美文网首页
Day09-用户组管理

Day09-用户组管理

作者: UncleZ_strive | 来源:发表于2019-08-06 19:53 被阅读0次

    1.为用户添加密码 [root才能执行]

    • 1.为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][a- Z] [!@#$%^&]
    [root@oldboy-65-zhl ~]# passwd u1
Changing password for user u1.
New password: 
BAD PASSWORD: The password is a palindrome
Retype new password: 
passwd: all authentication tokens updated successfully.
    • passwd --stdin 非交互式设定密码
    [root@oldboy-65-zhl ~]# echo "123" | passwd --stdin u1
Changing password for user u1.
passwd: all authentication tokens updated successfully.
    • 批量创建用户,并设定固定密码
    [root@oldboyedu ~]# cat user.sh 
for i in {1..100}
do
    useradd test$i 
    echo "123456" | passwd --stdin test$i 
done

    2.为用户改密码

    • 为自己修改密码:直接使用passwd
    • 为别人修改密码:(root)passwd username

    3.密码怎样才算复杂

    • 生成随机数
    [root@oldboy-65-zhl ~]# echo $RANDOM | md5sum | cut -c 5-15
7a4a163ad27
    • mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,- C大写字母,-s特殊字符
     [root@oldboyedu ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2 mQR1u^=q5Y

    总结:

    • 只有root可以给新用户添加密码
    • 只有root可以为用户修改密码
    • 普通用户只能修改自己的密码
    • 密码的两种修改方式,交互式和非交互式

    4.用户的创建流程

    在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两 个文件,默认参考
    如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs 和/etc/default/useradd)

    • cat /etc/login.defs
    MAIL_DIR /var/spool/mail     创建的邮箱所在的位置
PASS_MAX_DAYS 99999          密码最长使用天数
PASS_MIN_DAYS                0密码最短使用天数
PASS_MIN_LEN                 5密码的长度
PASS_WARN_AGE                7密码到期前七天警告
UID_MIN  1000                UID从1000开始
UID_MAX  60000               UID到60000结束
SYS_UID_MIN  201             系统用户的uid从201开始
SYS_UID_MAX  999             系统用户的最大uid到999
GID_MIN  1000
GID_MAX  60000
SYS_GID_MIN  201
SYS_GID_MAX  999
CREATE_HOME yes              给用户创建家目录在/home/
USERGROUPS_ENAB yes 创建私有组
    • cat /etc/default/useradd
    [root@oldboy-65-zhl ~]# cat /etc/default/useradd 
# useradd defaults file
GROUP=100  创建用户是不指定组组,并 且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分 配一个gid为100的组.
HOME=/home  默认用户的家目录
INACTIVE=-1  用户不失效
EXPIRE=  过期时间
SHELL=/bin/bash  默认登陆shell
SKEL=/etc/skel  默认用户拷贝环境变量
CREATE_MAIL_SPOOL=yes 创建邮箱

    5.用户组的管理

    • 一个用户没有指定组时会默认创建一个与用户同名的组,简称私有组
    • -g可以指定一个基本组但是基本组必须先存在

    • -G指定附加组(基本组或私有组无法满足需求时,添加一个附加组,并继承该附加组的权限)


      image.png
      image.png

    1.创建组 groupadd [-g GID] groupname

    [root@oldboyedu ~]# groupadd zhuzhu 
[root@oldboyedu ~]# groupadd -g 6666 gougou
[root@oldboyedu ~]# grep "6666" /etc/group gougou:x:6666: 
创建系统组 
[root@oldboyedu ~]# groupadd -r maomao 
[root@oldboyedu ~]# grep "maomao" /etc/group maomao:x:993:

    2.修改组 groupmod

    -g 修改组gid 
[root@oldboyedu ~]# groupmod -g 7777 gougou 
[root@oldboyedu ~]# grep "7777" /etc/group gougou:x:7777: 
-n 修改组名称 
[root@oldboyedu ~]# groupmod gougou -n gg 
[root@oldboyedu ~]# grep "7777" /etc/group gg:x:7777:

    3.删除组 如果要删除基本组,需要先删除基本组中的用户才可以删除 该组

    [root@oldboyedu ~]# groupadd dawang 
[root@oldboyedu ~]# groupadd laowang 
[root@oldboyedu ~]# useradd xiaowang 
[root@oldboyedu ~]# useradd gb -g laowang 
[root@oldboyedu ~]# usermod xiaowang -G laowang,dawang
[root@oldboyedu ~]# id xiaowang uid=6775(xiaowang) gid=7778(xiaowang) groups=7778(xiaowang),7779(dawang),7780(laowang) 
[root@oldboyedu ~]# userdel -r xiaowang 
[root@oldboyedu ~]# groupdel dawang 
[root@oldboyedu ~]# groupdel laowang groupdel: cannot remove the primary group of user 'gb' 
[root@oldboyedu ~]# userdel -r gb 
[root@oldboyedu ~]# groupdel laowang
    image.png

