Linux——安全权限（禁止添加新用户+umask值+修改默认密码最长有效期）

一、不再允许添加新用户的请求

演示：

二、umask值：

（1）简介：

（2）查看：

（3）为什么 umask 里目录是 022，文件是 002？

（4）演示：

（5）更改：

三、修改默认的密码最长有效期

一、不再允许添加新用户的请求

(了解创建用户时有以下地方会改变，就不难去理解了)

/etc/group （如果创建用户没有指定组则在这个里面生成一个同名组文件）

/etc/passwd （接下来在这个里面注册）

/etc/shadow （注册密码信息）

/home/xxxx （接下来在这生成家目录文件，还会在其他地方生成一些邮件信息之类的等等） chattr +i 文件锁定文件

演示：

[root@localhost poem]#
[root@localhost poem]# chattr +i /etc/passwd ——锁定文件
[root@localhost poem]# chattr +i /etc/shadow ——锁定文件
[root@localhost poem]# useradd test
useradd: cannot open /etc/passwd  ————文件被锁定无法建立
[root@localhost poem]# chattr -i /etc/shadow ——解除锁定
[root@localhost poem]# chattr -i /etc/passwd
[root@localhost poem]#

——————————————————————————————————————————————————————————

二、umask值：

（1）简介：

在linux系统中，我们创建一个新的文件或者目录的时候，这些新的文件或目录都会有默认的访问权限，umask命令与文件和目录的默认访问权限有关。若用户创建一个文件，则文件的默认访问权限为 -rw-rw-rw- ，创建目录的默认权限 drwxrwxrwx ，而umask值则表明了需要从默认权限中去掉哪些权限来成为最终的默认权限值。

（转自(17条消息) umask详解_拾掇时光的印记的博客-CSDN博客_umask）

Linux umask命令指定在建立文件时预设的权限掩码。
umask可用来设定[权限掩码]。[权限掩码]是由3个八进制的数字所组成，将现有的存取权限减掉权限掩码后，即可产生建立文件时预设的权限。

（转自https://www.runoob.com/linux/linux-comm-umask.html）

（2）查看：

默认情况下，对于目录，用户所能拥有的最大权限是777；
对于文件，用户所能拥有的最大权限是目录的最大权限去掉执行权限，即666。
因为x执行权限对于目录是必须的，没有执行权限就无法进入目录，而对于文件则不必默认赋予x执行权限。
对于root用户，他的umask值是022。当root用户创建目录时，默认的权限就是用最大权限777去掉相应位置的umask值权限，即对于所有者不必去掉任何权限，对于所属组要去掉w权限，对于其他用户也要去掉w权限，所以目录的默认权限就是755；
当root用户创建文件时，默认的权限则是用最大权限666去掉相应位置的umask值，即文件的默认权限是644。

（转自在Linux中设置UMASK值 - wish123 - 博客园 (cnblogs.com)）

[root@localhost poem]# umask
0022   —————————————— root用户默认umask值为
[root@localhost poem]# su - poem
Last login: Sun Apr 10 19:41:06 PDT 2022 on pts/1
[poem@localhost ~]$ umask
0002  —————————————— 普通用户默认umask值为

目录的最高权限： 0777-0022=0755 （第一个数字是粘滞位、suid、sgid 赋权的位）

文件的最高权限：666-022 =644

（3）为什么 umask 里目录是 022，文件是 002？

原因：在下列文件里，里面有一个 if 语句控制着

（4）演示：


[root@localhost poem]# cd /home/poem/Desktop/
[root@localhost Desktop]# mkdir test/ ——创建目录test
[root@localhost Desktop]# cd test/
[root@localhost test]# ls
[root@localhost test]# mkdir 11 ——在test里创建目录11
[root@localhost test]# touch 1.txt ——在test里创建文件 1.txt
[root@localhost test]# ll ——查看
total 0
drwxr-xr-x. 2 root root 6 Apr 10 19:59 11 ——目录权限为775
-rw-r--r--. 1 root root 0 Apr 10 19:59 1.txt ——文件权限为644
[root@localhost test]#

（5）更改：

进入到vim /etc/profile 修改

[root@localhost test]# vim /etc/profile

—————————————————————————————————————————————————————————

三、修改默认的密码最长有效期

vim /etc/login.defs 第 25行

[root@localhost test]# vim /etc/login.defs
[root@localhost test]#