day10-用户及组密码及提权

day10 2019.8.6

设置用户密码 [root才能执行]

1.为新用户添加密码

# 交互式设定密码
[root@kuangjie ~]# passwd zhb
Changing password for user zhb.
New password: 
BAD PASSWORD: The password is a palindrome
Retype new password: 
passwd: all authentication tokens updated successfully.

# 非交互式设置密码
[root@kuangjie ~]# echo "123" |passwd --stdin zhb 
Changing password for user zhb.
passwd: all authentication tokens updated successfully.

# 批量创建用户，固定密码
[root@kuangjie ~]# cat user.sh 
for i in {1..100}
do

   useradd kj$i
   echo "1" | passwd --stdin kj$i

done

2.为用户变更密码

为自己修改密码：直接passwd 密码需要八位以上复杂的密码

为别人修改密码：（只允许root ）passwd

3.密码复杂程度

1.# 随机数生成密码字符串
[root@kuangjie ~]# echo $RANDOM |md5sum |cut -c 1-15
7682b8b0b54e45a

2.# mkpasswd生成随机字符串，-l设定长度，-d数字，-c小写，-C大写，-s特殊字符
[root@kuangjie ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2
YU3#eBd1;x

3.# lastpass 在线生成 

• 总结：

1）为新用户添加密码只有root可以

2）为用户变更密码也只有root可以

3）普通用户只能修改自己的密码

4）密码修改方式有两种。一种是交互式、一种非交互

4.用户的创建流程

用户创建过程参考/etc/login.defs和/etc/default/useradd文件

用户指定参数则覆盖配置参数（/etc/login.defs和/etc/default/useradd）

[root@kuangjie ~]# grep "^[a-Z]" /etc/login.defs 
MAIL_DIR    /var/spool/mail        #邮箱所在位置
PASS_MAX_DAYS   99999              #密码最长使用天数
PASS_MIN_DAYS   0                  #密码最段使用天数
PASS_MIN_LEN    5                  #密码长度
PASS_WARN_AGE   7                  #密码到期前七天提醒
UID_MIN                  1000      #uid 从1000开始     
UID_MAX                 60000      #uid 到6w结束 
SYS_UID_MIN               201      #系统uid 从201开始 
SYS_UID_MAX               999      #系统uid 到999结束  
GID_MIN                  1000      
GID_MAX                 60000       
SYS_GID_MIN               201     
SYS_GID_MAX               999     
CREATE_HOME yes                    #是否创建家目录
UMASK           077
USERGROUPS_ENAB yes                #用户被删除时是否删除家目录和邮箱
ENCRYPT_METHOD SHA512 


[root@kuangjie ~]# cat /etc/default/useradd 
# useradd defaults file
GROUP=100                          #当用户创建用户时不指定组,并且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分配一个gid为100的组. 
HOME=/home                         #用户默认家目录    
INACTIVE=-1                        #用户不失效
EXPIRE=                            #过期时间
SHELL=/bin/bash                    #默认登录shell
SKEL=/etc/skel                     #默认环境变量
CREATE_MAIL_SPOOL=yes              #是否创建邮箱

5.用户组的管理

创建用户时没有指定组的话，默认创建一个与用户名同名的组，简称私有组

指定组：-g 指定一个基本组，但基本组必须先存在

附加组：-G （基本组或私有组无法满足需求时，添加一个附加组，继承改组的权限）

# 组配置文件 
[root@kuangjie ~]# head -1 /etc/group
root:x:0:
第一列 组的名称
第二列 组的密码
第三列 组gid
第四列 显示附加组，不显示基本成员

[root@kuangjie ~]# head -1 /etc/gshadow
root:::
第一列 组的名称
第二列 组的密码
第三列 组管理员
第四列 显示附加组，不显示基本成员

1.# 创建组 groupadd
[root@kuangjie ~]# groupadd text1 -g 6669  
[root@kuangjie ~]# grep "6669" /etc/group
text1:x:6669:

#创建系统组 
[root@kuangjie ~]# groupadd -r text2
[root@kuangjie ~]# grep "text2" /etc/group
text2:x:995:

2.删除组，如果要删除基本组，需要先删除基本组的用户才可以删除
[root@kuangjie ~]# groupadd zhb
[root@kuangjie ~]# groupadd test2
[root@kuangjie ~]# useradd laogao
[root@kuangjie ~]# usermod laowang -G test2,zhb
[root@kuangjie ~]# id laowang
uid=1001(laowang) gid=6667(zhb) groups=6667(zhb),6670(test2)
[root@kuangjie ~]# userdel -r laowang
[root@kuangjie ~]# userdel -r laogao
[root@kuangjie ~]# groupdel test2
[root@kuangjie ~]# groupdel zhb

6.用户提权

su 切换用户，需要知道用户密码，不安全

sudo 提权，事先分配好权限-->关联用户 安全方便但复杂

基本概念

#su -  属于登录式shell   会加载全部的环境变量
#su    属于非登录式shell  会加载部分环境变量(很有可能就会出现错误清空)

两者之前的区别在于加载的环境变量不一样

su切换需要知道用户对应的密码不是很安全，企业会禁用远程root登录。

sudo提权

1.预先分配好权限

2.关联对应的用户

# 提示权限太大，限制仅开启某个命令的使用权限

# 一：使用sudo自带别名操作，将多个用户定义成一个组
[root@kuangjie ~]# visudo 
# 1.使用sudo定义分组，跟group没有关系
User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex
# 2.定义可执行的命令组,便于后续调用
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,
/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,
/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,
/usr/bin/kill, /usr/bin/killall
# 3.使用sudo开始分配权限
OPS ALL=(ALL)
NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES
SES
DEV ALL=(ALL) SOFTWARE,PROCESSES
# 4.登陆对应的用户使用 sudo -l 验证权限
# 二:使用groupadd添加组,然后给组分配sudo的权限,如果有新
用户加入,直接将用户添加到该组.
# 1.添加两个真实的系统组, group_dev group_op
[root@www ~]# groupadd group_dev
[root@www ~]# groupadd group_op
# 2.添加两个用户, group_dev(user_a user_b)
group_op(user_c user_d)
[root@www ~]# useradd user_a -G group_dev
[root@www ~]# useradd user_b -G group_dev
[root@www ~]# useradd user_c -G group_op
[root@www ~]# useradd user_d -G group_op
# 3.记得添加密码
[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d
# 4.在sudo中配置规则
[root@www ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,
/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,
/bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,
/usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE
%group_op ALL=(ALL) SOFTWARE,PROCESSES
# 5.检查sudo是否配置有错
[root@www ~]# visudo -c
/etc/sudoers: parsed OK
# 6.检查user_a,和user_d的sudo权限
[[email protected] ~]$ sudo -l
User user_a may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum
[[email protected] ~]$ sudo -l
User user_d may run the following commands on www:
(ALL) /bin/rpm, /usr/bin/yum, /bin/nice,
/bin/kill, /usr/bin/kil

7.运行sudo流程

1.运行sudo，先检查有无时间戳，是否过期，没过期就检查是否有权限，有执行，没有退出。

2.如果过期则输入口令，检查是否有权限，有执行，没有退出。