    6.用户提权

    • su 切换用户 如果切换用户,需要知道用户的密码,不是很安全

    • sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂
      基本概念
      1.交互式 需要不停的交互
      2.非交互式
      3.登录式shell 需要用户名以及密码开启bash窗口
      4.非登录式shell 不需要用户名和密码即可开启bash窗口
      su和su - 区别 在于加载的环境变量不一样

    • su - username属于登陆式shell,会加载全部的环境变量

    • su username属于非登陆式shell,会加载部分环境变量(很有可能出现错误清空)

    • su 切换有缺点
      1.需要知道用户对应的密码
      2.说明不是很安全

    • sudo提权
      1.预先分配好权限
      2.在关联对应的用户
      提升的权限太大,能否有办法限制仅开启某个命令的使用权限?其 他命令不允许?

    • 使用sudo中自带的别名操作, 将多个用户定义成一个组

    [root@bgx ~]# visudo
1.使用sudo定义分组,这个系统group没什么关系
User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex
2.定义可执行的命令组,便于后续调用
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall
3.使用sudo开始分配权限
OPS ALL=(ALL)
NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSES
DEV ALL=(ALL) SOFTWARE,PROCESSES
4.登陆对应的用户使用 sudo -l 验证权限
    • 使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.
    1.添加两个真实的系统组, group_dev group_op
[root@www ~]# groupadd group_dev
[root@www ~]# groupadd group_op
2.添加两个用户, group_dev(user_a user_b)
group_op(user_c user_d)
[root@www ~]# useradd user_a -G group_dev
[root@www ~]# useradd user_b -G group_dev
[root@www ~]# useradd user_c -G group_op
[root@www ~]# useradd user_d -G group_op
3.记得添加密码
[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d
4.在sudo中配置规则
[root@www ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE
%group_op ALL=(ALL) SOFTWARE,PROCESSES
5.检查sudo是否配置有错
[root@www ~]# visudo -c
/etc/sudoers: parsed OK
6.检查user_a,和user_d的sudo权限
[[user_a@www.oldboyedu.com](https://links.jianshu.com/go?to=mailto%3Auser_a%40www.oldboyedu.com) ~]$ sudo -l
User user_a may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum
[[user_d@www.oldboyedu.com](https://links.jianshu.com/go?to=mailto%3Auser_d%40www.oldboyedu.com) ~]$ sudo -l
User user_d may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum, /bin/nice,
/bin/kill, /usr/bin/kil
    image.png

    总结

    1.系统中的用户有什么作用?

    • 程序运行需要一个用户身份,可以使不能登录系统的
    • 多个人操作一个系统时,需要创建多个用户,这样互相不影响(默认初始化环境一样)
      2.创建用户时,会操作那几个配置文件
    • /etc/passwd 用户属性
    • /etc/shadow 用户密码属性
    • /etc/group 组
    • /etc/gshadow 组密码
      3.如何创建用户 修改用户 删除用户
    • useradd username
    -u  UID 
-g  GID  基本组
-G GID  附加组
-c  注释
-s  指定用户登录的shell
-d  指定用户的家目录
-M  不指定用户的家目录
-r  系统用户【通常201-999】并且没有家目录
    • usermod 修改用户
    -l  修改用户名称
    • userdel 删除用户
    `-r 会删除用户的家目录,以及用户的邮箱

    4.为用户添加密码(复杂度要高,密码需要三月一修改)

    passwd username  只能root操作
passwd  修改自己的密码(普通用户和root都行)
echo "123" | passwd --stdin username  非交互式设定密码(批量设定密码)

    5.用户的创建流程

    • 用户创建过程中会依赖两个文件 /etc/login.defs
      /etc/defaults/useradd2
    • 如果在创建用户 自行指定选项,会覆盖 /etc/login.defs
      /etc/defaults/useradd
    -u 2000 
-s /bin/bash /sbin/nologin 
-d /home /tmp

    6.用户的组

    • 基本组(有且只有一个)
      用户的主要组,使用-g指定,前提是该组必须存在
      创建用户时,不指定基本组,默认创建一个与用户同名的私有组
    • 附加组(可以有n个)
      当基本组无法满足需求时,可以添加附加组,富家族可以有n个
      7.组的创建 修改 删除
    • groupadd -g
    • groupmod -n -g
    • groupdel
      8.提权
    • su切换用户身份
      su username 非登陆式shell
      su - username 非登陆式shell
      登录式与非登陆式shell区别于环境变量加载的不一样
    • sudo提权
      由root用户事先分配可执行的命令权限
      由root用户关联某个普通用户与对应的权限
    • sudo提权方式一:使用sudo的内置别名创建组,创建命令组,最后将两者进行关联
    • sudo提权方式二:创建系统分组,然后再sudo对组配置权限

    相关文章

      网友评论

          本文标题:Day09-用户组管理

          本文链接:https://www.haomeiwen.com/subject/pididctx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|Day09-用户组管理|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!