day09用户管理2

1.为用户添加密码

添加密码 root才行，密码尽可能复杂[0-9] [a-Z] [!@#$%^&*]

#交互式 passwd username
[root@oldboy ~]# passwd zzz 
Changing password for user zzz.
New password: 
BAD PASSWORD: The password is a palindrome
Retype new password: 
passwd: all authentication tokens updated successfully.

#passwd --stdin 非交互式设定密码
[root@oldboy ~]# echo "456" | passwd --stdin zzz 
Changing password for user zzz.
passwd: all authentication tokens updated successfully.

#批量创建用户，并设定固定密码
[root@oldboy ~]# vim user.sh
for i in {1..100} do
        useradd test$i
        echo "123456" | passwd --stdin test$i
done

2.修改密码

普通用户为自己修改密码直接使用passwd， 注意密码8位以上且一定的复杂。
为其他用户修改命令只要root才可以，passwd username

3.密码怎么才算复杂

#使用/etc/random生成随机数
[root@oldboy ~]# echo $RANDOM | md5sum | cut -c 3-13
0bbb436e162

# mkpasswd生成随机字符串，-l设定密码长度，-d数字，-c小写字母，-C大写字母，-s特殊字符
[root@oldboy ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2
zO]e5[DFo4

4.用户创建流程

在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两 个文件,默认参考.
如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs 和/etc/default/useradd)

[root@oldboy ~]# grep "^[a-Z]" /etc/login.defs 
MAIL_DIR    /var/spool/mail     #创建邮箱的路径
PASS_MAX_DAYS   99999           #密码最常使用天数
PASS_MIN_DAYS   0               #密码最短使用天数
PASS_MIN_LEN    5               #密码长度
PASS_WARN_AGE   7               #密码再到期前7天警告
UID_MIN                  1000   #uid 从1000开始
UID_MAX                 60000   #uid 到6w结束
SYS_UID_MIN               201   #系统用户uid，从201开始
SYS_UID_MAX               999   #系统用户uid最大到999
GID_MIN                  1000   
GID_MAX                 60000   
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME yes                 #给用户创建家目录，在/home/
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512 

[root@oldboy ~]# cat /etc/default/useradd 
# useradd defaults file
GROUP=100               #如果useradd没有指定组，并且/etc/login.defs中的USERGROUPS_ENAB为no或者useradd使用了-N选项时，此时该参数生效。创建用户时使用此组ID。
HOME=/home              #用户默认创建家目录
INACTIVE=-1             #用户不失效
EXPIRE=                 #过期时间
SHELL=/bin/bash         #默认登陆shell
SKEL=/etc/skel          #默认用户拷贝环境变量
CREATE_MAIL_SPOOL=yes   #创建邮箱

5.用户组的管理

没有指定组：默认会创建一个与用户同名的组，简称私有组

指定组：-g 指定一个基本组 ，基本组必须先存在

附加组：-G 指定，基本组或私有组无法满足需求时，添加一个附加组，继承改组的权限

/etc/group 配置文件详解

[root@oldboy ~]# head -1 /etc/group
root:x:0:
root    #第一列组的名称
x       #第二列组的密码
0       #第三列组gid
        #第四列显示附加组成员

/etc/gshadow配置文件详解

[root@oldboy ~]# head -1 /etc/gshadow
root:::
root    #第一列组的名称
        #第二列组的密码
        #第三列组管理员
        #第四列显示附加组成员

创建组groupadd

groupadd
-g gid
-r 系统组

#选项
groupadd 
-g  指定gid
-r  系统组

[root@oldboy ~]# groupadd aaa
[root@oldboy ~]# groupadd -g 1234 bbb
[root@oldboy ~]# grep "1234" /etc/group
bbb:x:1234:

#创建系统组
[root@oldboy ~]# grep "ccc" /etc/group
ccc:x:995:

修改组groupmod

#选项
groupmod
-g  指定gid
-n  修改组名称

# -g 修改组gid
[root@oldboy ~]# groupmod -g 2333 aaa
[root@oldboy ~]# grep "2333" /etc/group
aaa:x:2333:

# -n 修改组名称
[root@oldboy ~]# grep "1234" /etc/group
ddd:x:1234:

删除组groupdel

如果要删除基本组，需要先删除基本组的用户才可以删除基本组

如果要删除似有组，删除与私有组同名的用户会把与用户同名的私有组一起删除，若用户改名或私有组改名只删除用户无法删除该私有组

1565077058366.png

#模拟上图环境删除组bing  zi  han
#创建环境
[root@oldboy ~]# useradd han
[root@oldboy ~]# groupadd bing
[root@oldboy ~]# groupadd zi
[root@oldboy ~]# useradd lv -g zi 
[root@oldboy ~]# usermod han -G bing,zi

