day9-用户管理2
2019-08-07 本文已影响0人
不懂helloword
1.用户设置密码、修改密码
- 为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][a- Z] [!@#$%^&]
[root@localhost ~]# passwd oldboy
Changing password for user oldboy.
New password:
BAD PASSWORD: The password is a palindrome
Retype new password:
passwd: all authentication tokens updated successfully.
passwd --stdin 非交互式设定密码
[root@localhost ~]# echo "123" | passwd --stdin oldboy
Changing password for user oldboy.
passwd: all authentication tokens updated successfully.
批量创建用户,并设定固定密码
[root@localhost ~]# cat user.sh
for i in {1..100}
do
useradd test$i
echo "123456" | passwd --stdin test$i
done
- 为用户变更密码
- 1.为自己修改密码 (ok) 直接使用passwd 注意密码需要复杂一
点,并达到8位 - 2.为别人修改密码 (root) passwd username
- 3.密码怎么才算复杂
1.使用$RANDOM | md5sum创建随机数组,可做密码使用*
[root@localhost ~]# echo $RANDOM | md5sum |cut -c 5-15
3e7ad845347
2.mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,- C大写字母,-s特殊字符
[root@localhost ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2
2.用户的创建流程
*1.在用户创建的过程需要参考 /etc/login.defs和/etc/default/useradd 这两个文件,默认参考.
2.如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs 和/etc/default/useradd)
[root@localhost ~]# grep "^[a-Z]" /etc/login.defs
MAIL_DIR /var/spool/mail #创建的邮箱所在的位置
PASS_MAX_DAYS 99999 #密码最长使用的天数
PASS_MIN_DAYS 0 #密码最短时间的天数
PASS_MIN_LEN 5 #密码的长度
PASS_WARN_AGE 7 #密码到期前7天警告
UID_MIN 1000 #uid 从1000开始
UID_MAX 60000 #uid从6w结束
SYS_UID_MIN 201 #系统用户的uid 从201 开始
SYS_UID_MAX 999 #系统用户的uid最大到
999
#GID与UID一致
GID_MIN 1000
GID_MAX 60000
SYS_GID_MIN 201
SYS_GID_MAX 999
CREATE_HOME yes #给用户创建家目录,创建 在/home
UMASK 077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512
[root@localhost ~]# cat /etc/default/useradd # useradd defaults file
# useradd defaults file
GROUP=100 #当用户创建用户时不指定组,并 且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分 配一个gid为100的组.
HOME=/home #用户默认的家目录
INACTIVE=-1 #用户不失效
EXPIRE= #过期时间
SHELL=/bin/bash #默认登录shell
SKEL=/etc/skel #默认用户拷贝的环境变量
CREATE_MAIL_SPOOL=yes #创建邮箱
3.用户组管理
用户组
group配置文件
gshadow配置文件
- 创建组 groupadd [-g GID] groupname
[root@localhost ~]# groupadd zhuzhu
[root@localhost ~]# groupadd -g 6666 gougou
[root@localhost ~]# grep "6666" /etc/group
gougou:x:6666:
#创建系统组
[root@localhost ~]# groupadd -r maomao
[root@localhost ~]# grep "maomao" /etc/group
maomao:x:993:
- 修改组 groupmod
#-g 修改组gid
[root@localhost ~]#groupmod -g 7777 gougou
[root@localhost ~]# grep "7777" /etc/group
gougou:x:7777:
#-n 修改组名
[root@localhost ~]#groupmod gougou -n gg
[root@localhost ~]# grep "7777" /etc/group
gg:x:7777:
- 删除组 如果要删除基本组,需要先删除基本组中的用户才可以删除 该组。
#先创建用户、用户组、附加组
[root@localhost ~]# groupadd dawang
[root@localhost ~]# groupadd laowang
[root@localhost ~]# useradd xiaowang
[root@localhost ~]# useradd gb -g laowang
[root@localhost ~]# usermod xiaowang -G laowang,dawang
[root@localhost ~]# id xiaowang
uid=10001(xiaowang) gid=10004(xiaowang) groups=10004(xiaowang),10002(dawang),10003(laowang)
删除
4.用户提权
- su 切换用户 如果切换用户,需要知道用户的密码,不是很安全
- sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂
基本概念
- 1.交互式 需要不停的交互
- 2.非交互式
- 3.登录式shell 需要用户名以及密码开启bash窗口
- 4.非登录式shell 不需要用户名和密码即可开启bash窗口
su - username 属于登录式shell 会加载全部的环境变量
su username 属于非登录式shell 会加载部分环境变量(很有 可能就会出现错误清空)
PS:
1.su 切换有缺点
*需要知道用户对应的
*说明不是很安全
2.sudo提权
*预先分配好权限
*在关联对应的用户
- 提升的权限太大,能否有办法限制仅开启某个命令的使用权限?其 他命令不允许?
