添加用户密码(只有root才能执行)
Passwd设定密码
[root@oldboy ~]# useradd wxb
[root@oldboy ~]# passwd wxb
Changing password for user wxb.
New password:
BAD PASSWORD: The password is a palindrome
Retype new password:
passwd: all authentication tokens updated successfully.
echo "123"|passwd --stdin name
- [root@oldboy ~]# echo "123"|passwd --stdin gb
Changing password for user gb.
passwd: all authentication tokens updated successfully.
批量创建用户并设置密码
- [root@oldboy ~]# cat 12.txt
for i in {1..20}
do
useradd wxb$i
echo "123456" | passwd --stdin wxb$i
done
- [root@oldboy ~]# bash 12.txt
Changing password for user wxb1.
passwd: all authentication tokens updated successfully.
Changing password for user wxb2.
passwd: all authentication tokens updated successfully.
Changing password for user wxb3.
passwd: all authentication tokens updated successfully.
Changing password for user wxb4.
passwd: all authentication tokens updated successfully.
Changing password for user wxb5.
passwd: all authentication tokens updated suc
用户变更密码
- 1)为自己修改密码(OK)直接使用passwd注意密码复杂程度(8位)
2)为别人修改密码(root)passwd username
如何设置复杂密码
- randow
[root@oldboy ~]# echo $RANDOM|md5sum|cut -c 5-14
62632c5185
- mkpasswd
[root@oldboy ~]# mkpasswd
b3-q3GKrc
[root@oldboy ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2
nz(]5Ks5BR
- lastpass
在线支持 windows macOS Iphone Ansroid 浏览器插件
总结
- 1.为新用户添加密码 只有root权限才可以
- 2.为用户变更密码也只有root才可以
- 3.普通用户只能修改自己的密码,..无法修改其他人的密码
- 4.密码的修改方式有两种,一种是交互式 非交互
用户创建流程
在用户创建的过程中参考/etc/login.defs与/etc/default/useradd文件(默认)
如果在创建过程中指定了参数就不会默认
- [root@oldboy ~]# grep "^[a-Z]" /etc/**login.defs**
MAIL_DIR /var/spool/mail #创建的邮箱所在位置
PASS_MAX_DAYS 99999 #密码最长使用天数
PASS_MIN_DAYS 0 #密码最短使用天数
PASS_MIN_LEN 5 #密码的长度
PASS_WARN_AGE 7 #密码到期前7天提示
UID_MIN 1000 #uid普通用户开始
UID_MAX 60000 #uid普通用户最大
SYS_UID_MIN 201 #系统用户uid开始
SYS_UID_MAX 999 #系统用户uid结束
GID_MIN 1000
GID_MAX 60000
SYS_GID_MIN 201
SYS_GID_MAX 999
CREATE_HOME yes #给用户创建家目录开关
UMASK 077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512
- [root@oldboy ~]# cat /etc/**default/useradd**
useradd defaults file
GROUP=100 #当用户创建不指定组并且CREATE_HOME no时默认gid为100
HOME=/home #用户默认家目录
INACTIVE=-1 #用户不失效
EXPIRE= #用户过期时间
SHELL=/bin/bash #默认登录shell
SKEL=/etc/skel #默认拷贝用户的环境变量
CREATE_MAIL_SPOOL=yes #创建邮箱开关
用户组管理
/etc/group
- root : x : 0 :
组的名称 组的密码 组的gid 显示组的附加组不显示基本成员
/etc/gshadow
- root : : :
组的名称 组的密码 组的管理员 显示附加组成员不显示基本组成员
创建组(groupadd)
- [root@oldboyedu ~]# groupadd zhuzhu
[root@oldboyedu ~]# groupadd -g 6666 gougou
[root@oldboyedu ~]# grep "6666" /etc/group gougoux:6666:
创建系统组
- [root@oldboyedu ~]# groupadd -r maomao
[root@oldboyedu ~]# grep "maomao" /etc/group maomaox:993:
修改组(groupmod)
- -g 修改组gid
[root@oldboyedu ~]# groupmod -g 7777 gougou
[root@oldboyedu ~]# grep "7777" /etc/group gougou:x7777:
- -n 修改组名称
[root@oldboyedu ~]# groupmod gougou -n gg
[root@oldboyedu ~]# grep "7777" /etc/group gg:7777:
删除组(groupdel)
如果要删除基本组,必须删除组中的用户才可以删除该组
- [root@oldboyedu ~]# groupadd dawang
[root@oldboyedu ~]# groupadd laowang
[root@oldboyedu ~]# useradd xiaowang
[root@oldboyedu ~]# useradd gb -g laowang
[root@oldboyedu ~]# usermod xiaowang -G laowang,dawang
[root@oldboyedu ~]# id xiaowang
uid=6775(xiaowang)gid=7778(xiaowang)groups=7778(xiaowang),7779(dawang),7780(laowang)
[root@oldboyedu ~]# userdel -r xiaowang
[root@oldboyedu ~]# groupdel dawang
[root@oldboyedu ~]# groupdel laowang
groupdel: cannot remove the primary group of user 'gb'
[root@oldboyedu ~]# userdel -r gb
[root@oldboyedu ~]# groupdel laowang
用户提权
**su** 切换用户 如果切换用户,需要知道用户的密码,不是很安全
**sudo** 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂
基本概念
- 1.交互式需要不停的交互
- 2.非交互式
- 3.登录式shell需要用户名以及密码开启bash窗口
- 4.非登录式shell不需要用户名和密码即可开启bash窗口
su - 属于登陆式shell,su 属于非登陆式shell,区别在于加载的**环境变量**不一样。
- su - username 属于登录式shell 会加载全部的环境变量
~/.bashrc ---->/etc/bashrc------> /etc/profile.d
- su username 属于非登录式shell 会加载部分环境变量(很有可能就会出现错误清空)
/etc/profile--->/etc/profile.d/1.sh--->~/.bash_profile--->~/.bashrc--->/etc/bashrc
- su 切换有缺点
需要知道用户对应的密码说明不是很安全
- sudo提权
1.预先分配好权限
2.在关联对应的用户
sudo提权
- [root@bgx ~]# visudo
- 1.使用sudo定义分组,这个系统group没什么关系
User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex
- 2.定义可执行的命令组,便于后续调用
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
- 3.使用sudo开始分配权限
OPS ALL=(ALL) NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSES
DEV ALL=(ALL) SOFTWARE,PROCESSES
- 4.登陆对应的用户使用 sudo -l 验证权限
- 第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新 用户加入,直接将用户添加到该组.*
- 1.添加两个真实的系统组, group_dev group_op
[root@www ~]# groupadd group_dev
[root@www ~]# groupadd group_op
- 2.添加两个用户,
group_dev(user_a user_b)
group_op(user_c user_d)
[root@www ~]# useradd user_a -G group_dev
[root@www ~]# useradd user_b -G group_dev
[root@www ~]# useradd user_c -G group_op
[root@www ~]# useradd user_d -G group_op
- 3.记得添加密码
[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d
- 4.在sudo中配置规则
[root@www ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE
%group_op ALL=(ALL) SOFTWARE,PROCESSES
- 5.检查sudo是否配置有错
[root@www ~]# visudo -c /etc/sudoers: parsed OK
- 6.检查user_a,和user_d的sudo权限
sudo -l
User user_a may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum
sudo -l
User user_d may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kil