Day - 09(用户管理02)
[if !supportLists]1. [endif]用户密码:
(1)添加密码
交互式设定密码
命令:passwd 用法:passwd用户名
非交互式设定密码
命令语句:echo "密码" | passwd --stdin 用户名
(2)批量创建用户并设定固定密码
命令语句:
for i in {1..100}
do
useradd test$i
echo "123456" | passwd --stdin test$i
done
方式:通过编辑脚本完成对用户的创建和修改密码
(3)随机产生密码:
方式:通过random这个设备产生随机数字
命令:mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2
[if !supportLists]2. [endif]变更密码:
(1)为自己修改密码
命令:直接使用passwd
(2)为别人修改密码
命令:在root用户下使用passwd + 用户名
小结:
1.为新用户添加密码 只有root权限才可以
2.为用户变更密码也只有root才可以
3.普通用户只能修改自己的密码,..无法修改其他人的密码
4.密码的修改方式有两种,一种是交互式 非交互
3.用户创建流程
(1)在不指定参数的情况下默认参考/etc/login.defs和/etc/default/useradd这两个文件
(2)/etc/login.defs:
grep "^[a-Z]" /etc/login.defs
MAIL_DIR /var/spool/mail #创建的邮箱所在的位置
PASS_MAX_DAYS 99999 #密码最长使用的天数
PASS_MIN_DAYS 0 #密码最短时间的天数
PASS_MIN_LEN 5 #密码的长度
PASS_WARN_AGE 7 #密码到期前7天警告
UID_MIN 1000 #uid从1000开始
UID_MAX 60000 #uid从6w结束
SYS_UID_MIN 201 #系统用户的uid 从201
开始
SYS_UID_MAX 999 #系统用户的uid最大到
999
GID_MIN 1000
GID_MAX 60000
SYS_GID_MIN 201
SYS_GID_MAX 999
CREATE_HOME yes #给用户创建家目录,创建
在/home
UMASK 077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512
(3)/etc/default/useradd
cat /etc/default/useradd
# useradd defaults file
GROUP=100 #当用户创建用户时不指定组,并
且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分
配一个gid为100的组.
HOME=/home #用户默认的家目录
INACTIVE=-1 #用户不失效
EXPIRE= #过期时间
SHELL=/bin/bash #默认登录shell
SKEL=/etc/skel #默认用户拷贝的环境变量
CREATE_MAIL_SPOOL=yes #创建邮箱
4.用户组的管理
(1)管理用户组
三种组:
私有组:在创建一个用户的时候如果没有指定组,则默认创建一个与用户同名的组,这个组就是私有组,如果删除这个用户那么他的私有组也会一块被删除。
基本组:- g通过- g 命令指定一个基本组,前提是这个基本组必须先存在。
附加组:- G基本组或者是私有组无法满足需求时,添加一个附加组,继承这个组的权限。
(2)组的配置文件:
组文件:
组影子文件:
5.组的配置:
(1)创建组:groupadd创建普通组、groupadd -u指定组ID2000+为基本组
(2)创建系统组:groupadd -r用户名
(3)修改组:usermod
(4)修改组GID:groupmod -g组id 组名
(5)修改组名称:groupmod -n组名
(6)删除组:groupdel组名
(7)前提如果要删除基本组,必须要删除基本组中的用户才可以删除该组
6.提升权限的两种方式
su -切换用户:
1、优缺点:
(1)优点:简单,操作方便
(2)缺点:需要知道用户的密码,不安全
2、sudo提权:
优缺点:
(1)优点:效率高、安全
(2)缺点:操作复杂
7.bash登录的四种方式
3、四种方式:
(1)交互式
方式:su -用户名
特点:会加载全部的环境变量
非交互式
(2)方式:su用户名
特点:会加载部分的环境变量(很容易出现错误的删除)
(3)登录式(需要用户名以及密码开启bash窗口)
(4)非登录式(不需要用户名以及密码开启bash窗口)
8.提升权限(两种方法):
(1)第一种方式:
方式:使用sudo中自带的别名操作,将多个用户定义成一个组。
操作过程:
1.使用sudo定义虚拟的用户别名分组。
User_Alias z1 = zmy1,zmy2
User_Alias z2 = zmy3
2.将要给的权限分别放到命令组里,便于后面使用
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,
/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,
/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,
/usr/bin/kill, /usr/bin/killall
3.使用sudo将虚拟的用户别名分组和定义的命令组结合起来,这样对应的用户组里面的用户就有权限了
z1(虚拟组名) ALL(主机名)=(ALL(角色名))
NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES
z2 ALL=(ALL) SOFTWARE,PROCESSES
4.登录对应的用户验证权限是否已经提升
sudo -l
(2)第二种方式:
方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.
操作过程:
1。创建两个真实的系统组。
[root@www ~]# groupadd group_a
[root@www ~]# groupadd group_b
2.创建四个实验的用户,并两两添加到刚才创建的系统组里面
[root@www ~]# useradd user_a -G group_a
[root@www ~]# useradd user_b -G group_a
[root@www ~]# useradd user_c -G group_b
[root@www ~]# useradd user_d -G group_b
3.给是个新创建的用户添加密码
[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d
4.进入visudo如上种方法一样给命令进行分组
[root@www ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,
/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,
/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,
/usr/bin/kill, /usr/bin/killall
5.将真实的系统组和刚才创建的命令组进行结合。
%group_a ALL=(ALL) SOFTWARE
%group_b ALL=(ALL) SOFTWARE,PROCESSES
5.检查拼写是否有误
[root@www ~]# visudo -c
/etc/sudoers: parsed OK
6.检查两个用户组中用户的权限是否已经得到提升。
[[email protected] ~]$ sudo -l
User user_a may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum
[[email protected] ~]$ sudo -l
User user_d may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum, /bin/nice,
/bin/kill, /usr/bin/kil
9. sudo执行流程:
