Linux用户管理day10
2019-08-06 本文已影响0人
静如止水yw
一、怎样为用户添加密码
- 为新用户添加密码{只能是root,即超级管理员,且密码要尽可能的复杂,数字[0-
9]/字母[a-Z]/字符都要用到}例如: # 交互式设定密码 [root@wyw ~]# passwd yw Changing password for user yw. New password: BAD PASSWORD: The password is a palindrome Retype new password: passwd: all authentication tokens updated successfully. # passwd --stdin 非交互式设定密码 [root@wyw ~]# echo "1" | passwd --stdin yw Changing password for user yw. passwd: all authentication tokens updated successfully. # 批量创建用户时,并设定固定密码 [root@wyw ~]# vim user.sh [root@wyw ~]# cat user.sh for i in {1..100} do useradd test$i echo "123" | passwd --stdin test$i done
二、为用户变更密码
- 为用户变更密码
1. 自己修改自己的密码,可以直接使用passwd进行修改,修改的密码要尽量复杂,并且要达到8位
2.为别人修稿密码时,需要使用root权限,普通用户是没有权限的,要想要进行修改时,需要切换到root用户上,或者获取root权限。
三、密码怎样才算复杂
例如:
1.用/dev/random,生成随机数的密码
[root@wyw ~]# echo $RANDOM |md5sum |cut -c 5-20
fb7433635f0a88c1
2.mkpasswd 生成随机字符串,
-l 设定密码长度
-d 代表数字
-c 代表小写字母
-C 代表大写字母
-s 代表特殊字符
[root@wyw ~]# mkpasswd -l 8 -d 2 -c 2 -C 2 -s 2
'^5DEab4
总结
- 1.为新用户添加密码时,只有root权限才能修改
- 2.为用户变更密码时,只有root权限才能修改
- 3.普通用户只能修改自己的密码,无权修改其他用户的密码
- 4.密码的修改方式有两种,一种是交互式设定,另一种是非交互式设定
四、用户的创建流程
useradd创建用户时的过程需要参考/etc/login.defs和/etc/default/useradd这两个配置文件,如果在创建用户时指定了参数则会覆盖/etc/login.defs、/etc/default/useradd这两个文件的默认配置,如果没有指定,则使用默认。
[root@wyw ~]# grep -Ev "^#|^$" /etc/login.defs
MAIL_DIR /var/spool/mail #创建的邮箱所在的位置
PASS_MAX_DAYS 99999 #密码最长使用的天数
PASS_MIN_DAYS 0 #密码最短时间的天数
PASS_MIN_LEN 5 #密码的长度
PASS_WARN_AGE 7 #密码到期前7天警告
UID_MIN 1000 #密码到期前7天警告
UID_MAX 60000 #uid从6w结束
SYS_UID_MIN 201 #系统用户的uid 从201 开始
SYS_UID_MAX 999 #系统用户的uid最大到999
GID_MIN 1000
GID_MAX 60000
SYS_GID_MIN 201
SYS_GID_MAX 999
CREATE_HOME yes #给用户创建家目录,创建 在/home
UMASK 077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512
[root@wyw ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100 #当用户创建用户时不指定组,并 且/etc/login.defs中 USERGROUPS_ENAB为no时,
用户默认创建给分 配一个gid为100的组.