第一种方式:使用sudo中自带的别名操作, 将多个用户定义成一个组
[root@localhost ~]# visudo
*1.使用sudo定义分组,这个系统group没什么关系
User_Alias OPS = oldboy,oldgirl User_Alias DEV = alex
*2.定义可执行的命令组,便于后续调用
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
*3.使用sudo开始分配权限,并验证
OPS ALL=(ALL)
NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES SES
DEV ALL=(ALL) SOFTWARE,PROCESSES
第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新
用户加入,直接将用户添加到该组.
1.添加两个真实的系统组, group_dev group_op
[root@localhost ~]# groupadd group_dev
[root@localhost ~]# groupadd group_op
2.添加两个用户,group_dev(user_a user_b) group_op(user_c user_d)
[root@localhost ~]# groupadd group_dev
[root@localhost ~]# groupadd group_op
[root@localhost ~]# ^C
[root@localhost ~]# useradd user_a -G group_dev
[root@localhost ~]# useradd user_b -G group_dev
[root@localhost ~]# useradd user_c -G group_op
[root@localhost ~]# useradd user_d -G group_op
3.用户添加密码
[root@localhost ~]# echo "1" | passwd --stdin user_a
Changing password for user user_a.
passwd: all authentication tokens updated successfully.
[root@localhost ~]# echo "1" | passwd --stdin user_b
Changing password for user user_b.
passwd: all authentication tokens updated successfully.
[root@localhost ~]# echo "1" | passwd --stdin user_c
Changing password for user user_c.
passwd: all authentication tokens updated successfully.
[root@localhost ~]# echo "1" | passwd --stdin user_d
Changing password for user user_d.
passwd: all authentication tokens updated successfully.
[root@localhost ~]#
4.在sudo中配置规则
[root@localhost ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE
%group_op ALL=(ALL) SOFTWARE,PROCESSES
5.检查sudo是否配置有错
[root@localhost ~]# visudo -c /etc/sudoers: parsed OK
6.检查user_a,和user_d的sudo权限
[user_a@www.oldboyedu.com ~]$ sudo -l
User user_a may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum
[user_d@www.oldboyedu.com ~]$ sudo -l
User user_d may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum,
/bin/nice, /bin/kill, /usr/bin/kil
今日总结
- passwd设定密码
- 1.为新用户添加密码 只有root权限才可以
- 2.为用户变更密码也只有root才可以
- 3.普通用户只能修改自己的密码,..无法修改其他人的密码
- 4.密码的修改方式有两种,一种是交互式 非交互
- 用户的创建流程
- 在用户创建的过程需要参考 /etc/login.defs和/etc/default/useradd 这两个文件,默认参考.
- 组的基本管理
- 1.创建组 groupadd
- 2.修改组 groupmod
- 3.删除组 groupdel
- su 和 su -
- 加载的环境变量不一样
- sudo提权
- 1.有管理人员来分配权visudo | visduo -c 检查语法
- 2.普通用户仅需要检查自身的sudo权限即可 sudo -l
