一、Linux系統(tǒng)的用戶和組介紹

一、3A安全體系介紹

??現(xiàn)代計(jì)算機(jī)操作系統(tǒng)為實(shí)現(xiàn)各種層面的資源共享基本上都被設(shè)計(jì)為一個(gè)多用戶多任務(wù)的操作系統(tǒng)，為防止資源被濫用或盜用每種系統(tǒng)都會(huì)有一套完整的安全管控機(jī)制，即我們通常所說的3A安全體系，該安全體系源于我們?nèi)祟惿鐣?huì)現(xiàn)實(shí)生活中的安全審計(jì)流程，其它安全體系框架如下：

認(rèn)證（Authentication）：對(duì)用戶的身份進(jìn)行驗(yàn)證，驗(yàn)證用戶的合法性，即：你是誰！
授權(quán)（Authorization）：是對(duì)通過認(rèn)證的用戶進(jìn)行授權(quán)，授權(quán)其可以使用哪些資源，即：你能有哪些權(quán)限！
計(jì)費(fèi)審計(jì)（Accouting|Audition）：是記錄用戶使用資源情況，這些信息將作為計(jì)費(fèi)或安全審計(jì)的依據(jù)。即：你用了多少？做了什么？

一句話：我知道你是誰，我給你規(guī)定的了使用權(quán)限，請(qǐng)你遵守規(guī)則，我可以審計(jì)你的行為！

一、Linux系統(tǒng)的用戶和組

??最終獲取資源使用權(quán)的是肯定是自然人，但操作系統(tǒng)如何能識(shí)別具體的自然人并允許他們按規(guī)定該資源，這就是系統(tǒng)對(duì)用戶和組的訪問控制權(quán)限來解決的問題，操作系統(tǒng)可以通過多種技術(shù)來識(shí)別自然人，如芯片授權(quán)（門禁卡、加密狗）,生物特征識(shí)別（指紋、虹膜、面部識(shí)別等），傳統(tǒng)的用戶賬號(hào)等。本小節(jié)將介紹如何解決3A安全體系中的第一個(gè)環(huán)節(jié)Authentication，用戶身份驗(yàn)證的問題。

??操作系統(tǒng)關(guān)聯(lián)到具體的自然人依靠的就是用戶，為了便于批量授權(quán)于是便有了用戶組的概念，基本上所有操作系統(tǒng)都是這樣的設(shè)計(jì)理念，不論是用戶還是用戶組都只是賦權(quán)的一個(gè)實(shí)體媒介罷了，系統(tǒng)管理員為每個(gè)自然人分配一個(gè)用戶賬號(hào)便將該賬號(hào)具備權(quán)限授予了自然人。同樣在一個(gè)部門或組織單位中多個(gè)自然人的一些共有權(quán)限就可以利用系統(tǒng)的用戶組來完成。

    Linux身份驗(yàn)證過程：用戶向系統(tǒng)提交用戶名和密碼，Linux系統(tǒng)通過比對(duì)本地存儲(chǔ)的用戶信息與用戶  提交信息的一致性來確定即將登錄的用戶是否合法。  如果是合法用戶則會(huì)向用戶返回Token和安全實(shí)體標(biāo)識(shí)。
    Windows身份驗(yàn)證過程：用戶向系統(tǒng)提交用戶名和密碼，Windows的本地LSA同樣會(huì)比對(duì)一致性，同樣會(huì)返回Token，但是包含了用戶所屬組的信息、以用戶在本系統(tǒng)或域內(nèi)權(quán)限的摘要信息，用戶在訪問資源時(shí)會(huì)完成比對(duì)過程，這也是為什么在Windows系統(tǒng)中每次授權(quán)后都需要注銷重新登錄的原因，就是為了重新獲取系統(tǒng)或域內(nèi)的新的訪問令牌。

1. linux系統(tǒng)中用戶和組

??Linux系統(tǒng)以ID來識(shí)別用戶類型，分為管理用戶、普通用戶兩種。Linux系統(tǒng)識(shí)別UID，Windows系統(tǒng)依賴SID。具體如下：

用戶 UID標(biāo)識(shí)用戶

管理用戶：管理員root uid:0 windows內(nèi)置管理員賬號(hào)SID以500結(jié)尾
普通用戶：uid:1-60000 自動(dòng)分配
    系統(tǒng)用戶：1-499（CentOS6）, 1-999 （CentOS7、8）
    用于守護(hù)進(jìn)程獲取資源進(jìn)行權(quán)限分配。
    登錄用戶：500+（CentOS6）, 1000+（CentOS、7）
    登錄用戶用于交互式登錄，關(guān)聯(lián)自然人，授權(quán)實(shí)體對(duì)象。
驗(yàn)證方法：
    Linux系統(tǒng)：id username
    [root@Centos8 ~]$id root
    uid=0(root) gid=0(root) groups=0(root)
    [root@Centos8 ~]$id houzhihui
    uid=1000(houzhihui) gid=1000(houzhihui) groups=1000(houzhihui)
    [root@Centos8 ~]$
    Windows系統(tǒng)：whoami 
    C:\Users\Administrator>whoami /user
    用戶信息
    ----------------
    用戶名                        SID
    ============================= ==================
    desktop-aajmtra\administrator S-1-5-21-2701678464-1708204996-1248473524-500
    C:\Users\Administrator>
    C:\Users\microcisco>whoami /user
    用戶信息
    ----------------
    用戶名                     SID
    ========================== =======================
    desktop-aajmtra\microcisco S-1-5-21-2701678464-1708204996-1248473524-1001
    C:\Users\microcisco>