HOME=/home #用户默认的家目录
INACTIVE=-1 #用户不失效
EXPIRE= #过期时间
SHELL=/bin/bash #默认登录shell
SKEL=/etc/skel #默认用户拷贝的环境变量
CREATE_MAIL_SPOOL=yes/no #创建邮箱/不创建邮箱
五、用户组的管理
- 1./etc/group配置文件解释如下:
[root@wyw ~]# head -1 /etc/group
root:x:0: 以:为分隔符,总共4列
| root | x | 0 | |
|---|---|---|---|
| 组的名称 | 组的密码 | 组GID | 显示附加组成员,不显示基本成员 |
- /etc/gshadow配置问价如下:
[root@wyw ~]# head -1 /etc/gshadow
root:::
| root | |||
|---|---|---|---|
| 组的名称 | 组的密码 | 组管理员 | 显示附加组成员,不显示基本基本组成员 |
创建组[groupadd]
创建普通组
[root@wyw ~]# groupadd zjr
[root@wyw ~]# groupadd -g 5555 dpp
[root@wyw ~]# grep "5555" /etc/group
dpp:x:5555:
创建系统组
[root@wyw ~]# groupadd -r dp
[root@wyw ~]# grep "dp" /etc/group
dp:x:995:
修改组
-g 修改组gid
[root@wyw ~]# grep "3333" /etc/group
zjr:x:3333:
-n 修改组名称
[root@wyw ~]# groupmod dpp -n pp
[root@wyw ~]# grep "5555" /etc/group
pp:x:5555:
删除组
如果要删除组基本组,需要先删除基本组中的用户才可以删除该组
[root@wyw ~]#groupadd dawang
[root@wyw ~]# groupadd laowang
[root@wyw ~]# useradd xiaowang
[root@wyw ~]# useradd gb -g laowang
[root@wyw ~]# usermod xiaowang -G laowang,dawang
---------------------------------------------------
[root@oldboyedu ~]# id xiaowang
uid=6775(xiaowang) gid=7778(xiaowang)
groups=7778(xiaowang),7779(dawang),7780(laowang)
[root@oldboyedu ~]# userdel -r xiaowang
[root@oldboyedu ~]# groupdel dawang
[root@oldboyedu ~]# groupdel laowang
groupdel: cannot remove the primary group of user 'gb'
[root@oldboyedu ~]# userdel -r gb
[root@oldboyedu ~]# groupdel laowang
image.png
六、用户提权
- su 切换目录,使用普通用户登录,然后使用su命令切换到root。优点:较简单,缺点:需要知道root的密码,也不安全。
- sudo提权,当需要使用root权限时进行提权就无须进行root切换,优点:安全、方便,缺点:复杂
1.su身份切换
Linux shell的主要分类: - 交互式 需要不停的交互
- 非交互式
- 登录式shell 需要用户名以及密码开启bash窗口
- 非登录式shell 不需要用户名和密码即可开启bash窗口
su - username属于登陆式shell,su username属于非登陆式shell,区别 在于加载的环境变量不一样。 - su - username 属于登录式shell 会加载全部的环境变量
- su username 属于非登录式shell 会加载部分环境变量(很有 可能就会出现错误清空)
2.sudo提权 - 预先分配好权限
- 在关联对应的用户
PS:是否有办法限制仅开启某个命令的使用权限,使用其他命令则不可被允许
* 使用sudo中自带的别名操作, 将多个用户定义成一个组
[root@bgx ~]# visudo
# 1.使用sudo定义分组,这个系统group没什么关系
User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex
# 2.定义可执行的命令组,便于后续调用
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
# 3.使用sudo开始分配权限
OPS ALL=(ALL)
NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES SES
DEV ALL=(ALL) SOFTWARE,PROCESSES
#4.登陆对应的用户使用 sudo -l 验证权限
使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.
1.添加两个真实的系统组,
group_dev group_op
[root@www ~]# groupadd group_dev
[root@www ~]# groupadd group_op
2.添加两个用户
group_dev(user_a user_b) group_op(user_c user_d)
[root@www ~]# useradd user_a -G group_dev [root@www ~]# useradd user_b -G group_dev
[root@www ~]# useradd user_c -G group_op [root@www ~]# useradd user_d -G group_op
3.记得添加密码
[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d
4.在sudo中配置规则
[root@www ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE
%group_op ALL=(ALL) SOFTWARE,PROCESSES
5.检查sudo是否配置有错
[root@www ~]# visudo -c /etc/sudoers: parsed OK
6.检查user_a,和user_d的sudo权限
[user_a@www.oldboyedu.com ~]$ sudo -l
User user_a may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum
[user_d@www.oldboyedu.com ~]$ sudo -l
User user_d may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kil
