linux-10 关于shell（九）认证、授权、审计

    之前提到过的一些基本应用，对Linux系统而言，安装完成以后，它给我们提供一个登录界面，对吧？这个登录界面说白了就是验证用户的，身份的，我昨天提到过，一般而言，每一个使用者都应该有个用户名，还记得吗？用户名，用户名是用来干什么的？我们操作系统里边有很多的资源，有很多文件，这些文件可能会被不同的人所使用，现实中的人，然而张三这个人或者jerry这个人，他所自己创建的文件不希望被Tom这个人访问到该怎么办？那就意味着我们必须要在这个文件上附加权限，对不对？什么叫权限？我设定一下这个人不允许或者允许，这是不是就是权限设定啊？或者你访问资源的能力的设定，这种我们把它称为叫权限。

    问题是这个权限我设定以后我怎么去说这个文件能够被谁访问和不能被谁访问？现实中，我们有jerry和tom对不对？那因此，我们必须要把tom和jerry这种身份标识也给它映射到我们系统里边来。这就是所谓用户名的概念。当然，对我们用户来讲，对我们使用者来讲，我们用的是用户名，
其实，计算机所能够处理的最快的资源不是字符，而是数字，这点各位要记得，其实我们的计算机或者我们操作系统是识别每个用户靠的是数字，是用户的ID号，我们把它称为叫用户ID，ID叫identifier，叫用户标识符，其实你的身份证就叫ID卡，是让每个用户名都是有个ID的。
用户名是公开的，几乎所有人都能知道，比如说我想跟某个人说话，那你必须要知道对方的名称才能给对方发一个信息过去，那意味着，用户名是公开的，所以用户名不能用来用作限定用户是否可以访问资源的认证标识。
    所以我们接下来还要说明另外一个叫认证标识，或者叫认证机制，什么叫认证？认证英文单词，我们叫做authentication，对吗？authentication认证的过程说白了就是鉴别用户或者某个人，就是他所声称的那个人的一种机制或者叫过程就叫认证。之前提到过密码，是不是一种认证机制啊？那还有很多的生物识别技术以及其他形形色色的各种技术。这些都可以称为叫认证机制，无非就是识别鉴别某个人就是他所声称的那个人，这样一个过程。只不过我们最常用的方法就是密码密码这种机制对不对？或者密钥。但是我还讲到过，各位还有没有印象，认证并不意味着全部。
我们一家公司，任何人带着员工卡的人都能进来，对吗？但是经理和普通员工的操作资源的权限是不一样的。
    还有什么呢？认证完成之后还要完成资源访问授权。授权叫做authorization，叫做授权，授权之后是不是就完全够了呢？想一下这个问题。比如说我授予经理，你可以使用打印机，你可以决定打印机的是否进行购买一个打印机，是否买一个电脑，这样的权限。那于是我们的经理同志利用公司的钱买了一台打印机搬家去了，买个电脑搬家去了，这怎么办呢？我们给了它权限以后，并不意味着它可以滥用职权，是不是？那该怎么办？让经理的老婆来监督经理使用，行不行啊？肯定不行的，那你觉得该怎么办？我们肯定要做什么？做审计对吗？而且这个审计一定是它权限之外的审计，这个家伙花了钱干了什么，我们就必须要记录在案，以便以后要做审核的，
审计我们称为叫audit。
    当然，审计对计算机而言，大多数都是通过日志来完成的。就是你干了什么？我把它记录下来，这叫日志，至于我们现在讲给各位的，基本上都叫思想，这些基本概念以后在我们整个使用技能的过程中处处都会体现出来，所以呢，理解了这些东西，对于我们后期利用理解使用计算机是非常有帮助的。好，先姑且不管审计是如何实现的。那认证和授权对我们而言，我们已经用了很多次了。