用戶組 GID標(biāo)識(shí)用戶組

管理員組：root, 0
普通組:GID
    系統(tǒng)組：1-499（CentOS6）, 1-999（CENTOS7）
    普通組：500+（CentOS6）, 1000+（CENTOS7） 

??關(guān)于UID和GID的使用范圍規(guī)定在文件/etc/login.defs中都有明確定義，如果有定制需求則可以修改文件來完成，如下圖所示：

基本組與輔助組

??與Windows操作系統(tǒng)不同，Linux系統(tǒng)中默認(rèn)情況下每創(chuàng)建一個(gè)用戶都會(huì)自動(dòng)創(chuàng)建一個(gè)與該對(duì)應(yīng)的用戶組，作為該用戶的基本組，而且組名與用戶名相同，GID與UID也相同。與基本組相對(duì)應(yīng)的是輔助組，二都區(qū)別如下:

用戶的基本組：與用戶賬號(hào)一同創(chuàng)建
    該組只有該用戶一個(gè)成員，組名與用戶名相同，GID與UID也相同，也稱為主組或私有組。
用戶的輔助組：用于批量授權(quán)
    輔助組只是一個(gè)相對(duì)概念，其成員不只限于一個(gè)用戶成員也被稱為公共組。輔助組有助于用戶方便的獲得額外的權(quán)限。如：某個(gè)資源需要共享給整個(gè)部門成員來使用，則只需建立一個(gè)公共組，并在該資源上針對(duì)建立的公共組賦權(quán)，然后將該部門成員的用戶賬號(hào)加入到該公共組即可實(shí)現(xiàn)批量授權(quán)。因此輔助組的輔助概念是相對(duì)用戶而言的，一個(gè)用戶可以屬于零個(gè)或多個(gè)輔助組。

二、Windows系統(tǒng)的用戶和組

溫故而知新

??關(guān)于網(wǎng)絡(luò)資源管理的安全體系，微軟公司的Windows系統(tǒng)也有多年來引以為傲的安全管理體系活動(dòng)目錄（Active Directory)，可以說在企業(yè)桌面操作系統(tǒng)、終端管理方面功能相當(dāng)?shù)耐晟?，作為用戶與組的專題文章少了微軟的活動(dòng)目錄總覺得缺些什么，本小節(jié)介紹就以微軟活動(dòng)目錄中的用戶和組運(yùn)用作為知識(shí)擴(kuò)展吧！

??微軟活動(dòng)目錄的設(shè)計(jì)初衷就是對(duì)網(wǎng)絡(luò)中分布零散的資源建立動(dòng)態(tài)的索引，并由專業(yè)的信息維護(hù)人員集中授權(quán)管理，活動(dòng)錄目將域?yàn)樽鳛榫W(wǎng)絡(luò)安全邊界是一種邏輯概念，所有加入該安全域內(nèi)網(wǎng)絡(luò)資源、用戶、終端都作為域的對(duì)象，受活動(dòng)目錄的權(quán)限管理體系集中管控，用戶賬號(hào)和用戶組是賦權(quán)對(duì)象這一點(diǎn)與Linux系統(tǒng)是一樣的.如果說最大的不同便是：Windows的組支持嵌套，而Linux的組不支持嵌套，所以Windows的授權(quán)管理功能上更豐富，但正是因?yàn)橹С纸M的嵌套所以很容易引起交叉授權(quán)而且導(dǎo)致權(quán)限管理混亂，為此微軟早在Windows server 2000時(shí)代就是強(qiáng)烈給出客戶最佳授權(quán)操作原則：AGUDLP

