Day09-linux的用户管理2

1.为用户添加密码

1.1为新用户添加密码（只能是root）

交互式设置密码
[root@Eva ~]# passwd oldboy
Changing password for user oldboy.
New password: 
BAD PASSWORD: The password is a palindrome
Retype new password: 
passwd: all authentication tokens updated successfully.

非交互式设置密码
[root@Eva ~]# echo "123456" | passwd --stdin oldboy
Changing password for user oldboy.
passwd: all authentication tokens updated successfully.

批量创建用户，并设定固定密码
[root@Eva ~]# cat user.sh
for i in {1..100}
do 

    useradd QWER$i
    echo "123456" | passwd --stdin QWER$i
done

[root@Eva ~]# sh user.sh

1.2用户更改密码

    1.为自己修改密码直接使用passwd 注意密码需要复杂一 点,并达到8位
    2.为别人修改密码 (root) passwd username

1.3如何设置一个复杂的密码

1.利用随机数
[root@Eva ~]# echo $RANDOM | md5sum | cut -c 3-13
a29861cd2a8

2.利用mkpasswd  -l设定密码长度,-d数子,-c小写字母,C大写字母,-s特殊字符 
[root@Eva ~]# mkpasswd -l 12 -d 6 -c 2 -C 2 -s 2
51~'78RG1ar6

3.#lastpass  在线   支持 windows  MacOS Iphone 浏览器插件   Android

总结：
1.为新用户添加密码 只有root权限才可以
2.为用户变更密码也只有root才可以
3.普通用户只能修改自己的密码,无法修改其他人的密码
4.密码的修改方式有两种,一种是交互式 非交互式

2.用户的创建流程

在用户创建的过程需要参考
/etc/login.defs
/etc/default/useradd
这两 个文件,做默认参考.
如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs 和/etc/default/useradd)这两个文件

[root@Eva ~]# grep "^[a-Z]" /etc/login.defs 
MAIL_DIR    /var/spool/mail        #创建的邮箱所在的位置
PASS_MAX_DAYS   99999              #密码最长使用的天数
PASS_MIN_DAYS   0                  #密码最短使用的天数
PASS_MIN_LEN    5                  #密码的长度
PASS_WARN_AGE   7                  #密码到期前7天警告
UID_MIN                  1000      #uid 从1000开始
UID_MAX                 60000      #uid到6w结束
SYS_UID_MIN               201      #系统用户的uid从201开始
SYS_UID_MAX               999      #系统用户的uid最大到999
GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME yes                    #给用户创建家目录，在/home
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512 

[root@Eva ~]#  cat /etc/default/useradd 
# useradd defaults file 
GROUP=100               #当用户创建用户时不指定组,并 且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分 配一个gid为100的组.          
HOME=/home              #用户默认的家目录 
INACTIVE=-1             #用户不失效 
EXPIRE=                 #过期时间 
SHELL=/bin/bash         #默认登录
shell SKEL=/etc/skel    #默认用户拷贝的环境变量 
CREATE_MAIL_SPOOL=yes   #创建邮箱

3.用户组的管理

没有指定组：默认会创建一个与用户同名的组，简称私有组
指定组：-g 制定一个基本组 *基本组必须先存在
附加组：-G 指定（基本组或私有组无法满足需求时，添加一个附加组，继承改组的权限）

/etc/group #配置文件解释
[root@Eva ~]# head -1 /etc/group 
root : x : 0 : 
第一列：组的名称
第二列：组的密码
第三列：组GID
第四列：显示附加组，不显示基本成员

/etc/gshadow #配置文件解释
[root@Eva ~]# head -1 /etc/gshadow
root  :    :    :
第一列：组的名称
第二列：组的密码
第三列：组管理员
第四列：显示附加组成员，不显示基本组成员

4.组的创建，修改，删除

4.1 创建组groupadd [-g GID ] groupname

创建组

[root@Eva ~]# groupadd -g 10086  xueyuandushi   #指定Gid为 10086
[root@Eva ~]# grep "10086" /etc/group
xueyuandushi:x:10086:

创建系统组

[root@Eva ~]# groupadd -r sanqianyuanfeng
[root@Eva ~]# grep "sanqianyuanfeng" /etc/group
sanqianyuanfeng:x:994:

