今日内容

一、.如何为用户设定密码，又如何修改密码? 用户的创建流程? [扩展了解]

二、用户组如何管理？ 

 三、普通用户无权限怎么办? 切换身份 or 提权? 

        su 切换用户 

        sudo 提权 

     四、自行注册一个域名. xx.to

1.为新用户添加密码｛只能是root｝｛密码尽可能的复杂｝[0-9][a-Z][!@#$%^&*]

#passwd --stdin 非交互式设定密码

#批量创建用户,并设定固定密码

2.为用户变更密码

    1.为自己修改密码 (ok) 直接使用passwd 注意密码需要复杂一 点,并达到8位

    2.为别人修改密码 (root) passwd username

3.密码怎么才算复杂

这里的random值的指的是随机数生成器

#2.mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,C大写字母,-s特殊字符

lastpass 在线支持windows Macos IPHONE  浏览器插件 Android

总结：

1.为新用户添加密码 只有root权限才可以

2.为用户变更密码也只有root才可以

3.普通用户只有能改自己的密码，无法修改其他人的密码

4.密码的修改方式有两种，交互式与非交互式

4.用户的创建流程

[root@oldboyedu ~]# grep "^[a-Z]" /etc/login.defs MAIL_DIR /var/spool/mail #创建的邮箱所在的位置

PASS_MAX_DAYS 99999                                                     #密码最长使用的天数

PASS_MIN_DAYS 0                                                              #密码最短时间的天数

PASS_MIN_LEN 5                                                                  #密码的长度

PASS_WARN_AGE 7                                                             #密码到期前7天警告

UID_MIN                  1000                                                         #uid 从1000开始

UID_MAX                 60000                                                        #uid从6w结束

SYS_UID_MIN               201                                                      #系统用户的uid 从201 开始

SYS_UID_MAX               999                                                     #系统用户的uid最大到999 

GID_MIN              1000                                                              #系统组的gid最小1000

GID_MAX                              60000                                          #组的gid最大到60000

 SYS_GID_MIN                                                                           #系统用户的gid最小为

SYS_GID_MAX                                                                           #系统gid最大

CREATE_HOME yes                                                           #给用户创建家目录,创建 在/home 

UMASK           077 

USERGROUPS_ENAB yes

 ENCRYPT_METHOD SHA512

[root@oldboyedu ~]# cat /etc/default/useradd 

# useradd defaults file

GROUP=100                                                                       #当用户创建用户时不指定组,并且/etc/login.defs中 USERGROUPS_ENAB为no时, 用户 默                                                                                             认创建给分 配一个gid为100的组.

HOME=/home                                                                     #用户默认的家目录

INACTIVE=-1                                                                      #用户不失效

EXPIRE=                                                                             #过期时间

SHELL=/bin/bash                                                                  #默认登录shell

SKEL=/etc/skel                                                                      #默认用户拷贝的环境变量

CREATE_MAIL_SPOOL=yes                                                 #创建邮箱

5.用户组的管理

没有指定组默认会创建一个与用户同名的组，简称私有组

指定组：-g 指定一个基本组   基本组必须先存在

附加组:-G指定（基本组或私有组无法满足需求时，添加一个附加组继承该组的权限）

1.etc/group 配置文件

2.etc/gshadow 配置文件

1.创建组 groupadd [-g GID] groupname

#创建系统组

2.修改组 groupmod

#-g 修改组gid

#-n 修改组名称

3.删除组 如果要删除基本组，需要先删除基本组中的用户才可以删除 该组。

6.用户提权

    su 切换用户 如果切换用户,需要知道用户的密码,不是很安全

     sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂

基本概念

1.交互式 需要不停的交互 

2.非交互式 

3.登录式shell 需要用户名以及密码开启bash窗口 

4.非登录式shell 不需要用户名和密码即可开启bash窗口

su - username属于登陆式shell会加载全部环境变量，su username属于非登陆式shell，区别 在于加载的环境变量不一样。

su -username 属于登录时shell 会加载全部的环境变量

su username 属于非登录式shell 汇价在部分环境变量（很有可能就会出现错误清空）

经过修改配置文件，然后su root 显示登录式shell加载五项，非登录式之加载三项

su切换有缺点

        需要知道用户对应的密码

        说明不是很安全

sudo提权 

        1.预先分配好权限 

        2.在关联对应的用户

        3.提升的权限太大，能否有办法限制仅开启某个命令的使用权限   其他命令不允许

第一种方式:使用sudo中自带的别名操作, 将多个用户定义成一个组

usermod  username -G wheel可以直接将用户提权到sudo组

#visudo(有语法保护功能，一般用这个)

#vim /etc/sudoers

[root@bgx ~]# visudo#

1.使用sudo定义分组,这个系统group没什么关系 

User_Alias OPS = oldboy,oldgirl

 User_Alias DEV = alex 

# 2.定义可执行的命令组,便于后续调用

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping

Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum

Cmnd_Alias SERVICES = /sbin/service,

/usr/bin/systemctl start

Cmnd_Alias STORAGE = /bin/mount, /bin/umount 

Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,

/bin/chgrp

Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,

/usr/bin/kill, /usr/bin/killall

# 3.使用sudo开始分配权限

OPS  ALL=(ALL)

NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES SES

DEV  ALL=(ALL) SOFTWARE,PROCESSES

#4.登陆对应的用户使用 sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新 用户加入,直接将用户添加到该组.*

#1.添加两个真实的系统组, group_dev group_op

 [root@www ~]# groupadd group_dev 

[root@www ~]# groupadd group_op

#2.添加两个用户,      group_dev(user_a  user_b)   group_op(user_c  user_d)

 [root@www ~]# useradd user_a -G group_dev

 [root@www ~]# useradd user_b -G group_dev

 [root@www ~]# useradd user_c -G group_op

 [root@www ~]# useradd user_d -G group_op

#3.记得添加密码 [root@www ~]# echo "1" | passwd --stdin user_a 

[root@www ~]# echo "1" | passwd --stdin user_b

[root@www ~]# echo "1" | passwd --stdin user_c

 [root@www ~]# echo "1" | passwd --stdin user_d

#4.在sudo中配置规则 

[root@www ~]# visudo    Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping   

 Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum

Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start   

 Cmnd_Alias STORAGE = /bin/mount, /bin/umount    

Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp   

 Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

%group_dev ALL=(ALL) SOFTWARE   

 %group_op ALL=(ALL) SOFTWARE,PROCESSES

#5.检查sudo是否配置有错

 [root@www ~]# visudo -c /etc/sudoers: parsed OK

#6.检查user_a,和user_d的sudo权限

 [user_a@www.oldboyedu.com ~]$ sudo -l User user_a may run the following commands on www:    (ALL) /bin/rpm, /usr/bin/yum

[user_d@www.oldboyedu.com ~]$ sudo -l User user_d may run the following commands on www:    (ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kil

今日总结

1.passwd设定密码 

2.用户的创建流程[了解] 

3.组的基本管理 创建组 修改组

删除组 

4.su 和 su - 区别 加载的环境变量不一样

 5.sudo提权 

1.有管理人员来分配权限 visudo | visduo -c 检查语法 

2.普通用户仅需要检查自身的sudo权限即可 sudo -l

基本权限

特殊权限

ACL访问控制