美文网首页
Linux用户管理②

Linux用户管理②

作者: 草莓_Ops | 来源:发表于2019-08-06 20:00 被阅读0次
    1. 为用户添加密码 [root才能执行]
    • 1为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][a-Z] [!@#$%^&]*
    [root@yinwucheng ~]# passwd 123
    Changing password for user 123.
    New password:
    BAD PASSWORD: The password is a palindrome
    Retype new password:
    passwd: all authentication tokens updated
    successfully.
    
    passwd --stdin     非交互式设定密码
    [root@yinwucheng ~]# echo "123" | passwd --stdin 000000
    Changing password for user 000000.
    passwd: all authentication tokens updated
    successfully.
    
    2. 批量创建用户,并设定固定密码
    [root@yinwucheng ~]# cat user.sh
    for i in {1..100}
    do
    useradd test$i
    echo "123456" | passwd --stdin test$i
    done
    
    3. 为用户变更密码
    2.1 为自己修改密码 (ok) 直接使用passwd 注意密码需要复杂一点,并达到8位
    2.2 为别人修改密码 (root) passwd username
    2.3 密码怎么才算复杂
    [root@yinwucheng ~]# echo $RANDOM | md5sum |cut -c 5-15
    9320a6f282d
    
    2.mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,-C大写字母,-s特殊字符
    [root@yinwucheng ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2
    mQR1u^=q5Y
    
    lastpass 在线密码工具  支持 windows MacOS Iphone 浏览器插件 Android
    总结:
    1.为新用户添加密码 只有root权限才可以
    2.为用户变更密码也只有root才可以
    3.普通用户只能修改自己的密码,..无法修改其他人的密码
    4.密码的修改方式有两种,一种是交互式 非交互
    

    4. 用户的创建流程

    在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两个文件,默认参考.
    如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs和/etc/default/useradd)

    [root@yinwucheng ~]# grep "^[a-Z]" /etc/login.defs
    MAIL_DIR /var/spool/mail #创建的邮箱所在的位置
    PASS_MAX_DAYS 99999 #密码最长使用的天数
    PASS_MIN_DAYS 0 #密码最短时间的天数
    

    5. 用户组的管理

    PASS_MIN_LEN 5 #密码的长度
    PASS_WARN_AGE 7 #密码到期前7天警告
    UID_MIN          1000 #uid 从1000开始
    UID_MAX         60000 #uid从6w结束
    SYS_UID_MIN        201 #系统用户的uid 从201
    开始
    SYS_UID_MAX        999 #系统用户的uid最大到
    999
    GID_MIN          1000
    GID_MAX         60000
    SYS_GID_MIN        201
    SYS_GID_MAX        999
    CREATE_HOME yes #给用户创建家目录,创建
    在/home
    UMASK      077
    USERGROUPS_ENAB yes
    ENCRYPT_METHOD SHA512
    
    [root@yinwucheng ~]# cat /etc/default/useradd
    # useradd defaults file
    GROUP=100 #当用户创建用户时不指定组,并
    且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分
    配一个gid为100的组.
    HOME=/home #用户默认的家目录
    INACTIVE=-1 #用户不失效
    EXPIRE= #过期时间
    SHELL=/bin/bash #默认登录shell
    SKEL=/etc/skel #默认用户拷贝的环境变量
    CREATE_MAIL_SPOOL=yes #创建邮箱
    
    image.png
    image.png
    1.创建组 groupadd [-g GID] groupname
    [root@yinwucheng ~]# groupadd zhuzhu
    [root@yinwucheng ~]# groupadd -g 6666 gougou
    [root@yinwucheng ~]# grep "6666" /etc/group
    gougou:x:6666:
    

    6. 创建系统组

    [root@yinwucheng ~]# groupadd -r maomao
    [root@yinwucheng ~]# grep "maomao" /etc/group
    maomao:x:993:
    
    2.修改组 groupmod
    -g 修改组gid
    [root@yinwucheng ~]# groupmod -g 7777 gougou
    [root@yinwucheng ~]# grep "7777" /etc/group
    gougou:x:7777:
    
    -n 修改组名称
    [root@yinwucheng ~]# groupmod gougou -n gg
    [root@yinwucheng ~]# grep "7777" /etc/group
    gg:x:7777:
    
    7. 删除组 如果要删除基本组,需要先删除基本组中的用户才可以删除该组。
    [root@yinwucheng ~]# groupadd dawang
    [root@yinwucheng ~]# groupadd laowang
    [root@yinwucheng ~]# useradd xiaowang
    [root@yinwucheng ~]# useradd gb -g laowang
    [root@yinwucheng ~]# usermod xiaowang -G laowang,dawang
    [root@yinwucheng ~]# id xiaowang
    uid=6775(xiaowang) gid=7778(xiaowang)
    groups=7778(xiaowang),7779(dawang),7780(laowang)
    
    [root@yinwucheng ~]# userdel -r xiaowang
    [root@yinwucheng ~]# groupdel dawang
    [root@yinwucheng ~]# groupdel laowang
    groupdel: cannot remove the primary group of user 'gb'
    [root@yinwucheng ~]# userdel -r gb
    [root@yinwucheng ~]# groupdel laowang
    

    8. 用户提权

    su 切换用户 如果切换用户,需要知道用户的密码,不是很安全
    sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂
    1.交互式 需要不停的交互
    2.非交互式
    3.登录式shell 需要用户名以及密码开启bash窗口
    4.非登录式shell 不需要用户名和密码即可开启bash窗口
    su - username属于登陆式shell,su username属于非登陆式shell,区别在于加载的环境变量不一样。
    su - username 属于登录式shell 会加载全部的环境变量
    su username 属于非登录式shell 会加载部分环境变量(很有可能就会出现错误清空)

    9. sudo提权

    1. 预先分配好权限
    2. 在关联对应的用户
    3. 提升的权限太大,能否有办法限制仅开启某个命令的使用权限?其他命令不允许?
    1.第一种方式:使用sudo中自带的别名操作, 将多个用户定义成一个组
    [root@yinwucheng ~]# visudo
    1.使用sudo定义分组,这个系统group没什么关系
    User_Alias OPS = cheng1,cheng2
    User_Alias DEV = alex
    
    2.定义可执行的命令组,便于后续调用
    Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
    Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
    Cmnd_Alias SERVICES = /sbin/service,
    /usr/bin/systemctl start
    Cmnd_Alias STORAGE = /bin/mount, /bin/umount
    Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,
    /bin/chgrp
    Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,
    /usr/bin/kill, /usr/bin/killall
    
    3.使用sudo开始分配权限
    OPS  ALL=(ALL)
    NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES
    SES
    DEV  ALL=(ALL) SOFTWARE,PROCESSES
    
    4.登陆对应的用户使用 sudo -l 验证权限
    
    2. 第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.
    1.添加两个真实的系统组, group_dev group_op
    [root@yinwucheng ~]# groupadd group_dev
    [root@yinwucheng ~]# groupadd group_op
    
    2.添加两个用户,   group_dev(user_a user_b)  group_op(user_c user_d)
    [root@yinwucheng ~]# useradd user_a -G group_dev
    [root@yinwucheng ~]# useradd user_b -G group_dev
    [root@yinwucheng ~]# useradd user_c -G group_op
    [root@yinwucheng ~]# useradd user_d -G group_op
    
    3.记得添加密码
    [root@yinwucheng ~]# echo "1" | passwd --stdin user_a
    [root@yinwucheng ~]# echo "1" | passwd --stdin user_b
    [root@yinwucheng ~]# echo "1" | passwd --stdin user_c
    [root@yinwucheng ~]# echo "1" | passwd --stdin user_d
    
    4.在sudo中配置规则
    [root@yinwucheng ~]# visudo
     Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
     Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
     Cmnd_Alias SERVICES = /sbin/service,
    /usr/bin/systemctl start
     Cmnd_Alias STORAGE = /bin/mount, /bin/umount
     Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,
    /bin/chgrp
     Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall
     %group_dev ALL=(ALL) SOFTWARE
     %group_op ALL=(ALL) SOFTWARE,PROCESSES
    
    5.检查sudo是否配置有错
    [root@yinwucheng ~]# visudo -c
    /etc/sudoers: parsed OK
    
    6.检查user_a,和user_d的sudo权限
    [user_a@yinwucheng ~]$ sudo -l
    User user_a may run the following commands on www:
     (ALL) /bin/rpm, /usr/bin/yum
    [user_d@yinwucheng ~]$ sudo -l
    User user_d may run the following commands on www:
     (ALL) /bin/rpm, /usr/bin/yum, /bin/nice,
    /bin/kill, /usr/bin/kil
    
    879741.jpg

    相关文章

      网友评论

          本文标题:Linux用户管理②

          本文链接:https://www.haomeiwen.com/subject/uqawdctx.html