1.如何为用户设定密码，又如何修改密码

1.为用户添加密码【root才能执行】

为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][!@#$%^&]

交互式设定密码

[root@bj-qing-10.0.0.201 ~]# passwd qiang
Changing password for user qiang.
New password: 
BAD PASSWORD: The password is a palindrome
Retype new password: 
passwd: all authentication tokens updated successfully.

非交互式设置密码

[root@bj-qing-10.0.0.201 ~]# echo "123" |passwd --stdin qiang
Changing password for user qiang.
passwd: all authentication tokens updated successfully.

2.为用户变更密码

1.为自己修改密码 (ok) 直接使用passwd 注意密码需要复杂一 点,并达到8位
2.为别人修改密码 (root) passwd username

3.密码怎么才算复杂

[root@bj-qing-10.0.0.201 ~]# echo $RANDOM | md5sum |cut -c 5-15 
6094a8765cf

mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,C大写字母,-s特殊字符

[root@bj-qing-10.0.0.201 ~]#  mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2 
;G2AKpi@x8

总结:

1.为新用户添加密码 只有root权限才可以 
2.为用户变更密码也只有root才可以 
3.普 通用户只能修改自己的密码,..无法修改其他人的密码
4.密码的修改方式有两种,一 种是交互式 非交互

2.用户创建流程【扩展了解】

在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两个文件, 默认参考.

如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.def 和/etc/default/useradd)
[root@bj-qing-10.0.0.201 ~]#  grep "^[a-Z]" /etc/login.defs 
MAIL_DIR    /var/spool/mail                           创建邮箱所在位置
PASS_MAX_DAYS   99999                                 密码最长使用天数
PASS_MIN_DAYS   0                                     密码最短使用天数
PASS_MIN_LEN    5                                     密码的长度
PASS_WARN_AGE   7                                     密码到期前七天警告
UID_MIN                  1000                         UID从1000开始
UID_MAX                 60000                         UID从60000结束
SYS_UID_MIN               201                         系统用户UID从201开始
SYS_UID_MAX               999                         系统用户UID到999结束
GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME yes                                       给用户创建家目录，创建在/home
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512

[root@bj-qing-10.0.0.201 ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100                                              当用户创建用户时不指定组,并且/etc/login.defs中
USERGROUPS_ENAB为no时, 用户默认创建给分配一个gid为100的组.
HOME=/home                                             用户默认的家目录 
INACTIVE=-1                                            用户不失效
EXPIRE=                                                过期时间
SHELL=/bin/bash                                        默认登录shell
SKEL=/etc/skel                                         默认用户拷贝的环境变量 
CREATE_MAIL_SPOOL=yes                                  创建邮箱

3.用户组如何管理

image.png

1./etc/group配置文件解释如下

[root@bj-qing-10.0.0.201 ~]# head -1 /etc/group
root:x:0:  以“：”为分隔符，总共四列
第一列：              root：组的名称
第二列：              x:组的密码
第三列：              0：组的GID
第四列：              显示附加组，不显示基本成员

2./etc/gshadow配置文件解释如下

[root@bj-qing-10.0.0.201 ~]# head -1 /etc/gshadow
root:::  以“：”为分隔符，总共四列
第一列：              root：组的名称
第二列：              组的密码
第三列：              组管理员
第四列：              显示附加组，不显示基本成员

3.创建组 groupadd [-g GID] groupname

[root@bj-qing-10.0.0.201 ~]# groupadd zhuzhu 
[root@bj-qing-10.0.0.201 ~]# groupadd -g 6666 gougou 
[root@bj-qing-10.0.0.201 ~]# grep "6666" /etc/group gougou:x:6666:

创建系统组：

[root@bj-qing-10.0.0.201 ~]# groupadd -r maomao 
[root@bj-qing-10.0.0.201 ~]# grep "maomao" /etc/group 
maomao:x:993:

4.修改组 groupmod

-g 修改组gid

[root@bj-qing-10.0.0.201 ~]# groupmod -g 7777 gougou 
[root@bj-qing-10.0.0.201 ~]# grep "7777" /etc/group 
gougou:x:7777:

-n 修改组名称

[root@bj-qing-10.0.0.201 ~]# groupmod gougou -n gg 
[root@bj-qing-10.0.0.201 ~]# grep "7777" /etc/group 
gg:x:7777:

5.删除组如果要删除基本组，需要先删除基本组中的用户才可以删除该组。

[root@bj-qing-10.0.0.201 ~]# groupadd dawang 
[root@bj-qing-10.0.0.201 ~]# groupadd laowang
[root@bj-qing-10.0.0.201 ~]# useradd xiaowang 
[root@bj-qing-10.0.0.201 ~]# useradd gb -g laowang
[root@bj-qing-10.0.0.201 ~]# usermod xiaowang -G laowang,dawang

[root@bj-qing-10.0.0.201 ~]# id xiaowang 
uid=6775(xiaowang) gid=7778(xiaowang) 
groups=7778(xiaowang),7779(dawang),7780(laowang)
[root@bj-qing-10.0.0.201 ~]# userdel -r xiaowang 
[root@bj-qing-10.0.0.201 ~]# groupdel dawang
[root@bj-qing-10.0.0.201 ~]# groupdel laowang 
groupdel: cannot remove the primary group of user 'gb'
[root@bj-qing-10.0.0.201 ~]# userdel -r gb 
[root@bj-qing-10.0.0.201 ~]# groupdel laowang

image.png

4.普通用户切换用户或提权

su 切换用户如果切换用户,需要知道用户的密码,不是很安全
sudo 提权( root事先分配好权限 --> 关联用户 ) 安全方便但是复杂

基本概念：

1.交互式 需要不停的交互 
2.非交互式 
3.登录式shell 需要用户名以及密码开启bash窗口 
4.非登录式shell 不需要用户名和密码即可开启bash窗口
su - username属于登陆式shell，su username属于非登陆式shell，区别 在于加载的环境变量不一样。
su - username  属于登录式shell 会加载全部的环境变量 
su   username  属于非登录式shell 会加载部分环境变量(很有 可能就会出现错误清空)

su切换优缺点

需要知道用户对应的密码
说明很不安全

sudo提权

预先分配好权限
再关联对应的用户

1.提升的权限太大，能否有办法限制仅开启某个命令的使用权限？其他命令不允许？

[root@bj-qing-10.0.0.201 ~]# visudo

1.使用sudo定义分组,这个系统group没什么关系

User_Alias OPS = oldboy,oldgirl 
User_Alias DEV = alex

2.定义可执行的命令组,便于后续调用

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping 
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum 
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start 
Cmnd_Alias STORAGE = /bin/mount, /bin/umount 
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp 
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

3.使用sudo开始分配权限

OPS  ALL=(ALL) 
NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSES 
DEV  ALL=(ALL) SOFTWARE,PROCESSES

4.登陆对应的用户使用 sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.

1.添加两个真实的系统组, group_dev group_op

[root@bj-qing-10.0.0.201 ~]# groupadd group_dev 
[root@bj-qing-10.0.0.201 ~]# groupadd group_op

2.添加两个用户, group_dev(user_a user_b) group_op(user_c user_d)

[root@bj-qing-10.0.0.201 ~]# useradd user_a -G group_dev 
[root@bj-qing-10.0.0.201 ~]# useradd user_b -G group_dev 
[root@bj-qing-10.0.0.201 ~]# useradd user_c -G group_op 
[root@bj-qing-10.0.0.201 ~]# useradd user_d -G group_op

3.记得添加密码

[root@bj-qing-10.0.0.201 ~]# echo "1" | passwd --stdin user_a 
[root@bj-qing-10.0.0.201 ~]# echo "1" | passwd --stdin user_b 
[root@bj-qing-10.0.0.201 ~]# echo "1" | passwd --stdin user_c 
[root@bj-qing-10.0.0.201 ~]# echo "1" | passwd --stdin user_d

