day10 -用户管理2


1.为用户添加密码 [root才能行]

(1)为新用户添加密码{只能是root} {密码尽能的复杂} [0-9][a-Z][aZ] [!@#$%^&]

[root@localhost ~]# passwd jack

Changing password for user jack.

New password:

BAD PASSWORD: The password is shorter than 8 characters

Retype new password:

passwd: all authentication tokens updated successfully.

(2)passwd --stdin 非交互式设定密码


(3)批量创建用户,并设定固定密码



2.为用户变更密码

(1)为自己修改密码 (ok) 直接使用passwd 注意密码需要复杂一点,并达到8位

2.为别人修改密码 (root) passwd username

3.密码怎么才算复杂

(1)取随机数,加密,取5-15个字符

(2)mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,-C大写字母,-s特殊字符


总结:

(1)为新用户添加密码 只有root权限才可以

(2)为用户变更密码也只有root才可以

(3)普通用户只能修改自己的密码,..无法修改其他的密码

(4)密码的修改方式有两种,一种是交互式 非交互

4.用户的创建流程

在用户创建的过程需要参考 /etc/login.defs和/etc/default/useradd 这两个文件,默认参考.

如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs和/etc/default/useradd)

[root@oldboyedu ~]# grep "^[a-Z]" /etc/login.defs

MAIL_DIR /var/spool/mail #创建的邮箱所在的位置

PASS_MAX_DAYS 99999 #密码最长使用的天数

PASS_MIN_DAYS 0 #密码最短时间的天数

5.用户组的管理

PASS_MIN_LEN 5    密码的长度

PASS_WARN_AGE 7 密码到期前7天警告

UID_MIN 1000      uid 从1000开始

UID_MAX 60000   uid从6w结束

SYS_UID_MIN 201 系统用户的uid 从201

开始

SYS_UID_MAX 999 系统用户的uid最大到999

GID_MIN 1000

GID_MAX 60000

SYS_GID_MIN 201

SYS_GID_MAX 999

CREATE_HOME yes     给用户创建家目录,创建在/home

UMASK 077

USERGROUPS_ENAB yes

ENCRYPT_METHOD SHA512

[root@oldboyedu ~]# cat /etc/default/useradd

# useradd defaults file

GROUP=100        当用户创建用户时不指定组,并且/etc/login.defs中USERGROUPS_ENAB为no时,用户默认创建给分配一个gid为100的组.

HOME=/home    用户默认的家目录

INACTIVE=-1   用户不失效

EXPIRE=    过期时间

SHELL=/bin/bash   默认登录shell

SKEL=/etc/skel   默认用户拷贝的环境变量

CREATE_MAIL_SPOOL=yes    创建邮箱

5.用户组的管理

没有指定组:默认会创建一个与用户同名的组,简称私有组

指定组:-g 指定一个基本组  基本组必须先存在

附加组 :-G指定(基本组或私有组无法满足需求时,添加一个附加组,继承该组的权限)



(1)创建组 groupadd [-g GID] groupname

[root@localhost ~]# groupadd hu

[root@localhost ~]# groupadd -g 666 huo

[root@localhost ~]# grep "666" /etc/group

huo:x:666:

(2)创建系统组

(3)修改组

-g 修改组gid


-n  修改组名称


(3)删除组 如果要删除基本组,需要先删除基本组中的用户才可以删除该组

[root@oldboyedu ~]# groupadd dawang

[root@oldboyedu ~]# groupadd laowang

[root@oldboyedu ~]# useradd xiaowang

[root@oldboyedu ~]# useradd gb -g laowang

[root@oldboyedu ~]# usermod xiaowang -G laowang,dawang

[root@oldboyedu ~]# id xiaowang

uid=6775(xiaowang) gid=7778(xiaowang)

groups=7778(xiaowang),7779(dawang),7780(laowang)

[root@oldboyedu ~]# userdel -r xiaowang

[root@oldboyedu ~]# groupdel dawang

[root@oldboyedu ~]# groupdel laowang

groupdel: cannot remove the primary group of user 'gb'

