day11-用戶操作
1扁掸、為用戶添加密碼 [root才能執(zhí)行]
為新用戶添加密碼{只能是root} {密碼盡可能的復(fù)雜} [0-9][a-Z][!@#$%^&]
[root@wzz ~]#passwd oldwu
Changing password for user oldxu.New password:
BAD PASSWORD: The password is a palindrome
Retype new password:
passwd: all authentication tokens updatedsuccessfully.
passwd --stdin 非交互式設(shè)定密碼
[root@wzz ~]# echo "123" | passwd --stdin oldwu
Changing password for user oldwu.
passwd: all authentication tokens updatedsuccessfully.
批量創(chuàng)建用戶,并設(shè)定固定密碼
[root@wzz ~]# vim user.sh
for i in {1..100}
do
useradd test$i
echo"123456" | passwd --stdin test$i
done
2夹供、為用戶變更密碼
為用戶變更密碼
1)為自己修改密碼 (ok) 直接使用passwd 注意密碼需要復(fù)雜一點(diǎn),并達(dá)到8位
2)為別人修改密碼 (root) passwd username
3、密碼怎么才算復(fù)雜
[root@wzz ~]#echo $RANDOM | md5sum |cut -c 5-15
9320a6f282d
###mkpasswd生成隨機(jī)字符串, -l設(shè)定密碼長度,-d數(shù)子,-c小寫字母,-C大寫字母,-s特殊字符
[root@wzz ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2
mQR1u^=q5Y
###ps:lastpass
總結(jié):
1)為新用戶添加密碼 只有root權(quán)限才可以
2)為用戶變更密碼也只有root才可以
3)普通用戶只能修改自己的密碼,..無法修改其他人的密碼
4)密碼的修改方式有兩種,一種是交互式 非交互
4另绩、用戶的創(chuàng)建流程
在用戶創(chuàng)建的過程需要參考 /etc/login.defs 和/etc/default/useradd 這兩個(gè)文件论悴。
如果在創(chuàng)建用戶時(shí)指定了參數(shù),則會(huì)覆蓋 (默認(rèn) /etc/login.def和/etc/default/useradd)
[root@wzz ~]#grep "^[a-Z]" /etc/login.defs
MAIL_DIR /var/spool/mail 創(chuàng)建的郵箱所在的位置
PASS_MAX_DAYS 99999 密碼最長使用的天數(shù)
PASS_MIN_DAYS 0 密碼最短時(shí)間的天數(shù)
PASS_MIN_LEN 5 密碼的長度
PASS_WARN_AGE 7 密碼到期前7天警告
UID_MIN 1000 uid 從1000開始
UID_MAX 60000 uid從6w結(jié)束
SYS_UID_MIN 201 系統(tǒng)用戶的uid 從201開始
SYS_UID_MAX 999 系統(tǒng)用戶的uid最大到999
GID_MIN 1000 gid從1000開始
GID_MAX 60000 gid從6w結(jié)束
SYS_GID_MIN 201 系統(tǒng)gid從202開始
SYS_GID_MAX 999 系統(tǒng)gid從999結(jié)束
CREATE_HOME yes 給用戶創(chuàng)建家目錄,創(chuàng)建在/home
UMASK 077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512
[root@wzz ~]#cat /etc/default/useradd
# useradd defaults file
GROUP=100 當(dāng)用戶創(chuàng)建用戶時(shí)不指定組,并且/etc/login.defs中USERGROUPS_ENAB為no時(shí), 用戶默認(rèn)創(chuàng)建給分配一個(gè)gid為100的組
HOME=/home 用戶默認(rèn)的家目錄
INACTIVE=-1 用戶不失效
EXPIRE= 過期時(shí)間
SHELL=/bin/bash 默認(rèn)登錄shell
SKEL=/etc/skel 默認(rèn)用戶拷貝的環(huán)境變量
CREATE_MAIL_SPOOL=yes 創(chuàng)建郵箱
5皿渗、用戶組的管理
1./etc/group配置文件解釋如下圖
1565076257925.png
2./etc/gshadow配置文件解釋如下圖
1565076329270.png
3.創(chuàng)建組 groupadd [-g GID] groupname
[root@wzz ~]# groupadd zhuzhu
[root@wzz ~]# groupadd -g 6666 gougou
[root@wzz ~]# grep "6666" /etc/group
[root@wzz ~]#groupadd -r maomao
[root@wzz ~]# grep "maomao" /etc/group
maomao?993:
4.修改組 groupmod
-g 修改組gid
[root@wzz ~]# groupmod -g 7777 gougou
[root@wzz ~]# grep "7777" /etc/group
gougou?7777:
5.刪除組 如果要?jiǎng)h除基本組餐塘,需要先刪除基本組中的用戶才可刪除該組搂赋。
[root@wzz ~]# groupadd dawang
[root@wzz ~]# groupadd laowang
[root@wzz ~]# useradd xiaowang
[root@wzz ~]#useradd gb -g laowang
[root@wzz ~]#usermod xiaowang -G laowang,dawang
1565078004210.png
[root@wzz ~]# id xiaowang
uid=6775(xiaowang) gid=7778(xiaowang)
groups=7778(xiaowang),7779(dawang),7780(laowang)
[root@wzz ~]# userdel -r xiaowang
[root@wzz ~]# groupdel dawang
[root@wzz ~]# groupdel laowang
groupdel: cannot remove the primary group of user 'gb'
[root@wzz ~]# userdel -r gb
[root@wzz ~]# groupdel laowang
6歉甚、用戶提權(quán)
su 切換用戶 如果切換用戶,需要知道用戶的密碼,不是很安全
sudo 提權(quán)( root事先分配好權(quán)限 --> 關(guān)聯(lián)用戶 ) 安全 方便 但是雜
基本概念
1)交互式 需要不停的交互
2)非交互式
3)登錄式shell 需要用戶名以及密碼開啟bash窗口
4)非登錄式shell 不需要用戶名和密碼即可開啟bash窗口
su - username屬于登陸式shell万细,su username屬于非登陸式shell,區(qū)別在于加載的環(huán)境變量不一樣纸泄。
su 切換有缺點(diǎn)
1)需要知道用戶對應(yīng)的密碼
2)說明不是很安全
1565077953972.png
sudo提權(quán)
1)預(yù)先分配好權(quán)限
2)在關(guān)聯(lián)對應(yīng)的用戶
7赖钞、提升相關(guān)的權(quán)限
第一種方式:使用sudo中自帶的別名操作, 將多個(gè)用戶定義成一組
[root@wzz ~]#visudo
1.使用sudo定義分組,這個(gè)系統(tǒng)group沒什么關(guān)系
User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex
2.定義可執(zhí)行的命令組,便于后續(xù)調(diào)用
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall
3.使用sudo開始分配權(quán)限
OPS ALL=NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,
PROCESSES
DEV ALL= SOFTWARE,PROCESSES
4.登陸對應(yīng)的用戶使用 sudo -l 驗(yàn)證權(quán)限
第二種方式:使用groupadd添加組,然后給組分配sudo的權(quán)限,如果有新用戶加入,直接將用戶添加到該組.
1.添加兩個(gè)真實(shí)的系統(tǒng)組, group_dev group_op
[root@wzz ~]# groupadd group_dev
[root@wzz ~]# groupadd group_op
2.添加兩個(gè)用戶
group_dev(user_a user_b)
group_op(user_c user_d)
[root@wzz ~]# useradd user_a -G group_dev
[root@wzz ~]# useradd user_b -G group_dev
[root@wzz ~]# useradd user_c -G group_op
[root@wzz ~]# useradd user_d -G group_op
3.記得添加密碼
[root@wzz ~]# echo "1" | passwd --stdin user_a
[root@wzz ~]# echo "1" | passwd --stdin user_b
[root@wzz ~]# echo "1" | passwd --stdin user_c
[root@wzz ~]# echo "1" | passwd --stdin user_d
4.在sudo中配置規(guī)則
[root@wzz ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE
%group_op ALL=(ALL) SOFTWARE,PROCESSES
5.檢查sudo是否配置有錯(cuò)
[root@wzz ~]# visudo -c
/etc/sudoers: parsed OK
6.檢查user_a,和user_d的sudo權(quán)限
[user_a@wzz ~]$sudo -l
User user_a may run the following commands on www: (ALL) /bin/rpm, /usr/bin/yum
[user_d@wzz ~]$ sudo -l
User user_d may run the following commands on www: (ALL) /bin/rpm, /usr/bin/yum, /bin/nice,/bin/kill, /usr/bin/kil
8、sudo 執(zhí)行流程
1565077412902.png
