day11-用户操作

1、为用户添加密码 [root才能执行]

为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][!@#$%^&]

[root@wzz ~]#passwd oldwu
Changing password for user oldxu.New password:
BAD PASSWORD: The password is a palindrome
Retype new password:
passwd: all authentication tokens updatedsuccessfully.

passwd --stdin 非交互式设定密码

[root@wzz ~]# echo "123" | passwd --stdin oldwu
Changing password for user oldwu.
passwd: all authentication tokens updatedsuccessfully.

批量创建用户,并设定固定密码

[root@wzz ~]# vim user.sh
for i in {1..100}
do 
     useradd test$i
     echo"123456" | passwd --stdin test$i
done

2、为用户变更密码

为用户变更密码

1)为自己修改密码 (ok) 直接使用passwd 注意密码需要复杂一点,并达到8位

2)为别人修改密码 (root) passwd username

3、密码怎么才算复杂

[root@wzz ~]#echo $RANDOM | md5sum |cut -c 5-15
9320a6f282d
###mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,-C大写字母,-s特殊字符
[root@wzz ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2
mQR1u^=q5Y
###ps:lastpass

总结:

1)为新用户添加密码 只有root权限才可以
2)为用户变更密码也只有root才可以
3)普通用户只能修改自己的密码,..无法修改其他人的密码
4)密码的修改方式有两种,一种是交互式 非交互

4、用户的创建流程

在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两个文件。
如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.def和/etc/default/useradd)

[root@wzz ~]#grep "^[a-Z]" /etc/login.defs
MAIL_DIR    /var/spool/mail         创建的邮箱所在的位置 
PASS_MAX_DAYS   99999              密码最长使用的天数
PASS_MIN_DAYS   0                      密码最短时间的天数
PASS_MIN_LEN    5                      密码的长度
PASS_WARN_AGE   7                      密码到期前7天警告
UID_MIN                  1000               uid 从1000开始
UID_MAX                 60000             uid从6w结束
SYS_UID_MIN               201           系统用户的uid 从201开始
SYS_UID_MAX               999          系统用户的uid最大到999
GID_MIN                  1000               gid从1000开始
GID_MAX                 60000             gid从6w结束
SYS_GID_MIN               201           系统gid从202开始
SYS_GID_MAX               999         系统gid从999结束
CREATE_HOME yes                  给用户创建家目录,创建在/home
UMASK           077                          
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512
[root@wzz ~]#cat /etc/default/useradd
# useradd defaults file
GROUP=100                                 当用户创建用户时不指定组,并且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分配一个gid为100的组
HOME=/home                               用户默认的家目录
INACTIVE=-1                                用户不失效
EXPIRE=                                       过期时间
SHELL=/bin/bash                          默认登录shell
SKEL=/etc/skel                             默认用户拷贝的环境变量
CREATE_MAIL_SPOOL=yes       创建邮箱

5、用户组的管理

1./etc/group配置文件解释如下图

1565076257925.png

2./etc/gshadow配置文件解释如下图

1565076329270.png

3.创建组 groupadd [-g GID] groupname

[root@wzz ~]# groupadd zhuzhu
[root@wzz ~]# groupadd -g 6666 gougou
[root@wzz ~]# grep "6666" /etc/group
[root@wzz ~]#groupadd -r maomao
[root@wzz ~]# grep "maomao" /etc/group
maomao❌993:

4.修改组 groupmod

-g 修改组gid

[root@wzz ~]#  groupmod -g 7777 gougou
[root@wzz ~]#  grep "7777" /etc/group
gougou❌7777:

5.删除组 如果要删除基本组，需要先删除基本组中的用户才可删除该组。

[root@wzz ~]# groupadd dawang
[root@wzz ~]# groupadd laowang
[root@wzz ~]# useradd xiaowang
[root@wzz ~]#useradd gb -g laowang
[root@wzz ~]#usermod xiaowang -G laowang,dawang

1565078004210.png

[root@wzz ~]# id xiaowang
uid=6775(xiaowang) gid=7778(xiaowang)
groups=7778(xiaowang),7779(dawang),7780(laowang)
[root@wzz ~]# userdel -r xiaowang
[root@wzz ~]# groupdel dawang
[root@wzz ~]# groupdel laowang
groupdel: cannot remove the primary group of user 'gb'
[root@wzz ~]# userdel -r gb
[root@wzz ~]# groupdel laowang

6、用户提权

su 切换用户 如果切换用户,需要知道用户的密码,不是很安全
sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是杂

基本概念

1)交互式 需要不停的交互
2)非交互式
3)登录式shell 需要用户名以及密码开启bash窗口
4)非登录式shell 不需要用户名和密码即可开启bash窗口
su - username属于登陆式shell，su username属于非登陆式shell，区别在于加载的环境变量不一样。

su 切换有缺点

1)需要知道用户对应的密码
2)说明不是很安全

1565077953972.png

sudo提权

1)预先分配好权限
2)在关联对应的用户

7、提升相关的权限

第一种方式:使用sudo中自带的别名操作, 将多个用户定义成一组

[root@wzz ~]#visudo

1.使用sudo定义分组,这个系统group没什么关系

User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex

2.定义可执行的命令组,便于后续调用

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall

3.使用sudo开始分配权限

OPS  ALL=NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,
PROCESSES
DEV  ALL= SOFTWARE,PROCESSES

4.登陆对应的用户使用 sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.

1.添加两个真实的系统组, group_dev group_op

[root@wzz ~]# groupadd group_dev
[root@wzz ~]# groupadd group_op

2.添加两个用户

group_dev(user_a user_b)
group_op(user_c user_d)
[root@wzz ~]# useradd user_a -G group_dev
[root@wzz ~]# useradd user_b -G group_dev
[root@wzz ~]# useradd user_c -G group_op
[root@wzz ~]# useradd user_d -G group_op

3.记得添加密码

[root@wzz ~]# echo "1" | passwd --stdin user_a
[root@wzz ~]# echo "1" | passwd --stdin user_b
[root@wzz ~]# echo "1" | passwd --stdin user_c
[root@wzz ~]# echo "1" | passwd --stdin user_d

4.在sudo中配置规则

[root@wzz ~]# visudo
 Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
 Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
 Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start
 Cmnd_Alias STORAGE = /bin/mount, /bin/umount
 Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp
 Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall

 %group_dev ALL=(ALL) SOFTWARE
 %group_op ALL=(ALL) SOFTWARE,PROCESSES

5.检查sudo是否配置有错

[root@wzz ~]# visudo -c
/etc/sudoers: parsed OK

6.检查user_a,和user_d的sudo权限

[user_a@wzz ~]$sudo -l 
User user_a may run the following commands on www: (ALL) /bin/rpm, /usr/bin/yum
[user_d@wzz ~]$ sudo -l 
User user_d may run the following commands on www: (ALL) /bin/rpm, /usr/bin/yum, /bin/nice,/bin/kill, /usr/bin/kil

8、sudo 执行流程

1565077412902.png