Day09-用户组管理
2019-08-06 本文已影响0人
UncleZ_strive
1.为用户添加密码 [root才能执行]
- 1.为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][a- Z] [!@#$%^&]
[root@oldboy-65-zhl ~]# passwd u1
Changing password for user u1.
New password:
BAD PASSWORD: The password is a palindrome
Retype new password:
passwd: all authentication tokens updated successfully.
- passwd --stdin 非交互式设定密码
[root@oldboy-65-zhl ~]# echo "123" | passwd --stdin u1
Changing password for user u1.
passwd: all authentication tokens updated successfully.
- 批量创建用户,并设定固定密码
[root@oldboyedu ~]# cat user.sh
for i in {1..100}
do
useradd test$i
echo "123456" | passwd --stdin test$i
done
2.为用户改密码
- 为自己修改密码:直接使用passwd
- 为别人修改密码:(root)passwd username
3.密码怎样才算复杂
- 生成随机数
[root@oldboy-65-zhl ~]# echo $RANDOM | md5sum | cut -c 5-15
7a4a163ad27
- mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,- C大写字母,-s特殊字符
[root@oldboyedu ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2 mQR1u^=q5Y
总结:
- 只有root可以给新用户添加密码
- 只有root可以为用户修改密码
- 普通用户只能修改自己的密码
- 密码的两种修改方式,交互式和非交互式
4.用户的创建流程
在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两 个文件,默认参考
如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs 和/etc/default/useradd)
- cat /etc/login.defs
MAIL_DIR /var/spool/mail 创建的邮箱所在的位置
PASS_MAX_DAYS 99999 密码最长使用天数
PASS_MIN_DAYS 0密码最短使用天数
PASS_MIN_LEN 5密码的长度
PASS_WARN_AGE 7密码到期前七天警告
UID_MIN 1000 UID从1000开始
UID_MAX 60000 UID到60000结束
SYS_UID_MIN 201 系统用户的uid从201开始
SYS_UID_MAX 999 系统用户的最大uid到999
GID_MIN 1000
GID_MAX 60000
SYS_GID_MIN 201
SYS_GID_MAX 999
CREATE_HOME yes 给用户创建家目录在/home/
USERGROUPS_ENAB yes 创建私有组
- cat /etc/default/useradd
[root@oldboy-65-zhl ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100 创建用户是不指定组组,并 且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分 配一个gid为100的组.
HOME=/home 默认用户的家目录
INACTIVE=-1 用户不失效
EXPIRE= 过期时间
SHELL=/bin/bash 默认登陆shell
SKEL=/etc/skel 默认用户拷贝环境变量
CREATE_MAIL_SPOOL=yes 创建邮箱
5.用户组的管理
- 一个用户没有指定组时会默认创建一个与用户同名的组,简称私有组
- -g可以指定一个基本组但是基本组必须先存在
-
-G指定附加组(基本组或私有组无法满足需求时,添加一个附加组,并继承该附加组的权限)
image.png
image.png
1.创建组 groupadd [-g GID] groupname
[root@oldboyedu ~]# groupadd zhuzhu
[root@oldboyedu ~]# groupadd -g 6666 gougou
[root@oldboyedu ~]# grep "6666" /etc/group gougou:x:6666:
创建系统组
[root@oldboyedu ~]# groupadd -r maomao
[root@oldboyedu ~]# grep "maomao" /etc/group maomao:x:993:
2.修改组 groupmod
-g 修改组gid
[root@oldboyedu ~]# groupmod -g 7777 gougou
[root@oldboyedu ~]# grep "7777" /etc/group gougou:x:7777:
-n 修改组名称
[root@oldboyedu ~]# groupmod gougou -n gg
[root@oldboyedu ~]# grep "7777" /etc/group gg:x:7777:
3.删除组 如果要删除基本组,需要先删除基本组中的用户才可以删除 该组
[root@oldboyedu ~]# groupadd dawang
[root@oldboyedu ~]# groupadd laowang
[root@oldboyedu ~]# useradd xiaowang
[root@oldboyedu ~]# useradd gb -g laowang
[root@oldboyedu ~]# usermod xiaowang -G laowang,dawang
[root@oldboyedu ~]# id xiaowang uid=6775(xiaowang) gid=7778(xiaowang) groups=7778(xiaowang),7779(dawang),7780(laowang)
[root@oldboyedu ~]# userdel -r xiaowang
[root@oldboyedu ~]# groupdel dawang
[root@oldboyedu ~]# groupdel laowang groupdel: cannot remove the primary group of user 'gb'
[root@oldboyedu ~]# userdel -r gb
[root@oldboyedu ~]# groupdel laowang
image.png
6.用户提权
-
su 切换用户 如果切换用户,需要知道用户的密码,不是很安全
-
sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂
基本概念
1.交互式 需要不停的交互
2.非交互式
3.登录式shell 需要用户名以及密码开启bash窗口
4.非登录式shell 不需要用户名和密码即可开启bash窗口
su和su - 区别 在于加载的环境变量不一样 -
su - username属于登陆式shell,会加载全部的环境变量
-
su username属于非登陆式shell,会加载部分环境变量(很有可能出现错误清空)
-
su 切换有缺点
1.需要知道用户对应的密码
2.说明不是很安全 -
sudo提权
1.预先分配好权限
2.在关联对应的用户
提升的权限太大,能否有办法限制仅开启某个命令的使用权限?其 他命令不允许? -
使用sudo中自带的别名操作, 将多个用户定义成一个组
[root@bgx ~]# visudo
1.使用sudo定义分组,这个系统group没什么关系
User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex
2.定义可执行的命令组,便于后续调用
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall
3.使用sudo开始分配权限
OPS ALL=(ALL)
NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSES
DEV ALL=(ALL) SOFTWARE,PROCESSES
4.登陆对应的用户使用 sudo -l 验证权限
- 使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.