4.在sudo中配置规则

[root@bj-qing-10.0.0.201 ~]# visudo    
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping    
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum    
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start    
Cmnd_Alias STORAGE = /bin/mount, /bin/umount    
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp    
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE    
%group_op ALL=(ALL) SOFTWARE,PROCESSES

5.检查sudo是否配置有错

[root@bj-qing-10.0.0.201 ~]# visudo -c 
/etc/sudoers: parsed OK

6.检查user_a,和user_d的sudo权限

[user_a@www.oldboyedu.com ~]$ sudo -l 
User user_a may run the following commands on www:    
(ALL) /bin/rpm, /usr/bin/yum
[user_d@www.oldboyedu.com ~]$ sudo -l
User user_d may run the following commands on www:    
(ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kill

sudo执行流程：

image.png

day 9 用户管理2

day 9 用户管理2

1.如何为用户设定密码，又如何修改密码

1.为用户添加密码【root才能执行】

为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][!@#$%^&]

交互式设定密码

非交互式设置密码

2.为用户变更密码

3.密码怎么才算复杂

mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,C大写字母,-s特殊字符

总结:

2.用户创建流程【扩展了解】

在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两个文件, 默认参考.

3.用户组如何管理

1./etc/group配置文件解释如下

2./etc/gshadow配置文件解释如下

3.创建组 groupadd [-g GID] groupname

创建系统组：

4.修改组 groupmod

-g 修改组gid

-n 修改组名称

5.删除组如果要删除基本组，需要先删除基本组中的用户才可以删除该组。

4.普通用户切换用户或提权

基本概念：

su切换优缺点

sudo提权

1.提升的权限太大，能否有办法限制仅开启某个命令的使用权限？其他命令不允许？

1.使用sudo定义分组,这个系统group没什么关系

2.定义可执行的命令组,便于后续调用

3.使用sudo开始分配权限

4.登陆对应的用户使用 sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.

1.添加两个真实的系统组, group_dev group_op

2.添加两个用户, group_dev(user_a user_b) group_op(user_c user_d)

3.记得添加密码

4.在sudo中配置规则

5.检查sudo是否配置有错

6.检查user_a,和user_d的sudo权限

sudo执行流程：

day 9 用户管理2

1.如何为用户设定密码，又如何修改密码

1.为用户添加密码【root才能执行】

为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][!@#$%^&]

交互式设定密码

非交互式设置密码

2.为用户变更密码

3.密码怎么才算复杂

mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,C大写字母,-s特殊字符

总结:

2.用户创建流程【扩展了解】

在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两 个文件, 默认参考.

3.用户组如何管理

1./etc/group配置文件解释如下

2./etc/gshadow配置文件解释如下

3.创建组 groupadd [-g GID] groupname

创建系统组：

4.修改组 groupmod

-g 修改组gid

-n 修改组名称

5.删除组如果要删除基本组，需要先删除基本组中的用户才可以删除该组。

4.普通用户切换用户或提权

基本概念：

su切换优缺点

sudo提权

1.提升的权限太大，能否有办法限制仅开启某个命令的使用权限？其 他命令不允许？

1.使用sudo定义分组,这个系统group没什么关系

2.定义可执行的命令组,便于后续调用

3.使用sudo开始分配权限

4.登陆对应的用户使用 sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新 用户加入,直接将用户添加到该组.

1.添加两个真实的系统组, group_dev group_op

2.添加两个用户, group_dev(user_a user_b) group_op(user_c user_d)

3.记得添加密码

4.在sudo中配置规则

5.检查sudo是否配置有错

6.检查user_a,和user_d的sudo权限

sudo执行流程：

在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两个文件, 默认参考.

1.提升的权限太大，能否有办法限制仅开启某个命令的使用权限？其他命令不允许？

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.