day 10 用户管理

2 今日内容

6.如何为用户设定密码,又如何修改密码?

7.用户的创建流程? [扩展了解]

8.用户组如何管理?

9.普通用户无权限怎么办? 切换身份 or 提权?

su 切换用户

sudo 提权

10.自行注册一个域名. xx.top

1.为用户添加密码 [root才能执行]

1.为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][a-

Z] [!@#$%^&]

2.为用户变更密码

1.为自己修改密码 (ok) 直接使用passwd 注意密码需要复杂一

点,并达到8位

2.为别人修改密码 (root) passwd username

[root@oldboyedu ~]# passwd oldxu

Changing password for user oldxu.

[root@oldboyedu ~]# groupadd dawang

New password:

BAD PASSWORD: The password is a palindrome

Retype new password:

passwd: all authentication tokens updated

successfully.

passwd --stdin 非交互式设定密码

[root@oldboyedu ~]# echo "123" | passwd --stdin oldxu

Changing password for user oldxu.

passwd: all authentication tokens updated

successfully.

批量创建用户,并设定固定密码

[root@oldboyedu ~]# cat user.sh

for i in {1..100}

do

useradd test$i

echo "123456" | passwd --stdin test$i

done

3.密码怎么才算复杂

[root@oldboyedu ~]# echo $RANDOM | md5sum |cut -c 5-15

9320a6f282d

2.mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,-

C大写字母,-s特殊字符

[root@oldboyedu ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2

mQR1u^=q5Y

lastpass 在线 支持 windows MacOS Iphone 浏览器插件

Android

总结:

1.为新用户添加密码 只有root权限才可以

2.为用户变更密码也只有root才可以

3.普通用户只能修改自己的密码,..无法修改其他人的密码

4.密码的修改方式有两种,一种是交互式 非交互

4.用户的创建流程

在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两

个文件,默认参考.

如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs

和/etc/default/useradd)

[root@oldboyedu ~]# grep "^[a-Z]" /etc/login.defs

MAIL_DIR /var/spool/mail #创建的邮箱所在的位置

PASS_MAX_DAYS 99999 #密码最长使用的天数

PASS_MIN_DAYS 0 #密码最短时间的天数

PASS_MIN_LEN 5 #密码的长度

PASS_WARN_AGE 7 #密码到期前7天警告

UID_MIN 1000 #uid 从1000开始

UID_MAX 60000 #uid从6w结束

SYS_UID_MIN 201 #系统用户的uid 从201

开始

SYS_UID_MAX 999 #系统用户的uid最大到999

GID_MIN 1000

GID_MAX 60000

SYS_GID_MIN 201

SYS_GID_MAX 999

CREATE_HOME yes #给用户创建家目录,创建在/home

UMASK 077

USERGROUPS_ENAB yes

ENCRYPT_METHOD SHA512

[root@oldboyedu ~]# cat /etc/default/useradd

useradd defaults file

GROUP=100 #当用户创建用户时不指定组,并

且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分

配一个gid为100的组.

HOME=/home #用户默认的家目录

INACTIVE=-1 #用户不失效

EXPIRE= #过期时间

SHELL=/bin/bash #默认登录shell

SKEL=/etc/skel #默认用户拷贝的环境变量

CREATE_MAIL_SPOOL=yes #创建邮箱

5.用户组的管理

[图片上传失败...(image-f54ad1-1565082623980)]

1./etc/group 配置文件解释如下图

[图片上传失败...(image-bb3e2b-1565082623980)]

2./etc/shadow 配置文件解释如下图

[图片上传失败...(image-acc54e-1565082623980)]

1.创建组 groupadd [-g GID] groupname

[root@oldboyedu ~]# groupadd zhuzhu

[root@oldboyedu ~]# groupadd -g 6666 gougou

[root@oldboyedu ~]# grep "6666" /etc/group

gougou:x:6666:

创建系统组

[root@oldboyedu ~]# groupadd -r maomao

[root@oldboyedu ~]# grep "maomao" /etc/group

maomao:x:993:

2.修改组 groupmod

-g 修改组gid

[root@oldboyedu ~]# groupmod -g 7777 gougou

[root@oldboyedu ~]# grep "7777" /etc/group

gougou:x:7777:

-n 修改组名称

[root@oldboyedu ~]# groupmod gougou -n gg

[root@oldboyedu ~]# grep "7777" /etc/group

gg:x:7777:

