Day-10用户组管理与提权

 添加用户密码(只有root才能执行)

 Passwd设定密码

  [root@oldboy ~]# useradd wxb

  [root@oldboy ~]# passwd wxb

  Changing password for user wxb.

  New password:

  BAD PASSWORD: The password is a palindrome

  Retype new password:

  passwd: all authentication tokens updated successfully.

echo "123"|passwd --stdin name

-  [root@oldboy ~]# echo "123"|passwd --stdin gb

  Changing password for user gb.

  passwd: all authentication tokens updated successfully.

批量创建用户并设置密码

- [root@oldboy ~]# cat 12.txt

  for i in {1..20}

  do

      useradd wxb$i

      echo "123456" | passwd --stdin wxb$i

  done

- [root@oldboy ~]# bash 12.txt

  Changing password for user wxb1.

  passwd: all authentication tokens updated successfully.

  Changing password for user wxb2.

  passwd: all authentication tokens updated successfully.

  Changing password for user wxb3.

  passwd: all authentication tokens updated successfully.

  Changing password for user wxb4.

  passwd: all authentication tokens updated successfully.

  Changing password for user wxb5.

  passwd: all authentication tokens updated suc

用户变更密码

- 1)为自己修改密码(OK)直接使用passwd注意密码复杂程度(8位)

  2)为别人修改密码(root)passwd username

如何设置复杂密码

- randow

  [root@oldboy ~]# echo $RANDOM|md5sum|cut -c 5-14

  62632c5185

- mkpasswd

  [root@oldboy ~]# mkpasswd

  b3-q3GKrc

  [root@oldboy ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2

  nz(]5Ks5BR

- lastpass

  在线支持 windows macOS Iphone Ansroid 浏览器插件

总结

- 1.为新用户添加密码 只有root权限才可以

- 2.为用户变更密码也只有root才可以

- 3.普通用户只能修改自己的密码,..无法修改其他人的密码

- 4.密码的修改方式有两种,一种是交互式 非交互

用户创建流程

在用户创建的过程中参考/etc/login.defs与/etc/default/useradd文件(默认)

如果在创建过程中指定了参数就不会默认

- [root@oldboy ~]# grep "^[a-Z]" /etc/**login.defs**   

  MAIL_DIR /var/spool/mail                                    #创建的邮箱所在位置

  PASS_MAX_DAYS 99999                                        #密码最长使用天数

  PASS_MIN_DAYS 0                                                  #密码最短使用天数

  PASS_MIN_LEN 5                                                    #密码的长度

  PASS_WARN_AGE 7                                                #密码到期前7天提示

  UID_MIN                  1000   #uid普通用户开始

  UID_MAX                60000 #uid普通用户最大

  SYS_UID_MIN              201   #系统用户uid开始

  SYS_UID_MAX              999   #系统用户uid结束

  GID_MIN                  1000  

  GID_MAX                60000

  SYS_GID_MIN              201

  SYS_GID_MAX              999

  CREATE_HOME yes #给用户创建家目录开关

  UMASK          077

  USERGROUPS_ENAB yes

  ENCRYPT_METHOD SHA512

- [root@oldboy ~]# cat /etc/**default/useradd**

  useradd defaults file

  GROUP=100   #当用户创建不指定组并且CREATE_HOME  no时默认gid为100

  HOME=/home #用户默认家目录

  INACTIVE=-1   #用户不失效

  EXPIRE=   #用户过期时间

  SHELL=/bin/bash   #默认登录shell

  SKEL=/etc/skel   #默认拷贝用户的环境变量

  CREATE_MAIL_SPOOL=yes #创建邮箱开关

用户组管理

/etc/group

- ​    root​          ​:            x                :              0              :

  组的名称                组的密码                  组的gid              显示组的附加组不显示基本成员

 /etc/gshadow

- ​    root          :                                :                              :

  组的名称              组的密码                组的管理员              显示附加组成员不显示基本组成员

 创建组(groupadd)

- [root@oldboyedu ~]# groupadd zhuzhu

  [root@oldboyedu ~]# groupadd -g 6666 gougou

  [root@oldboyedu ~]# grep "6666" /etc/group gougou​x:6666:

  创建系统组

- [root@oldboyedu ~]# groupadd -r maomao

  [root@oldboyedu ~]# grep "maomao" /etc/group maomao​x:993:

修改组(groupmod)

