day 09 用户管理

咋日回顾

1.什么是用户

2.为什么要创建用户

3.如何查看当前用户的详情

4.创建的用户会在那个配置中保存信息

5.如何创建用户、删除用户、修改用户

今日内容

6.如何为用户设定密码，又如何修改密码

7.用户的创建流程

8.用户组如何管理

9.普通用户无权限怎么办？切换身份or提权？

        su 切换用户

        sudo 提权

1.为用户添加密码【root才能执行】

1.为新用户添加密码{只能是root}{密码尽可能的复杂}【0-9】【a-Z】【

!@#$%^&*】

[root@caoweiqiang ~]# passwd oldboy

Changing password for user oldboy.

New password:

BAD PASSWORD: The password is a palindrome

Retype new password:

passwd: all authentication tokens updated successfully.

---

#passwd  -- stdin  非交互式设定密码

[root@caoweiqiang ~]# echo "1234" |passwd --stdin oldboy

Changing password for user oldboy.

passwd: all authentication tokens updated successfully.

---

#批量创建用户，并设定固定密码

[root@caoweiqiang ~]# cat user.sh

         for i in {1..100}

do

          useradd test$i

echo "123456" | passwd --stdin test$i

done

---

[root@caoweiqiang ~]# sh user.sh  （瞬间创建100个相同密码的用户）

2.为用户变更密码

2.为用户变更密码

    1.为自己修改密码（OK）直接使用passwd 注意密码需要复杂以点，并达到8位

    2.位别人修改密码（root）passwd username

3.密码怎么才算复杂

随机数的获取

[root@caoweiqiang ~]# echo $RANDOM

16946

[root@caoweiqiang ~]# echo $RANDOM

28806

---

把随机数进行加密

[root@caoweiqiang ~]# echo $RANDOM| md5sum

cd77050e6177abb8733796669b164754  -

[root@caoweiqiang ~]# echo $RANDOM| md5sum

4ae07a8d55b5d27fac2ffb05c8252bb1  -

---

用cut -c 5-15（取第五个到第十五个随机数）

[root@caoweiqiang ~]# echo $RANDOM | md5sum |cut -c 5-15

0f8f7f302e9

---

#2.mkpasswd 生成随机字符串，-l 设定密码长度，-d 数字，-c小写字母，-C大写字母，-s特殊字符

[root@caoweiqiang ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2

h'Uo#VtD16

[root@caoweiqiang ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2

w}s5@O2XAu

---

总结：

    1.为新用户填写密码，只有root权限才可以

    2.为用户变更密码也只有root才可以

    3.普通用户只能修改自己的密码，无法修改其他人的密码

    4.密码的修改方式有两种，有交互式和非交互两种

---

4.用户的创建流程

在用户创建的过程中需要参考 /etc/login.defs 和/etc/default/useradd这两个文件，默认参考

如果在创建用户是指定了参数，则会覆盖（默认/etc/login.defs和/etc/default/useradd）

[root@caoweiqiang ~]# grep "^[a-Z]" /etc/login.defs

MAIL_DIR /var/spool/mail                                            #创建的邮箱所在的位置

PASS_MAX_DAYS 99999                                          #密码最长使用天数

PASS_MIN_DAYS 0                                                   #密码最短使用天数

PASS_MIN_LEN 5                                                      #密码的长度

PASS_WARN_AGE 7                                                 #密码到期前7天警告

UID_MIN                  1000                                           #系统用户UID从1000开始

UID_MAX                60000                                          #系统用户UID到6W结束

SYS_UID_MIN              201                                        #

SYS_UID_MAX              999

GID_MIN                  1000

GID_MAX                60000

SYS_GID_MIN              201

SYS_GID_MAX              999

CREATE_HOME yes                                    #给用户创建家目录，创建在/home

UMASK          077

USERGROUPS_ENAB yes

ENCRYPT_METHOD SHA512

---

[root@caoweiqiang ~]# cat /etc/default/useradd

# useradd defaults file

GROUP=100         #当用户创建用户时不指定组，并且/etc/olgin.defs/中USERGROUPS_ENAB为no时，用户默认创建分配一个GID 为100的组