[root@oldboyedu ~]# userdel -r gb

[root@oldboyedu ~]# groupdel laowang



6.用户提权

su 切换用户 如果切换用户,需要知道用户的密码,不是很安全

sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂

1.基本概念

(1)交互式 需要不停的交互

(2)非交互式

(3)登录式shell 需要用户名以及密码开启bash窗口

(4)非登录式shell 不需要用户名和密码即可开启bash窗口

su - username属于登陆式shell,su username属于非登陆式shell,区别在于加载的环境变量不一样。

su - username 属于登录式shell 会加载全部的环境变量

#su username 属于非登录式shell 会加载部分环境变量(很有可能就会出现错误清空)

su 切换有缺点

(1)需要知道用户对应的密码

(2)说明不是很安全


sudo提权

(1)预先分配好权限

(2)在关联对应的用户

2.提升的权限太大,能否有办法限制仅开启某个命令的使用权限?其他命令不允许?

第一种方式:使用sudo中自带的别名操作, 将多个用户定义成一个组

[root@bgx ~]# visudo

(1)使用sudo定义分组,这个系统group没什么关系

User_Alias OPS = oldboy,oldgirl

User_Alias DEV = alex

(2)定义可执行的命令组,便于后续调用

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping

Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum

Cmnd_Alias SERVICES = /sbin/service,

/usr/bin/systemctl start

Cmnd_Alias STORAGE = /bin/mount, /bin/umount

Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp

Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,

/usr/bin/kill, /usr/bin/killall

(3)使用sudo开始分配权限

OPS ALL=(ALL)

NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES

SES

DEV ALL=(ALL) SOFTWARE,PROCESSES

(4)登陆对应的用户使用 sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.*

(1)添加两个真实的系统组, group_dev group_op

[root@www ~]# groupadd group_dev

[root@www ~]# groupadd group_op

(2)添加两个用户, group_dev(user_a user_b)

group_op(user_c user_d)

[root@www ~]# useradd user_a -G group_dev

[root@www ~]# useradd user_b -G group_dev

[root@www ~]# useradd user_c -G group_op

[root@www ~]# useradd user_d -G group_op

(3)记得添加密码

[root@www ~]# echo "1" | passwd --stdin user_a

[root@www ~]# echo "1" | passwd --stdin user_b

[root@www ~]# echo "1" | passwd --stdin user_c

[root@www ~]# echo "1" | passwd --stdin user_d

(4).在sudo中配置规则

[root@www ~]# visudo

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping

Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum

Cmnd_Alias SERVICES = /sbin/service,

/usr/bin/systemctl start

Cmnd_Alias STORAGE = /bin/mount, /bin/umount

Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,

/bin/chgrp

Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,

/usr/bin/kill, /usr/bin/killall

%group_dev ALL=(ALL) SOFTWARE

%group_op ALL=(ALL) SOFTWARE,PROCESSES

(5)检查sudo是否配置有错

[root@www ~]# visudo -c

/etc/sudoers: parsed OK

(6)检查user_a,和user_d的sudo权限

[user_a@www.oldboyedu.com ~]$ sudo -l

User user_a may run the following commands on www:

(ALL) /bin/rpm, /usr/bin/yum

[user_d@www.oldboyedu.com ~]$ sudo -l

User user_d may run the following commands on www:

(ALL) /bin/rpm, /usr/bin/yum, /bin/nice,

/bin/kill, /usr/bin/kil


最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • day10-用户管理(2)
    设定用户密码,修改密码 1.为用户添加密码(root才能执行) 为新用户添加密码(只能是root)密码尽可能的复杂...
    颉晨阳阅读 365评论 0 1
  • day_9用户管理(2)
    昨日回顾 1.什么是用户? 2.为什么要创建用户? 3.如何查看当前用户的详请? 4.创建用户会在系统的哪个配置中...
    CxFalltohim17阅读 729评论 0 0
  • day9-Linux用户管理
    6.如何为用户设定密码,又如何修改密码 ?7.用户的创建流程?[扩展了解]8.用户组如何管理?9.普通用户无权限怎...
    Demon_7636阅读 179评论 0 0
  • day 10 用户管理
    今日内容 1.如何为用户设定密码,又如何修改密码? 2.用户的创建流程? [扩展了解] 3.用户组如何管理? 4....
    记不住的悔阅读 265评论 0 0
  • day 10 用户管理
    2 今日内容 6.如何为用户设定密码,又如何修改密码? 7.用户的创建流程? [扩展了解] 8.用户组如何管理? ...
    但若归去若已晚阅读 206评论 0 0