A表示用戶賬號(hào) Account
    賬號(hào)分為本地賬號(hào)和域用戶賬號(hào)，當(dāng)然組也分為本地用戶組和域用戶組，本地用戶賬號(hào)和組由計(jì)算機(jī)系統(tǒng)本地址的SAM庫(kù)來存儲(chǔ)管理。只有計(jì)算機(jī)加入域后才可以使用域用戶賬號(hào)，域用戶賬號(hào)和域用戶組則有域控制器（DC）來負(fù)責(zé)存儲(chǔ)管理，計(jì)算加入域后，域管理員可以將域用戶賬號(hào)加入到本地用戶組來賦予本地計(jì)算機(jī)資源的使用權(quán)限。
G表示全局組 Global
    全局組：主要是用來組織用戶賬號(hào)的，作用范圍：域樹內(nèi)任何域，全局組內(nèi)的成員可以是同一個(gè)域的用戶賬戶與全局組，可以訪問任何一個(gè)域內(nèi)的資源。注意：出現(xiàn)嵌套了，全局組可以套全局組了
U表示通用組 Universal
    通用組：作用范圍林內(nèi)整個(gè)林和信任域，作為林內(nèi)跨域資源訪問授權(quán)對(duì)象的組織容器，通用組及組內(nèi)任何成員會(huì)被寫入一個(gè)稱為全局編目(Global Caltalog，GC)的數(shù)據(jù)庫(kù) 通用組可以訪問任何一個(gè)域內(nèi)的資源，通用組可以包含所有域內(nèi)的用戶賬戶、全局組和通用組。通用組可以理解為恐怖電影中的通靈師攜帶訴求者通往另一個(gè)世界（這個(gè)玩笑很形象吧，不過要注意呀！當(dāng)域功能級(jí)別處于Windows2000混合模式時(shí)，不能創(chuàng)建具有通用組的安全組，必須提升域的功能級(jí)別才可以啟有通用組。）
DL表示域本地組 Domain Local
    域本地組：作用范圍本地域，只能夠訪問本域內(nèi)的任何資源，如果該組內(nèi)成員想訪問其它域的資源則本地組必須加入全局組由對(duì)方域管理員針對(duì)全局組授權(quán)來實(shí)現(xiàn)跨域資源訪問，本地域組的成員可以是同一個(gè)域的本地域組，也可以是任何域內(nèi)的賬戶、全局組和通用組，他們能訪問的資源只是該本地域組所在域的資源
P表示資源權(quán)限 Permissions
    用戶對(duì)資源的訪問權(quán)限，不論Windows還是Linux都有三種基本權(quán)限：其中執(zhí)行權(quán)限分別與讀、寫權(quán)限配合并根據(jù)作用不同的文件類型就可以展現(xiàn)給用戶很花俏功能，但不管展現(xiàn)給用戶的操作是多么的花俏都是這三種權(quán)限的組合：
    讀取權(quán)限：權(quán)限標(biāo)識(shí)為r Readable讀取文件內(nèi)容 影響atime
        作用于文件：讀取文件內(nèi)容
        作用于目錄：可以使用ls、dir查看此目錄中文件列表
    寫入權(quán)限：權(quán)限標(biāo)識(shí)為w Writable修改文件內(nèi)容 影響mtime
        作用于文件：可以修改、刪除文件內(nèi)容
        作用于目錄：可在此目錄中創(chuàng)建文件，也可刪除此目錄中的文件
    執(zhí)行權(quán)限：權(quán)限標(biāo)識(shí)為x eXcutable執(zhí)行權(quán)限，作為讀、寫權(quán)限的基石組合權(quán)限。
        作用于文件：由指定的安全上下文進(jìn)程將文件提請(qǐng)給內(nèi)核由進(jìn)程執(zhí)行進(jìn)一步處理操作
        作用于目錄：可以使用ls、dir查看此目錄中文件元數(shù)據(jù)（須配合r），可以cd進(jìn)入此目錄。 
    特殊執(zhí)行權(quán)限：
        權(quán)限標(biāo)識(shí)X 只給目錄x權(quán)限，不給文件x權(quán)限

域內(nèi)與域間授權(quán)：AGDLP

先將用戶（Acounts-A）加入全局組G；再將G加入域本地組DL；最后給DL授權(quán)（Permissions-P）

這樣做的好處，域間訪問兩個(gè)域的管理員將各自將對(duì)方的全局組加入域本地組后，全局組成員就可以跨域訪問資源，后期成員調(diào)整只由各自域的管理員管控，而不必勞煩對(duì)方域的管理員啦！

林內(nèi)樹間跨域訪問授權(quán)：AGUDLP
先將用戶（Acounts-A）加入全局組G；再將再將G加入域本地組DL；最后給DL授權(quán)（Permissions-P）

這樣做的好處，將全局組加入通用組后全局組內(nèi)成員便具備了整個(gè)林內(nèi)建立域信任關(guān)系的跨域訪問通行證，后期組內(nèi)成員管理只由本地域管理員來管控！

四、總結(jié)

無論是Linux還是Windows系統(tǒng)，用戶的作用是與自然人關(guān)聯(lián)，用戶組是組織管理用戶的容器便于批量授權(quán)管理，二都都是資源訪問授權(quán)的授權(quán)實(shí)體對(duì)象，解決的是3A安全體系中的第一個(gè)A認(rèn)證（Authentication）身份驗(yàn)證問題

好了本小節(jié)先只寫到這，劇透一下，下一節(jié)將介紹用戶和組的管理問題！