HOME=/home                    #用户默认的家目录

INACTIVE=-1                    #用户不失效

EXPIRE=                           #过期时间

SHELL=/bin/bash              #默认登录bash shell

SKEL=/etc/skel                  #默认用户拷贝的环境变量

CREATE_MAIL_SPOOL=yes  #创建邮箱

---

5.用户组的管理

没有指定组：默认会创建一个用户同名的组，简称 私有组

指定组：  -g 指定一个基本组    基本组必须先存在

附加组：-G 指定（基本组或私有组无法满足需求时，添加一个附加组，继承改组的权限）

1./etc/group  配置文件解释如下

2. /etc/gshadow  配置文件解释如下图

1.创建组  groupadd 【-g  GID】groupname 

[root@caoweiqiang ~]# groupadd zhuzhu

[root@caoweiqiang ~]# groupadd -g 6666 gougou

[root@caoweiqiang ~]# grep "6666" /etc/group

gougou:x:6666:

#创建组系统

[root@caoweiqiang ~]# groupadd -r maomao

[root@caoweiqiang ~]# grep "maomao" /etc/group

maomao:x:992:

---

2.修改组  groupmod

#-g  修改组 gid

[root@caoweiqiang ~]# groupmod -g 6668 gougou

[root@caoweiqiang ~]# grep "6668" /etc/group

gougou:x:6668:

#-n  修改组名称

[root@caoweiqiang ~]# groupmod gougou -n gg

[root@caoweiqiang ~]# grep "6668" /etc/group

gg:x:6668:

---

3.删除组，如果要删除基本组，需要先删除基本组中的用户才可以删除该组

[root@caoweiqiang ~]# groupadd dawang

[root@caoweiqiang ~]# groupadd laowang

[root@caoweiqiang ~]# cat /etc/group|tail -2

dawang:x:16776:

laowang:x:16777:

[root@caoweiqiang ~]# useradd xiangwang

[root@caoweiqiang ~]# useradd gb -g laowang

[root@caoweiqiang ~]# usermod xiangwang -G laowang,dawang

[root@caoweiqiang ~]# id xiangwang

uid=16768(xiangwang) gid=16778(xiangwang) groups=16778(xiangwang),16776(dawang),16777(laowang)

[root@caoweiqiang ~]# userdel -r xiangwang          #先删除用户xiangwang

[root@caoweiqiang ~]# groupdel dawang               #再删除dawang这个组

[root@caoweiqiang ~]# groupdel laowang

groupdel: cannot remove the primary group of user 'gb'        #GroupDel:无法删除用户“GB”的主要组

[root@caoweiqiang ~]# userdel -r gb

[root@caoweiqiang ~]# groupdel laowang

6.用户提权

    su 切换用户  如果切换用户，需要知道用户的密码，不是很安全

    sudo 提权（root 事先分配好权限--->关联用户）安全方便 单是复杂

基本概念

1.交互式，需要不停的交互

2.非交互式

3.登录式shell 需要用户名以及密码开启bash窗口

4.非登录式shell 不需要用户名和密码即可开启bash窗口

su  -  usernaame属于登录式shell ，su  username 属于非登录式shell ，区别在于加载的环境变量不一样。

#su  -  username   属于登录式shell   会加载全部的环境变量

#su     username  属于非登录式shell   会加载部分环境变量（很有可能就会出现错错误清空）

#su 切换有缺点

    需要知道用户对应的密码

    说明不是很安全

#sudo 提权

    1.预先分配好权限

    2.在关联对应的用户

3.提升的权限太大，能否有办法限制仅开启某个命令的使用权限？其他命令不允许？

第一种方式：使用sudo 中自带的别名操作，将多个用户定义成一个组

[root@caoweiqiang ~]# visudo

#1.使用sudo定义分组，这个系统group没什么关系

User_Alias  ops = oldboy,oldgirl

User_Alias  DEV = alex

#2.定义可执行的命令组，便于后续调用

#3.使用sudo 开始分配权限

#4.登录对应的用户使用  sudo -l 验证权限

---

第二种方式：使用groupadd 添加组，然后给组分配sudo的权限，如果有新用户加入，直接将用户添加到该组

#1.添加两个真实的系统组，  group_dev    group_op

#2.添加两个用户     group_dev(user_a    user_b)   group_op(user_c   user_d)

#3.记得添加密码

#4.在sudo中配置规则   (visudo)

#5.检查sudo是否配置有错（visudo  -c）

#6.检查user_a，user_d的sudo权限（sudo   -l）