3.删除组 如果要删除基本组,需要先删除基本组中的用户才可以删除

该组。

[root@oldboyedu ~]# groupadd laowang

[root@oldboyedu ~]# useradd xiaowang

[root@oldboyedu ~]# useradd gb -g laowang

[root@oldboyedu ~]# usermod xiaowang -G laowang,dawang



[root@oldboyedu ~]# id xiaowang

uid=6775(xiaowang) gid=7778(xiaowang)

groups=7778(xiaowang),7779(dawang),7780(laowang)

[root@oldboyedu ~]# userdel -r xiaowang

[root@oldboyedu ~]# groupdel dawang

[root@oldboyedu ~]# groupdel laowang

groupdel: cannot remove the primary group of user 'gb'

[root@oldboyedu ~]# userdel -r gb

[root@oldboyedu ~]# groupdel laowang

[图片上传失败...(image-853261-1565082623980)]

6.用户提权

su 切换用户 如果切换用户,需要知道用户的密码,不是很安全

sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂

基本概念

1.交互式 需要不停的交互

2.非交互式

3.登录式shell 需要用户名以及密码开启bash窗口

4.非登录式shell 不需要用户名和密码即可开启bash窗口

su - username属于登陆式shell,su username属于非登陆式shell,区别

在于加载的环境变量不一样。

su - username 属于登录式shell 会加载全部的环境变量

su username 属于非登录式shell 会加载部分环境变量(很有

可能就会出现错误清空)

[图片上传失败...(image-eca2e-1565082623980)]

su 切换有缺点

需要知道用户对应的密码

说明不是很安全

[图片上传失败...(image-629357-1565082623980)]

sudo提权

1.预先分配好权限

2.在关联对应的用户

3.提升的权限太大,能否有办法限制仅开启某个命令的使用权限?其

他命令不允许?

第一种方式:使用sudo中自带的别名操作, 将多个用户定义成一个组

[root@bgx ~]# visudo

1.使用sudo定义分组,这个系统group没什么关系

User_Alias OPS = oldboy,oldgirl

User_Alias DEV = alex

2.定义可执行的命令组,便于后续调用

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping

Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum

Cmnd_Alias SERVICES = /sbin/service,

/usr/bin/systemctl start

Cmnd_Alias STORAGE = /bin/mount, /bin/umount

Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,

/bin/chgrp

Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,

/usr/bin/kill, /usr/bin/killall

3.使用sudo开始分配权限

OPS ALL=(ALL)

NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES

SES

DEV ALL=(ALL) SOFTWARE,PROCESSES

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新

用户加入,直接将用户添加到该组.*

4.登陆对应的用户使用 sudo -l 验证权限

1.添加两个真实的系统组, group_dev group_op

[root@www ~]# groupadd group_dev

[root@www ~]# groupadd group_op

2.添加两个用户, group_dev(user_a user_b)

group_op(user_c user_d)

[root@www ~]# useradd user_a -G group_dev

[root@www ~]# useradd user_b -G group_dev

[root@www ~]# useradd user_c -G group_op

[root@www ~]# useradd user_d -G group_op

3.记得添加密码

[root@www ~]# echo "1" | passwd --stdin user_a

[root@www ~]# echo "1" | passwd --stdin user_b

[root@www ~]# echo "1" | passwd --stdin user_c

[root@www ~]# echo "1" | passwd --stdin user_d

4.在sudo中配置规则

[root@www ~]# visudo

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping

Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum

Cmnd_Alias SERVICES = /sbin/service,

/usr/bin/systemctl start

Cmnd_Alias STORAGE = /bin/mount, /bin/umount

Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,

/bin/chgrp

Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,

/usr/bin/kill, /usr/bin/killall

%group_dev ALL=(ALL) SOFTWARE

%group_op ALL=(ALL) SOFTWARE,PROCESSES

5.检查sudo是否配置有错

[root@www ~]# visudo -c

/etc/sudoers: parsed OK

6.检查user_a,和user_d的sudo权限

[user_a@www.oldboyedu.com ~]$ sudo -l

User user_a may run the following commands on www:

(ALL) /bin/rpm, /usr/bin/yum

[user_d@www.oldboyedu.com ~]$ sudo -l

User user_d may run the following commands on www:

(ALL) /bin/rpm, /usr/bin/yum, /bin/nice,

/bin/kill, /usr/bin/kil

今天的 "提权" 是重点, 应该多练习下

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,793评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,567评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,342评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,825评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,814评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,680评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,033评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,687评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,175评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,668评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,775评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,419评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,020评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,206评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,092评论 2 351
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,510评论 2 343

推荐阅读更多精彩内容