Linux用户管理day10

一、怎样为用户添加密码

---

• 为新用户添加密码{只能是root，即超级管理员，且密码要尽可能的复杂，数字[0-
  9]/字母[a-Z]/字符都要用到}

  例如：
  # 交互式设定密码
  [root@wyw ~]# passwd yw            
  Changing password for user yw.
  New password: 
  BAD PASSWORD: The password is a palindrome
  Retype new password: 
  passwd: all authentication tokens updated successfully.
  # passwd --stdin 非交互式设定密码
  [root@wyw ~]# echo "1" | passwd --stdin yw
  Changing password for user yw.
  passwd: all authentication tokens updated successfully.
  # 批量创建用户时，并设定固定密码
  [root@wyw ~]# vim user.sh
  [root@wyw ~]# cat user.sh 
  for i in {1..100}
  do
        useradd test$i
        echo "123" | passwd --stdin test$i
  done
  

二、为用户变更密码

---

• 为用户变更密码
  1. 自己修改自己的密码，可以直接使用passwd进行修改，修改的密码要尽量复杂，并且要达到8位
  2.为别人修稿密码时，需要使用root权限，普通用户是没有权限的，要想要进行修改时，需要切换到root用户上，或者获取root权限。

三、密码怎样才算复杂

---

例如：
1.用/dev/random，生成随机数的密码
[root@wyw ~]# echo $RANDOM |md5sum |cut -c 5-20
fb7433635f0a88c1
2.mkpasswd 生成随机字符串，
   -l  设定密码长度
   -d  代表数字
   -c  代表小写字母
   -C  代表大写字母
   -s  代表特殊字符
[root@wyw ~]# mkpasswd -l 8 -d 2 -c 2 -C 2 -s 2
'^5DEab4

总结

---

• 1.为新用户添加密码时，只有root权限才能修改
• 2.为用户变更密码时，只有root权限才能修改
• 3.普通用户只能修改自己的密码，无权修改其他用户的密码
• 4.密码的修改方式有两种，一种是交互式设定，另一种是非交互式设定

四、用户的创建流程

---

useradd创建用户时的过程需要参考/etc/login.defs和/etc/default/useradd这两个配置文件，如果在创建用户时指定了参数则会覆盖/etc/login.defs、/etc/default/useradd这两个文件的默认配置，如果没有指定，则使用默认。

[root@wyw ~]# grep -Ev "^#|^$" /etc/login.defs 
MAIL_DIR    /var/spool/mail              #创建的邮箱所在的位置             
PASS_MAX_DAYS   99999                    #密码最长使用的天数             
PASS_MIN_DAYS   0                        #密码最短时间的天数
PASS_MIN_LEN    5                        #密码的长度         
PASS_WARN_AGE   7                        #密码到期前7天警告    
UID_MIN                  1000            #密码到期前7天警告           
UID_MAX                 60000            #uid从6w结束 
SYS_UID_MIN               201            #系统用户的uid 从201 开始   
SYS_UID_MAX               999            #系统用户的uid最大到999   
GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME yes                          #给用户创建家目录,创建 在/home   
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512 
[root@wyw ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100                                #当用户创建用户时不指定组,并 且/etc/login.defs中 USERGROUPS_ENAB为no时, 
                                          用户默认创建给分 配一个gid为100的组.         
HOME=/home                               #用户默认的家目录 
INACTIVE=-1                              #用户不失效          
EXPIRE=                                  #过期时间 
SHELL=/bin/bash                          #默认登录shell           
SKEL=/etc/skel                           #默认用户拷贝的环境变量           
CREATE_MAIL_SPOOL=yes/no                 #创建邮箱/不创建邮箱

五、用户组的管理

---

• 1./etc/group配置文件解释如下：

[root@wyw ~]# head -1 /etc/group
root:x:0:     以：为分隔符，总共4列

root	x	0
组的名称	组的密码	组GID	显示附加组成员，不显示基本成员

• 2. /etc/gshadow配置问价如下：

 [root@wyw ~]# head -1 /etc/gshadow
 root:::

root
组的名称	组的密码	组管理员	显示附加组成员，不显示基本基本组成员

创建组[groupadd]

---

创建普通组
[root@wyw ~]# groupadd zjr
[root@wyw ~]# groupadd -g 5555 dpp
[root@wyw ~]# grep "5555" /etc/group
dpp:x:5555:
创建系统组
[root@wyw ~]# groupadd -r dp
[root@wyw ~]# grep "dp" /etc/group
dp:x:995:

修改组

---

-g 修改组gid
[root@wyw ~]# grep "3333" /etc/group
zjr:x:3333:
-n 修改组名称
[root@wyw ~]# groupmod dpp -n pp
[root@wyw ~]# grep "5555" /etc/group
pp:x:5555:

删除组

---

如果要删除组基本组，需要先删除基本组中的用户才可以删除该组

[root@wyw ~]#groupadd dawang 
[root@wyw ~]# groupadd laowang
[root@wyw ~]# useradd xiaowang 
[root@wyw ~]# useradd gb -g laowang 
[root@wyw ~]# usermod xiaowang -G laowang,dawang
---------------------------------------------------
[root@oldboyedu ~]# id xiaowang 
uid=6775(xiaowang) gid=7778(xiaowang) 
groups=7778(xiaowang),7779(dawang),7780(laowang)
[root@oldboyedu ~]# userdel -r xiaowang 
[root@oldboyedu ~]# groupdel dawang
[root@oldboyedu ~]# groupdel laowang 
groupdel: cannot remove the primary group of user 'gb'
[root@oldboyedu ~]# userdel -r gb 
[root@oldboyedu ~]# groupdel laowang

image.png

六、用户提权

---

• su 切换目录，使用普通用户登录，然后使用su命令切换到root。优点:较简单，缺点：需要知道root的密码，也不安全。
• sudo提权，当需要使用root权限时进行提权就无须进行root切换，优点：安全、方便，缺点：复杂
  1.su身份切换
  Linux shell的主要分类：
• 交互式 需要不停的交互
• 非交互式
• 登录式shell 需要用户名以及密码开启bash窗口
• 非登录式shell 不需要用户名和密码即可开启bash窗口
  su - username属于登陆式shell，su username属于非登陆式shell，区别 在于加载的环境变量不一样。
• su - username 属于登录式shell 会加载全部的环境变量
• su username 属于非登录式shell 会加载部分环境变量(很有 可能就会出现错误清空)
  2.sudo提权
• 预先分配好权限
• 在关联对应的用户

PS:是否有办法限制仅开启某个命令的使用权限，使用其他命令则不可被允许
* 使用sudo中自带的别名操作, 将多个用户定义成一个组
[root@bgx ~]# visudo
# 1.使用sudo定义分组,这个系统group没什么关系 
User_Alias OPS = oldboy,oldgirl 
User_Alias DEV = alex

# 2.定义可执行的命令组,便于后续调用 
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping 
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum 
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start 
Cmnd_Alias STORAGE = /bin/mount, /bin/umount 
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp 
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

# 3.使用sudo开始分配权限 
OPS  ALL=(ALL) 
NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES SES 
DEV  ALL=(ALL) SOFTWARE,PROCESSES

#4.登陆对应的用户使用 sudo -l 验证权限

使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入，直接将用户添加到该组.
1.添加两个真实的系统组,
 group_dev group_op 
 [root@www ~]# groupadd group_dev 
 [root@www ~]# groupadd group_op
2.添加两个用户     
group_dev(user_a  user_b)   group_op(user_c  user_d) 
[root@www ~]# useradd user_a -G group_dev [root@www ~]# useradd user_b -G group_dev 
[root@www ~]# useradd user_c -G group_op [root@www ~]# useradd user_d -G group_op
3.记得添加密码 
[root@www ~]# echo "1" | passwd --stdin user_a 
[root@www ~]# echo "1" | passwd --stdin user_b 
[root@www ~]# echo "1" | passwd --stdin user_c 
[root@www ~]# echo "1" | passwd --stdin user_d
4.在sudo中配置规则 
[root@www ~]# visudo    
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping    
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum    
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start    
Cmnd_Alias STORAGE = /bin/mount, /bin/umount    
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp    
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

%group_dev ALL=(ALL) SOFTWARE    
%group_op ALL=(ALL) SOFTWARE,PROCESSES
5.检查sudo是否配置有错
[root@www ~]# visudo -c /etc/sudoers: parsed OK
6.检查user_a,和user_d的sudo权限 
[[email protected] ~]$ sudo -l 
User user_a may run the following commands on www:    
(ALL) /bin/rpm, /usr/bin/yum
[[email protected] ~]$ sudo -l 
User user_d may run the following commands on www:    
(ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kil