昨日回顾 1.什么是用户?

2.为什么要创建用户?

3.如何查看当前用户的详请?

4.创建用户会在系统的哪个配置中保存信息

5.如何创建用户、删除用户、修改用户?

6.如何为用户设定密码，又如何修改密码?

7.用户的创建流程? [扩展了解]

8.用户组如何管理？

9.普通用户无权限怎么办? 切换身份 or 提权?#2 今日内容 6.如何为用户设定密码，又如何修改密码?

7.用户的创建流程? [扩展了解]

8.用户组如何管理？

9.普通用户无权限怎么办? 切换身份 or 提权?

su 切换用户 sudo 提权

10.自行注册一个域名. xx.top

1.为用户添加密码[root才能执行]

    1）为新用户添加密码{只能是root} {密码尽可能的复杂} 0-9[aZ] [!@#$%^&]

[root@oldboyedu ~]# passwd oldxu

Changing password for user oldxu.

New password:

BAD PASSWORD: The password is a palindrome

Retype new password:

passwd: all authentication tokens updated

successfully.#passwd --stdin 非交互式设定密码

[root@oldboyedu ~]# echo "123" | passwd --stdin oldxu

Changing password for user oldxu.

passwd: all authentication tokens updated

successfully.#批量创建用户,并设定固定密码

[root@oldboyedu ~]# cat user.sh

for i in {1..100}

do   

        useradd test$i 

          echo "123456" | passwd --stdin test$i

done

2.为用户变更密码

  2.）为用户变更密码

      1.为自己修改密码(ok)直接使用passwd注意密码需要复杂一点，并达到8位

        2.位别人修改密码(root)passwd username

3.密码怎么才算复杂

[root@oldboyedu ~]# echo $RANDOM | md5sum |cut -c 5-15 9320a6f282d

#2.mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,C大写字母,-s特殊字符

[root@oldboyedu ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2

mQR1u^=q5Y#lastpass  在线  支持 windows  MacOS Iphone 浏览器插件 

Android

1.为新用户添加密码 只有root权限才可以

2.为用户变更密码也只有root才可以

3.普通用户只能修改自己的密码,..无法修改其他人的密码

4.密码的修改方式有两种,一种是交互式 非交互

4.用户的创建流程

在用户创建过程需要参考/etc/login.defs 和/etc/default/useradd 这俩个文件 默认参考

如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs 和/etc/default/useradd)

[root@oldboyedu ~]# grep "^[a-Z]" /etc/login.defs

MAIL_DIR    /var/spool/mail        #创建的邮箱所在的位置

PASS_MAX_DAYS  99999              #密码最长使用的天数

PASS_MIN_DAYS  0                  #密码最短时间的天数

PASS_MIN_LEN    5                  #密码的长度

PASS_WARN_AGE  7                  #密码到期前7天警告

UID_MIN                  1000      #uid 从1000开始

UID_MAX                  60000      #uid从6w结束

SYS_UID_MIN              201      #系统用户的uid 从201 开始

SYS_UID_MAX              999      #系统用户的uid最大到 999

GID_MIN                  1000      GID_MAX                60000

SYS_GID_MIN              201

SYS_GID_MAX              999

CREATE_HOME yes                    #给用户创建家目录,创建

在/home

UMASK          077

USERGROUPS_ENAB yes

ENCRYPT_METHOD SHA512 [root@oldboyedu ~]# cat /etc/default/useradd

#useradd defaults file

GROUP=100              #当用户创建用户时不指定组,并 且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分 配一个gid为100的组.

HOME=/home              #用户默认的家目录

INACTIVE=-1            #用户不失效

EXPIRE=                #过期时间

SHELL=/bin/bash        #默认登录shell

SKEL=/etc/skel          #默认用户拷贝的环境变量

CREATE_MAIL_SPOOL=yes  #创建邮箱

5.用户组的管理

1.创建组 groupadd [-g GID] groupname

[root@oldboyedu ~]# groupadd zhuzhu

[root@oldboyedu ~]# groupadd -g 6666 gougou

[root@oldboyedu ~]# grep "6666" /etc/group

gougou​：x:​6666:

#创建系统组

[root@oldboyedu ~]# groupadd -r maomao

[root@oldboyedu ~]# grep "maomao" /etc/group

maomao​：x:​993:

2.修改组groupmod

#-g 修改组gid

[root@oldboyedu ~]# groupmod -g 7777 gougou

[root@oldboyedu ~]# grep "7777" /etc/group

gougou​：x:​7777:

[root@oldboyedu ~]# id xiaowang

uid=6775(xiaowang) gid=7778(xiaowang)

groups=7778(xiaowang),7779(dawang),7780(laowang)

[root@oldboyedu ~]# userdel -r xiaowang

[root@oldboyedu ~]# groupdel dawang

[root@oldboyedu ~]# groupdel laowang

groupdel: cannot remove the primary group of user 'gb'

[root@oldboyedu ~]# userdel -r gb

[root@oldboyedu ~]# groupdel laowang

6.用户提权

su切换用户 如果切换用户，需要知道用户的密码，不是很安全

sudo提权（root事先分配好权限--->关联用户）安全方便 但是复杂

基本概念

1.交互式 需要不停的交互 2.非交互式 3.登录式shell 需要用户名以及密码开启bash窗口 4.非登录式shell 不需要用户名和密码即可开启bash窗口su - username属于登陆式shell，su username属于非登陆式shell，区别 在于加载的环境变量不一样。

#su - username  属于登录式shell  会加载全部的环境变量

#su    username 属于非登录式shell    会加载部分环境变量(很有 可能就会出现错误清空)

sudo 提权

    1.预先分配好权限

    2.在关联对应的用户

    3.提升的权限太大，能否有办法限制仅开启某个命令权限？其他命令不允许？

第一种方式：使用sudo中自带的别名操作，将多个用户定义成一个组

[root@bgx ~]# visudo

1.使用sudo定义分组,这个系统group没什么关系

User_Alias OPS = oldboy,oldgirl

User_Alias DEV = alex

2.定义可执行的命令组,便于后续调用

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping

Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum

Cmnd_Alias SERVICES = /sbin/service,

/usr/bin/systemctl start

Cmnd_Alias STORAGE = /bin/mount, /bin/umount

Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp

Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

3.使用sudo开始分配权限 OPS  ALL=(ALL) NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES

SES

DEV  ALL=(ALL) SOFTWARE,PROCESSES

#4.登陆对应的用户使用 sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新 用户加入,直接将用户添加到该组.*

#1.添加两个真实的系统组,  group_dev group_op

[root@www ~]# groupadd group_dev

[root@www ~]# groupadd group_op#2.添加两个用户      group_dev(user_a  user_b)  group_op(user_c  user_d) [root@www ~]# useradd user_a -G group_dev

[root@www ~]# useradd user_b -G group_dev

[root@www ~]# useradd user_c -G group_op

[root@www ~]# useradd user_d -G group_op#3.记得添加密码

[root@www ~]# echo "1" | passwd --stdin user_a

[root@www ~]# echo "1" | passwd --stdin user_b

[root@www ~]# echo "1" | passwd --stdin user_c

[root@www ~]# echo "1" | passwd --stdin user_d#4.在sudo中配置规则 [root@www ~]# visudo 

  Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping 

Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum 

Cmnd_Alias SERVICES = /sbin/service,

/usr/bin/systemctl start

    Cmnd_Alias STORAGE = /bin/mount, /bin/umount 

Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,

/bin/chgrp

    Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,

/usr/bin/kill, /usr/bin/killall

%group_dev ALL=(ALL) SOFTWARE    %group_op ALL=(ALL) SOFTWARE,PROCESSES

#5.检查sudo是否配置有错

[root@www ~]# visudo -c

/etc/sudoers: parsed OK#6.检查user_a,和user_d的sudo权限

[user_a@www.oldboyedu.com ~]$ sudo -l

User user_a may run the following commands on www: 

(ALL) /bin/rpm, /usr/bin/yum[user_d@www.oldboyedu.com ~]$ sudo -l

User user_d may run the following commands on www:

  (ALL) /bin/rpm, /usr/bin/yum, /bin/nice,

/bin/kill, /usr/bin/kil

今日总结 1.passwd设定密码

2.用户的创建流程[了解]

3.组的基本管理 创建组 修改组删除组 4.su 和 su - 区别 加载的环境变量不一样

5.sudo提权

1.有管理人员来分配权限 visudo | visduo -c 检查语法

2.普通用户仅需要检查自身的sudo权限即可 sudo -l