1.添加两个真实的系统组, group_dev group_op
[root@www ~]# groupadd group_dev
[root@www ~]# groupadd group_op
2.添加两个用户, group_dev(user_a user_b)
group_op(user_c user_d)
[root@www ~]# useradd user_a -G group_dev
[root@www ~]# useradd user_b -G group_dev
[root@www ~]# useradd user_c -G group_op
[root@www ~]# useradd user_d -G group_op
3.记得添加密码
[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d
4.在sudo中配置规则
[root@www ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE
%group_op ALL=(ALL) SOFTWARE,PROCESSES
5.检查sudo是否配置有错
[root@www ~]# visudo -c
/etc/sudoers: parsed OK
6.检查user_a,和user_d的sudo权限
[[user_a@www.oldboyedu.com](https://links.jianshu.com/go?to=mailto%3Auser_a%40www.oldboyedu.com) ~]$ sudo -l
User user_a may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum
[[user_d@www.oldboyedu.com](https://links.jianshu.com/go?to=mailto%3Auser_d%40www.oldboyedu.com) ~]$ sudo -l
User user_d may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum, /bin/nice,
/bin/kill, /usr/bin/kil
image.png
总结
1.系统中的用户有什么作用?
- 程序运行需要一个用户身份,可以使不能登录系统的
- 多个人操作一个系统时,需要创建多个用户,这样互相不影响(默认初始化环境一样)
2.创建用户时,会操作那几个配置文件 - /etc/passwd 用户属性
- /etc/shadow 用户密码属性
- /etc/group 组
- /etc/gshadow 组密码
3.如何创建用户 修改用户 删除用户 - useradd username
-u UID
-g GID 基本组
-G GID 附加组
-c 注释
-s 指定用户登录的shell
-d 指定用户的家目录
-M 不指定用户的家目录
-r 系统用户【通常201-999】并且没有家目录
- usermod 修改用户
-l 修改用户名称
- userdel 删除用户
`-r 会删除用户的家目录,以及用户的邮箱
4.为用户添加密码(复杂度要高,密码需要三月一修改)
passwd username 只能root操作
passwd 修改自己的密码(普通用户和root都行)
echo "123" | passwd --stdin username 非交互式设定密码(批量设定密码)
5.用户的创建流程
- 用户创建过程中会依赖两个文件 /etc/login.defs
/etc/defaults/useradd2 - 如果在创建用户 自行指定选项,会覆盖 /etc/login.defs
/etc/defaults/useradd
-u 2000
-s /bin/bash /sbin/nologin
-d /home /tmp
6.用户的组
- 基本组(有且只有一个)
用户的主要组,使用-g指定,前提是该组必须存在
创建用户时,不指定基本组,默认创建一个与用户同名的私有组 - 附加组(可以有n个)
当基本组无法满足需求时,可以添加附加组,富家族可以有n个
7.组的创建 修改 删除 - groupadd -g
- groupmod -n -g
- groupdel
8.提权 - su切换用户身份
su username 非登陆式shell
su - username 非登陆式shell
登录式与非登陆式shell区别于环境变量加载的不一样 - sudo提权
由root用户事先分配可执行的命令权限
由root用户关联某个普通用户与对应的权限 - sudo提权方式一:使用sudo的内置别名创建组,创建命令组,最后将两者进行关联
- sudo提权方式二:创建系统分组,然后再sudo对组配置权限
