day10-用户管理（2）

设定用户密码，修改密码

1.为用户添加密码（root才能执行）

为新用户添加密码（只能是root）密码尽可能的复杂[1-9] [a-Z] [!@#$%^&*]

passwd --stdin 非交互式设定密码

批量创建用户，并设定固定密码

2.为用户变更密码

为自己修改密码（ok）直接使用passwd注意密码需要复杂一点，并达到8位

为别人修改密码（root）passwd username

3.密码怎样才算复杂

mkpasswd生成随机字符串，-l设定密码长度，-d设定数字，-c小写字母，-C大写字母，-s特殊字符

# latpass 在线支持windows MacOS Iphone 浏览器插件，Android

PS:

1.为新用户添加密码，只有root权限才可以

2.为用户更改密码也只有root才可以

3.普通用户只能修改自己的密码，无法修改其他人的密码

4.密码修改方式有两种，一种是交互式，一种是非交互式

用户的创建流程

在用户创建的过程需要参考/etc/passwd和/etc/defult/useradd这两个文件，默认参考

如果在创建用户时指定了参数，则会覆盖（默认/etc/loginn,defs和/etc/default/useradd）

[root@oldboy ~]# grep "^[a-Z]" /etc/login.defs

MAIL_DIR /var/spool/mail # 创建的邮箱所在的位置

PASS_MAX_DAYS 99999 # 密码使用最长的天数

PASS_MIN_DAYS 0 # 密码最短时间的天数

PASS_MIN_LEN 5 # 密码的长度

PASS_WARN_AGE 7 # 密码到期前七天警告

UID_MIN 1000 # uid从1000开始

UID_MAX 60000 # uid到60000结束

SYS_UID_MIN 201 # 系统用户的uid 从201开始

SYS_UID_MAX 999 # 系统用户的uid最大到999

GID_MIN 1000

GID_MAX 60000

SYS_GID_MIN 201

SYS_GID_MAX 999

CREATE_HOME yes #给用户创建家目录，创建在/home

UMASK 077

USERGROUPS_ENAB yes

ENCRYPT_METHOD SHA512

[root@oldboyedu ~]# cat /etc/default/useradd

# useradd defaults file

GROUP=100 #当用户创建用户时不指定组,且/etc/login.defs中 USERGROUPS_ENAB为no时, 用户默认创建给分配一个gid为100的组.HOME=/home #用户默认的家目录

INACTIVE=-1 #用户不失效

EXPIRE= #过期时间

SHELL=/bin/bash #默认登录shell

SKEL=/etc/skel #默认用户拷贝的环境变量

CREATE_MAIL_SPOOL=yes #创建邮箱

用户组的管理

没有指定组：默认会创建一个与用户同名的组，简称私有组

指定组：-g 指定一个基本组基本组必须先存在

创建组groupadd [-g GID] groupname

-r:创建系统组

修改组 groupmod

-g:修改组gid

-n:修改组名称

删除组（groupdel）如果要删除基本组，需要先删除基本组中的用户才可以删除改组

用户提权

su：切换用户如果切换用户，需要知道用户的密码，不是很安全

sudo：提权（root事先分配好权限 -->关联用户）安全方便，但是复杂

基本概念

1.交互式需要不停的交互

2.非交互式

3.登录式shell需要用户名以及密码开启bash窗口

4.非登录式shell不需要用户名和密码即可开启bash窗口

su - username 属于登录式shell ，会加载全部打的环境变量

su username 属于非登录式shell，会加载部分环境变量（很有可能就会出现错误清空）

su：切换有缺点

需要知道用户对应的密码

说明不是很安全

sudo：提权

预先分配好权限

在关联对应的用户

第中一种方式：使用sudo中自带的别名操作，将多个用户定义成一个组

[root@bgx ~]# visudo

1.使用sudo定义分组，这个系统group没什么关系

User_Alias OPS = oldboy,oldgirl

User_Alias DEV = alex

2.定义可执行的命令组，便于后续调用

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping

Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum

Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start

Cmnd_Alias STORAGE = /bin/mount, /bin/umount

Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp

Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall

3.使用sudo开始分配权限

OPS ALL=(ALL)NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSES

DEV ALL=(ALL) SOFTWARE,PROCESSES

4.登陆对应的用户使用sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.

1.添加两个真实的系统组, group_dev group_op

[root@www ~]# groupadd group_dev

[root@www ~]# groupadd group_op

2.添加两个用户, group_dev(user_a user_b)

group_op(user_c user_d)

[root@www ~]# useradd user_a -G group_dev

[root@www ~]# useradd user_b -G group_dev

[root@www ~]# useradd user_c -G group_op

[root@www ~]# useradd user_d -G group_op

3.记得添加密码

[root@www ~]# echo "1" | passwd --stdin user_a

[root@www ~]# echo "1" | passwd --stdin user_b

[root@www ~]# echo "1" | passwd --stdin user_c

[root@www ~]# echo "1" | passwd --stdin user_d

4.在sudo中配置规则

[root@www ~]# visudo

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping

Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum

Cmnd_Alias SERVICES = /sbin/service,

/usr/bin/systemctl start

Cmnd_Alias STORAGE = /bin/mount, /bin/umount

Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,

/bin/chgrp

Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,

/usr/bin/kill, /usr/bin/killall

%group_dev ALL=(ALL) SOFTWARE

%group_op ALL=(ALL) SOFTWARE,PROCESSES

5.检查sudo是否配置有错

[root@www ~]# visudo -c

/etc/sudoers: parsed OK

#6.检查user_a,和user_d的sudo权限

[user_a@www.oldboyedu.com ~]$ sudo -l

User user_a may run the following commands on www:

(ALL) /bin/rpm, /usr/bin/yum

[user_d@www.oldboyedu.com ~]$ sudo -l

User user_d may run the following commands on www:

(ALL) /bin/rpm, /usr/bin/yum, /bin/nice,

/bin/kill, /usr/bin/kil

sudo执行流程