基本概念
1.交互式 需要不停的交互
2.非交互式
3.登录式shell 需要用户名以及密码开启bash窗口
4.非登录式shell 不需要用户名和密码即可开启bash窗口
su和su - 区别 在于加载的环境变量不一样

• su - username属于登陆式shell，会加载全部的环境变量

• su username属于非登陆式shell，会加载部分环境变量（很有可能出现错误清空）

• su 切换有缺点
  1.需要知道用户对应的密码
  2.说明不是很安全

• sudo提权
  1.预先分配好权限
  2.在关联对应的用户
  提升的权限太大，能否有办法限制仅开启某个命令的使用权限？其 他命令不允许？

• 使用sudo中自带的别名操作, 将多个用户定义成一个组

[root@bgx ~]# visudo
1.使用sudo定义分组,这个系统group没什么关系
User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex
2.定义可执行的命令组,便于后续调用
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall
3.使用sudo开始分配权限
OPS ALL=(ALL)
NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSES
DEV ALL=(ALL) SOFTWARE,PROCESSES
4.登陆对应的用户使用 sudo -l 验证权限

• 使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.

1.添加两个真实的系统组, group_dev group_op
[root@www ~]# groupadd group_dev
[root@www ~]# groupadd group_op
2.添加两个用户, group_dev(user_a user_b)
group_op(user_c user_d)
[root@www ~]# useradd user_a -G group_dev
[root@www ~]# useradd user_b -G group_dev
[root@www ~]# useradd user_c -G group_op
[root@www ~]# useradd user_d -G group_op
3.记得添加密码
[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d
4.在sudo中配置规则
[root@www ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE
%group_op ALL=(ALL) SOFTWARE,PROCESSES
5.检查sudo是否配置有错
[root@www ~]# visudo -c
/etc/sudoers: parsed OK
6.检查user_a,和user_d的sudo权限
[[user_a@www.oldboyedu.com](https://links.jianshu.com/go?to=mailto%3Auser_a%40www.oldboyedu.com) ~]$ sudo -l
User user_a may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum
[[user_d@www.oldboyedu.com](https://links.jianshu.com/go?to=mailto%3Auser_d%40www.oldboyedu.com) ~]$ sudo -l
User user_d may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum, /bin/nice,
/bin/kill, /usr/bin/kil

image.png

1.为用户添加密码 [root才能执行]

• 1.为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][a- Z] [!@#$%^&]

[root@oldboy-65-zhl ~]# passwd u1
Changing password for user u1.
New password: 
BAD PASSWORD: The password is a palindrome
Retype new password: 
passwd: all authentication tokens updated successfully.

• passwd --stdin 非交互式设定密码

[root@oldboy-65-zhl ~]# echo "123" | passwd --stdin u1
Changing password for user u1.
passwd: all authentication tokens updated successfully.

• 批量创建用户,并设定固定密码

[root@oldboyedu ~]# cat user.sh 
for i in {1..100}
do
    useradd test$i 
    echo "123456" | passwd --stdin test$i 
done

2.为用户改密码

• 为自己修改密码：直接使用passwd
• 为别人修改密码：（root）passwd username

3.密码怎样才算复杂

• 生成随机数

[root@oldboy-65-zhl ~]# echo $RANDOM | md5sum | cut -c 5-15
7a4a163ad27

• mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,- C大写字母,-s特殊字符

 [root@oldboyedu ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2 mQR1u^=q5Y

总结：

• 只有root可以给新用户添加密码
• 只有root可以为用户修改密码
• 普通用户只能修改自己的密码
• 密码的两种修改方式,交互式和非交互式

4.用户的创建流程

在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两 个文件,默认参考
如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs 和/etc/default/useradd)

• cat /etc/login.defs

MAIL_DIR /var/spool/mail     创建的邮箱所在的位置
PASS_MAX_DAYS 99999          密码最长使用天数
PASS_MIN_DAYS                0密码最短使用天数
PASS_MIN_LEN                 5密码的长度
PASS_WARN_AGE                7密码到期前七天警告
UID_MIN  1000                UID从1000开始
UID_MAX  60000               UID到60000结束
SYS_UID_MIN  201             系统用户的uid从201开始
SYS_UID_MAX  999             系统用户的最大uid到999
GID_MIN  1000
GID_MAX  60000
SYS_GID_MIN  201
SYS_GID_MAX  999
CREATE_HOME yes              给用户创建家目录在/home/
USERGROUPS_ENAB yes 创建私有组

• cat /etc/default/useradd

[root@oldboy-65-zhl ~]# cat /etc/default/useradd 
# useradd defaults file
GROUP=100  创建用户是不指定组组,并 且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分 配一个gid为100的组.
HOME=/home  默认用户的家目录
INACTIVE=-1  用户不失效
EXPIRE=  过期时间
SHELL=/bin/bash  默认登陆shell
SKEL=/etc/skel  默认用户拷贝环境变量
CREATE_MAIL_SPOOL=yes 创建邮箱

5.用户组的管理

• 一个用户没有指定组时会默认创建一个与用户同名的组，简称私有组
• -g可以指定一个基本组但是基本组必须先存在

• -G指定附加组（基本组或私有组无法满足需求时，添加一个附加组，并继承该附加组的权限）

  
  
  image.png
  
  
  image.png

1.创建组 groupadd [-g GID] groupname

[root@oldboyedu ~]# groupadd zhuzhu 
[root@oldboyedu ~]# groupadd -g 6666 gougou
[root@oldboyedu ~]# grep "6666" /etc/group gougou:x:6666: 
创建系统组 
[root@oldboyedu ~]# groupadd -r maomao 
[root@oldboyedu ~]# grep "maomao" /etc/group maomao:x:993:

2.修改组 groupmod

-g 修改组gid 
[root@oldboyedu ~]# groupmod -g 7777 gougou 
[root@oldboyedu ~]# grep "7777" /etc/group gougou:x:7777: 
-n 修改组名称 
[root@oldboyedu ~]# groupmod gougou -n gg 
[root@oldboyedu ~]# grep "7777" /etc/group gg:x:7777:

3.删除组 如果要删除基本组，需要先删除基本组中的用户才可以删除 该组

[root@oldboyedu ~]# groupadd dawang 
[root@oldboyedu ~]# groupadd laowang 
[root@oldboyedu ~]# useradd xiaowang 
[root@oldboyedu ~]# useradd gb -g laowang 
[root@oldboyedu ~]# usermod xiaowang -G laowang,dawang
[root@oldboyedu ~]# id xiaowang uid=6775(xiaowang) gid=7778(xiaowang) groups=7778(xiaowang),7779(dawang),7780(laowang) 
[root@oldboyedu ~]# userdel -r xiaowang 
[root@oldboyedu ~]# groupdel dawang 
[root@oldboyedu ~]# groupdel laowang groupdel: cannot remove the primary group of user 'gb' 
[root@oldboyedu ~]# userdel -r gb 
[root@oldboyedu ~]# groupdel laowang

image.png

6.用户提权

• su 切换用户 如果切换用户,需要知道用户的密码,不是很安全
• sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