4.2修改组 groupmod

修改组gid -g

[root@Eva ~]# groupmod -g 10010 xueyuandushi
[root@Eva ~]# grep "10010" /etc/group
xueyuandushi:x:10010:

修改组名称

[root@Eva ~]# groupmod -n xueyuandushi chaodiancipao  #这里注意格式
groupmod: group 'chaodiancipao' does not exist
[root@Eva ~]# groupmod xueyuandushi -n chaodiancipao
[root@Eva ~]# grep "10010" /etc/group
chaodiancipao:x:10010:

4.3删除组，如果要删除组，要先删除组中的用户才可以删除组

[root@Eva ~]# groupadd xiaoyi
[root@Eva ~]# groupadd xiaoer
[root@Eva ~]# useradd yi
[root@Eva ~]# useradd gb -g xiaoer
[root@Eva ~]# usermod yi -G xiaoyi,xiaoer
[root@Eva ~]# id yi
uid=6768(yi) gid=10013(yi) groups=10013(yi),10011(xiaoyi),10012(xiaoer)

[root@Eva ~]# userdel -r yi
[root@Eva ~]# groupdel xiaoyi
[root@Eva ~]# groupdel xiaoer
groupdel: cannot remove the primary group of user 'gb'
[root@Eva ~]# userdel -r gb
[root@Eva ~]# groupdel xiaoer

5.用户提权

5.1 su切换用户，如果切换用户，需要知道用户密码，不安全。

5.2 sudo 提权（root事先分配好权限 --->关联用户）安全，方便，但是需要事先设定。

1.交互式 需要不停的交互
2.非交互式
3.登录式shell 需要用户名以及密码开启bash窗口
4.非登录式shell 不需要用户名和密码即可开启bash窗口
su - username属于登陆式shell
五个目录
su username属于非登陆式shell
三个目录
区别 在于加载的环境变量不一样。

su 切换有缺点:需要知道用户对应的密码 说明不是很安全
sudo提权 :
1.预先分配好权限
2.在关联对应的用户

5.3 用户提权的方法1

[root@Eva ~]# visudo

1.使用sudo定义分组,这个系统group没什么关系 
User_Alias OPS = oldboy,oldgirl 
User_Alias DEV = alex
2.定义可执行的命令组,便于后续调用 
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping 
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum 
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start 
Cmnd_Alias STORAGE = /bin/mount, /bin/umount 
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp 
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
3.使用sudo开始分配权限 
OPS  ALL=(ALL) NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES SES 
DEV  ALL=(ALL) SOFTWARE,PROCESSES
4.登陆对应的用户使用 sudo -l 验证权限

5.4第二种方法，先groupadd添加组,组分配sudo的权限,如果有新用户加入,直接将用户添加到该组

#1.添加两个真实的系统组,  group_dev group_op 
[root@Eva ~]# groupadd group_dev 
[root@Eva ~]# groupadd group_op
#2.添加两个用户,      group_dev(user_a  user_b)   group_op(user_c  user_d) 
[root@Eva ~]# useradd user_a -G group_dev 
[root@Eva ~]# useradd user_b -G group_dev 
[root@Eva ~]# useradd user_c -G group_op 
[root@Eva ~]# useradd user_d -G group_op

#3.记得添加密码 [root@www ~]# echo "1" | passwd --stdin user_a 
[root@Eva ~]# echo "1" | passwd --stdin user_b 
[root@Eva ~]# echo "1" | passwd --stdin user_c 
[root@Eva ~]# echo "1" | passwd --stdin user_d

#4.在sudo中配置规则 
[root@Eva ~]# visudo    
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping    
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum    
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start   
Cmnd_Alias STORAGE = /bin/mount, /bin/umount    
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp    
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

%group_dev ALL=(ALL) SOFTWARE    #%代表组
%group_op ALL=(ALL) SOFTWARE,PROCESSES

#5.检查sudo是否配置有错 
[root@Eva ~]# visudo -c 
    /etc/sudoers: parsed OK

#6.检查user_a,和user_d的sudo权限 
[user_a@Eva ~]$ sudo -l 
User user_a may run the following commands on www:    
        (ALL) /bin/rpm, /usr/bin/yum
[user_d@Eva ~]$ sudo -l 
User user_d may run the following commands on www:    
        (ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kil