- -g 修改组gid

  [root@oldboyedu ~]# groupmod -g 7777 gougou

  [root@oldboyedu ~]# grep "7777" /etc/group gougou:x7777:

- -n 修改组名称

  [root@oldboyedu ~]# groupmod gougou -n gg

  [root@oldboyedu ~]# grep "7777" /etc/group gg:7777:

删除组(groupdel)

如果要删除基本组,必须删除组中的用户才可以删除该组

- [root@oldboyedu ~]# groupadd dawang

  [root@oldboyedu ~]# groupadd laowang

  [root@oldboyedu ~]# useradd xiaowang

  [root@oldboyedu ~]# useradd gb -g laowang

  [root@oldboyedu ~]# usermod xiaowang -G laowang,dawang

  [root@oldboyedu ~]# id xiaowang

  uid=6775(xiaowang)gid=7778(xiaowang)groups=7778(xiaowang),7779(dawang),7780(laowang)

  [root@oldboyedu ~]# userdel -r xiaowang

  [root@oldboyedu ~]# groupdel dawang

  [root@oldboyedu ~]# groupdel laowang

  groupdel: cannot remove the primary group of user 'gb'

  [root@oldboyedu ~]# userdel -r gb

  [root@oldboyedu ~]# groupdel laowang

用户提权

  **su** 切换用户 如果切换用户,需要知道用户的密码,不是很安全

  **sudo** 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂

 基本概念

- 1.交互式需要不停的交互

- 2.非交互式

- 3.登录式shell需要用户名以及密码开启bash窗口

- 4.非登录式shell不需要用户名和密码即可开启bash窗口

  su - 属于登陆式shell,su 属于非登陆式shell,区别在于加载的**环境变量**不一样。

- su - username  属于登录式shell  会加载全部的环境变量

  ~/.bashrc ---->/etc/bashrc------> /etc/profile.d

- su  username 属于非登录式shell    会加载部分环境变量(很有可能就会出现错误清空)

  /etc/profile--->/etc/profile.d/1.sh--->~/.bash_profile--->~/.bashrc--->/etc/bashrc

- su 切换有缺点

  需要知道用户对应的密码说明不是很安全

- sudo提权

  1.预先分配好权限

  2.在关联对应的用户

 sudo提权

- [root@bgx ~]# visudo

- 1.使用sudo定义分组,这个系统group没什么关系

  User_Alias OPS = oldboy,oldgirl

  User_Alias DEV = alex

- 2.定义可执行的命令组,便于后续调用

  Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping

  Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum

  Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start

  Cmnd_Alias STORAGE = /bin/mount, /bin/umount

  Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp

  Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

- 3.使用sudo开始分配权限

  OPS  ALL=(ALL) NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSES

  DEV  ALL=(ALL) SOFTWARE,PROCESSES

- 4.登陆对应的用户使用 sudo -l 验证权限

- 第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新 用户加入,直接将用户添加到该组.*

- 1.添加两个真实的系统组,  group_dev group_op

  [root@www ~]# groupadd group_dev

  [root@www ~]# groupadd group_op

- 2.添加两个用户,     

  group_dev(user_a  user_b) 

  group_op(user_c  user_d)

  [root@www ~]# useradd user_a -G group_dev

  [root@www ~]# useradd user_b -G group_dev

  [root@www ~]# useradd user_c -G group_op

  [root@www ~]# useradd user_d -G group_op

- 3.记得添加密码

  [root@www ~]# echo "1" | passwd --stdin user_a

  [root@www ~]# echo "1" | passwd --stdin user_b

  [root@www ~]# echo "1" | passwd --stdin user_c

  [root@www ~]# echo "1" | passwd --stdin user_d

- 4.在sudo中配置规则

  [root@www ~]# visudo   

  Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping   

  Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum   

  Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start   

  Cmnd_Alias STORAGE = /bin/mount, /bin/umount   

  Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp   

  Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

  %group_dev ALL=(ALL) SOFTWARE    

  %group_op ALL=(ALL) SOFTWARE,PROCESSES

- 5.检查sudo是否配置有错

  [root@www ~]# visudo -c /etc/sudoers: parsed OK

- 6.检查user_a,和user_d的sudo权限

  sudo -l

  User user_a may run the following commands on www:   

  (ALL) /bin/rpm, /usr/bin/yum

  sudo -l

  User user_d may run the following commands on www:   

  (ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kil

你可能感兴趣的:(Day-10用户组管理与提权)