#删除私有组同名的用户会把与用户同名的私有组一起删除
[root@oldboy ~]# userdel han
# 基本组 bing 下没有用户可以直接删除
[root@oldboy ~]# groupdel bing
# 删除基本组 zi 需先删除组下的用户 lv
[root@oldboy ~]# userdel lv
[root@oldboy ~]# groupdel zi

6.用户提权

su 切换用户，如果切换用户，需要知道用户的密码，不安全
sudo 提权（root事先分配好权限--> 关联用户）安全方便，但复杂

基本概念：

1.交互式 需要不停的交互

2.非交互式

3.登录式shell 需要用户名以及密码开启bash窗口

4.非登录式shell 不需要用户名和密码即可开启bash窗口

su -username  登录式shell  会加载全部的环境变量
su  username  非登录式shell 回家再部分环境变量(容易出现错误清空)

su切换需要知道用户对应的密码，不是很安全

sudo 提权 预先分配好权限，再关联对应的用户

usermod -G wheel username ##wheel 组默认有sudo权限

sudo yum install -y

输入密码

visudo(有语法检测) 或 vim /etc/sudoers

oldboy ALL=(ALL) /usr/bin/yum,/usr/bin/rm
oldgirl ALL=(ALL) /usr/bin/yum

wq

sudo -c 检查是否写错

仅开启某个命令的使用权限

方法一：使用sudo中自带别名操作，将多个用户定义成一个组（视频8）

1565082468082.png

[root@oldboy ~]# visudo 

#1.使用速冻定义分组，和系统中的组group没有关系（OPS、DEV是sudo里面定义组的一种）
User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex

# 2.定义可执行的命令组,便于后续调用 
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping 
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum 
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start 
Cmnd_Alias STORAGE = /bin/mount, /bin/umount 
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp 
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

# 3.分配权限
OPS  ALL=(ALL) NETWORKING,SOFTWARE,PROCESSES,SERVICES,STORAGE,DELEGATING
DEV  ALL=(ALL) NETWORKING

[root@oldboy ~]# visudo -c

#4.登陆对应的用户使用 sudo -l 验证权限(需输入密码)

方法二：使用groupadd添加组，然后给组分配sudo权限，如果有新用户加入，直接将用户添加到该组

#1.添加两个真实的系统组，group_dev  group_op
[root@oldboy ~]# groupadd group_dev
[root@oldboy ~]# groupadd group_op

#2.添加两个用户，  group_dev(user_a  user_b)   group_op(user_c  user_d) 
[root@oldboy ~]#  useradd user_a -G group_dev 
[root@oldboy ~]#  useradd user_b -G group_dev
[root@oldboy ~]#  useradd user_c -G group_op 
[root@oldboy ~]#  useradd user_d -G group_op

#3.添加密码 
[root@oldboy ~]#  echo "1" | passwd --stdin user_a 
[root@oldboy ~]#  echo "1" | passwd --stdin user_b 
[root@oldboy ~]#  echo "1" | passwd --stdin user_c
[root@oldboy ~]#  echo "1" | passwd --stdin user_d

#4.在sudo中配置规则
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping 
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum 
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start 
Cmnd_Alias STORAGE = /bin/mount, /bin/umount 
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp 
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

#5.给系统的真实组分配权限（不加%算是用户，加上%sudo中算为组）
%group_dev   ALL=(ALL) SOFTWARE,SERVICES,PROCESSES,PROCESSES
%group_op    ALL=(ALL) SOFTWARE,SERVICES

[root@oldboy ~]# visudo -c
/etc/sudoers: parsed OK

#6.检查user_a,和user_c的sudo权限 
[user_a@oldboy ~]$ sudo -l
[sudo] password for user_a: 
Matching Defaults entries for user_a on oldboy:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin,
    env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME
    LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User user_a may run the following commands on oldboy:
    (ALL) /bin/rpm, /usr/bin/yum, /sbin/service, /usr/bin/systemctl start, /bin/nice,
        /bin/kill, /usr/bin/kill, /usr/bin/killall, /bin/nice, /bin/kill, /usr/bin/kill,
        /usr/bin/killall, /sbin/ifconfig, /bin/ping

sudo执行流程

1565092693592.png