在密碼快要過期之前的多少天開始警告使用者修改密碼。
• password inactivity period：過期寬限時間：表示在密碼過期以後，還允許使用者登入的時間，只不過在這段時間裡登入系統以後就必須要修改密碼才能使用系統。
• account expiration date：賬號失效日期，該賬號被禁用
• reserved field：保留欄位

（3）建立新使用者預設屬性： /etc/default/useradd
# useradd defaults file
GROUP=100                # 建立組
HOME=/home              # 預設家目錄
INACTIVE=-1             
EXPIRE=
SHELL=/bin/bash          # 預設shell
SKEL=/etc/skel          # 預設家目錄的檔案
CREATE_MAIL_SPOOL=yes    # 自動建立mail

二、使用者組
1. 使用者組(使用者容器)的分類
組標識：GroupID, GID
16bits二進位制數位：0-65535
 (1)系統視角：管理員使用者組&普通使用者組
    管理員組：0
    普通使用者組：1-65635
            系統使用者組：1-499(CentOS6), 1-999(CentOS7)
            登入使用者組：500-60000(CentOS6), 1000-60000(CentOS7)       
(2)使用者視角：基本組&附加組
    使用者的基本組：使用者本身所屬組
    使用者的附加組：使用者額外所支援的組

有效組：
## 檢視使用者所屬的組，第一個為有效使用者組
# groups                   

##切換有效組為其他輔組
# newgrp GROUP
 
其實這個命令導致建立了一個子shell。 

更多詳情見請繼續閱讀下一頁的精彩內容： http://www.linuxidc.com/Linux/2016-03/129012p2.htm