1.为用户添加密码[root才能执行]
(1)为新用户添加密码,只能是root,密码尽可能复杂,[0-9][a-Z][!@#$%^&*]
[root@oldboy ~]# passwd yhh
Changing password for user yhh.
New password:
BAD PASSWORD: The password is a palindrome
Retype new password:
passwd: all authentication tokens updated successfully.
(2).passwd --stdin非交互式设定密码
[root@oldboy ~]# echo "123456" |passwd --stdin yhh
Changing password for user yhh.
passwd: all authentication tokens updated successfully.
(3).交互式创建密码
[root@oldboy ~]# passwd
Changing password for user root.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.
(3).批量创建用户,并设定密码
[root@oldboyedu ~]# vim user.sh
for i in {1..100}
do useradd test$i
echo "123456" | passwd --stdin test$i
done
[root@oldboyedu ~]# sh user.sh
2.为用户变更密码
1.为用户变更密码 1.为自己修改密码 (ok) 直接使用passwd 注意密码需要复杂一 点,并达到8位
2.为别人修改密码 (root) passwd username
3.密码怎么才算复杂
(1)随机生成字符串
[root@oldboy ~]# echo $RANDOM | md5sum |cut -c 6-15
25d74777ad
(2).mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,C大写字母,-s特殊字符
[root@oldboy ~]# mkpasswd -l 11 -d 5 -c 3 -C 1 -s 2
Q,3d4ex174$
(3)lastpass 在线 支持 windows MacOS Iphone 浏览器插件 Android
4.用户创建流程
在用户创建过程中需要参考/etc/login/defs和/etc/default/passwd这两个文件默认参考
如果创建用户时指定了参数,则会覆盖(默认/etc/login/defs和/etc/default/passwd)
[root@oldboy ~]# grep "^[a-Z]" /etc/login.defs
MAIL_DIR /var/spool/mail #创建邮箱所在位置
PASS_MAX_DAYS 99999 #密码使用最长天数
PASS_MIN_DAYS 0 #密码使用最短天数
PASS_MIN_LEN 5 #密码最小长度
PASS_WARN_AGE 7 #密码到期前七天发出警告
UID_MIN 1000 #uid从1000开始
UID_MAX 60000 #uid到60000结束
SYS_UID_MIN 201 #系统用户从201开始
SYS_UID_MAX 999 #系统用户到999结束
GID_MIN 1000 #组gid从1000开始
GID_MAX 60000 #组gid到60000结束
SYS_GID_MIN 201 #系统gid从201开始
SYS_GID_MAX 999 #系统gid到999结束
CREATE_HOME yes #给用户创建家目录创建在/home
UMASK 077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512
[root@oldboyedu ~]# cat /etc/default/useradd
useradd defaults file
GROUP=100 #当用户创建用户时不指定组,并 且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分 配一个gid为100的组.
HOME=/home #用户默认的家目录
INACTIVE=-1 #用户不失效
EXPIRE= #过期时间
SHELL=/bin/bash #默认登录shell
SKEL=/etc/skel #默认用户拷贝的环境变量
CREATE_MAIL_SPOOL=yes #创建邮箱
5.用户组管理
无标题.png
1./etc/passwd配置文件解释如下图
group.png
2./etc/gshadow配置文件解释图
gshadow.png
1.创建组groupadd[-g GID]groupname
[root@oldboyedu ~]# groupadd zhuzhu
[root@oldboyedu ~]# groupadd -g 6666 gougou
[root@oldboyedu ~]# grep "6666" /etc/group
gougou:x:6666:
#创建系统组
[root@oldboyedu ~]# groupadd -r maomao
[root@oldboyedu ~]# grep "maomao" /etc/group
maomao:x:993:
2.修改组groupmod
-g修改组gid
[root@oldboy ~]# groupadd -g 2222 yuyu
[root@oldboy ~]# groupmod -g 2253 yuyu
[root@oldboy ~]# grep "2253" /etc/group
yuyu:x:2253:
-n修改组名称
[root@oldboy ~]# groupmod -n lvlv yuyu
[root@oldboy ~]# grep "lvlv" /etc/group
lvlv:x:2253:
3.删除组,如果要删除基本组,要先删除基本组里的用户才可以删除组
[root@oldboyedu ~]# groupadd dawang
[root@oldboyedu ~]# groupadd laowang
[root@oldboyedu ~]# useradd xiaowang
[root@oldboyedu ~]# useradd gb -g laowang
[root@oldboyedu ~]# usermod xiaowang -G laowang,dawang
[root@oldboyedu ~]# id xiaowang uid=6775(xiaowang) gid=7778(xiaowang) groups=7778(xiaowang),7779(dawang),7780(laowang)
[root@oldboyedu ~]# userdel -r xiaowang
[root@oldboyedu ~]# groupdel dawang
[root@oldboyedu ~]# groupdel laowang groupdel: cannot remove the primary group of user 'gb'
[root@oldboyedu ~]# userdel -r gb
[root@oldboyedu ~]# groupdel laowang
6.用户提权
su是切换用户,如果切换用户,需要知道用户密码,不是很安全
sudo提权(root事先分配好权限-->关联用户)安全方便,但是复杂
基本概念:
1.交互式,需要不停的交互
2.非交互式
3.登陆时shell,需要用户名几密码开启bash窗口
4.非登录式shell,不需要用户名和密码即可开启bash窗口
ps: su - username属于登陆式shell,su username属于非登陆式shell,区别 在于加载的环境变量不一样。
su切换缺点:
需要知道用户对应的密码
说明不是很安全
sudo提权
1.预先分配好权限
2.在关联对应的用户
3.提升的权限太大,能否有办法限制仅开启某个命令的使用权限?其 他命令不允许?
[root@bgx ~]# visudo
1.使用sudo定义分组,这个系统group没什么关系
User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex
2.定义可执行的命令组,便于后续调用
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii- tool
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig, /usr/bin/systemctl start, /usr/bin/systemctl stop, /usr/bin/systemctl reload, /usr/bin/systemctl restart, /usr/bin/systemctl status, /usr/bin/systemctl enable, /usr/bin/systemctl disable
Cmnd_Alias LOCATE = /usr/bin/updatedb
3.使用sudo开始分配权限
OPS ALL=(ALL) NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES SES
DEV ALL=(ALL) SOFTWARE,PROCESSES
4.登陆对应的用户使用 sudo -l 验证权限
第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新 用户加入,直接将用户添加到该组.*
1.添加两个真实的系统组, group_dev group_op
[root@www ~]# groupadd group_dev
[root@www ~]# groupadd group_op
2.添加两个用户
group_dev(user_a user_b) group_op(user_c user_d)
[root@www ~]# useradd user_a -G group_dev
[root@www ~]# useradd user_b -G group_dev
[root@www ~]# useradd user_c -G group_op
[root@www ~]# useradd user_d -G group_op
3.记得添加密码
[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d
4.在sudo中配置规则
[root@www ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE
%group_op ALL=(ALL) SOFTWARE,PROCESSES
5.检查sudo是否配置有错
[root@www ~]# visudo -c
/etc/sudoers: parsed OK
6.检查user_a,和user_d的sudo权限
[user_a@www.oldboyedu.com ~]$ sudo -l
User user_a may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum
[user_d@www.oldboyedu.com ~]$ sudo -l
User user_d may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kil
