一、为用户添加密码[root 才能执行]

1.为新用户添加密码[只能是root]{密码尽肯能复杂}[0-9][a-Z][a-Z][!@#$%^&*]

[root@ZhaoJianHao-1 ~]# useradd pll
[root@ZhaoJianHao-1 ~]# passwd pll
Changing password for user pll.
New password:
BAD PASSWORD: The password is a palindrome
Retype new password:
passwd: all authentication tokens updated successfully.

passwd - -stdin 非交互式设定密码

[root@ZhaoJianHao-1 ~]# echo "12345" | passwd --stdin pll
Changing password for user pll.
passwd: all authentication tokens updated successfully.

批量创建用户，并设定固定密码
[root@ZhaoJianHao-1 ~]# vim user.sh
[root@ZhaoJianHao-1 ~]# cat user.sh
for i in {1..100}
do
useradd testi
done

二、为用户变更密码

2.为用户变更密码
01，为自己修改密码（ok）直接使用passwd 注意密码需要复杂一点，并且达到8位
02，为别人修改密码（root）passwd username

三、 密码怎么才算复杂

[root@ZhaoJianHao-1 ~]# echo $RANDOM | md5sum |cut -c 5-15
dab21d6d825
02，mkpasswd生成随机字符串，-l 设定密码长度，-d数字， -c 小写字母， -C大写字母，-s 特殊字母
[root@ZhaoJianHao-1 ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2 mQR1u^=q5Y

为新用户添加密码 zhiyouroot才有权限

为用户变更密码也只有root才可以
普通用户只能修改自己的密码，无法修改其他人的密码
密码的修改方式有两种，交互式 与 非交互式

四、用户的创建流程

在用户创建的过程中需要参考、etc/login.defs 和 。etc.default、useradd这两个文件。
如果在创建用户时指定了参数，则会覆盖 (默认 /etc/login.defs 和/etc/default/useradd)

[root@ZhaoJianHao-1 ~]# grep "^[a-Z]" /etc/login.defs
MAIL_DIR /var/spool/mail 　　　　　#创建的邮箱所在的位置
PASS_MAX_DAYS 99999 　　　　　#密码最长使用的天数
PASS_MIN_DAYS 0 　　　　　#密码最短时间的天数
PASS_MIN_LEN 5 　　　　　#密码的长度
PASS_WARN_AGE 7 　　　　 #密码到期前7天警告
UID_MIN 1000 　　　　　　 #uid 从1000
开始 UID_MAX 60000 　　　 #uid从6w结束
SYS_UID_MIN 201 　　　　#系统用户的uid 从201 开始
SYS_UID_MAX 999 　　　　 #系统用户的uid最大到 999
GID_MIN
1000 GID_MAX
60000 SYS_GID_MIN
201 SYS_GID_MAX
999 CREATE_HOME yes 　　#给用户创建家目录,创建 在/home
UMASK 077
USERGROUPS_
ENAB yes ENCRYPT_METHOD SHA512

[root@ZhaoJianHao-1 ~]# cat /etc/default/useradd

useradd defaults file

GROUP=100 　　　　#当用户创建用户时不指定组,并且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分 配一个gid为100的组.
HOME=/home 　　　　 #用户默认的家目录
INACTIVE=-1 　　　　 #用户不失效
EXPIRE= 　　　　　 #过期时间
SHELL=/bin/bash 　　　　 #默认登录shell
SKEL=/etc/skel 　　　　　#默认用户拷贝的环境变量
CREATE_MAIL_SPOOL=yes 　 #创建邮箱

五、用户组的管理

image.png

1./etc/group配置文件解释如下图

image.png

2./etc/gshadow配置文件解释如下图

image.png

01；groupadd -g 【用户组，主要的组】
　　groupname

[root@oldboyedu ~]# groupadd zhuzhu
[root@oldboyedu ~]# groupadd -g 6666 gougou
[root@oldboyedu ~]# grep "6666" /etc/group
gougou:x:6666:

创建系统组

[root@oldboyedu ~]# groupadd -r maomao
[root@oldboyedu ~]# grep "maomao" /etc/group
maomao:x:993:

02.修改组 groupmod

-g 修改组gid

[root@oldboyedu ~]# groupmod -g 7777 gougou
[root@oldboyedu ~]# grep "7777" /etc/group
gougou:x:7777:

-n 修改组名称

[root@oldboyedu ~]# groupmod gougou -n gg
[root@oldboyedu ~]# grep "7777" /etc/group gg:x:7777:

03删除组 如果要删除基本组，需要先删除基本组中的用户才可以删除该组。
[root@oldboyedu ~]# groupadd dawang
[root@oldboyedu ~]# groupadd laowang
[root@oldboyedu ~]# useradd xiaowang
[root@oldboyedu ~]# useradd gb -g laowang
[root@oldboyedu ~]# usermod xiaowang -G laowang,dawang

[root@oldboyedu ~]# id xiaowang
uid=6775(xiaowang) gid=7778(xiaowang) groups=7778(xiaowang),7779(dawang),7780(laowang)

[root@oldboyedu ~]# userdel -r xiaowang
[root@oldboyedu ~]# groupdel dawang
[root@oldboyedu ~]# groupdel laowang groupdel: cannot remove the primary group of user 'gb'
[root@oldboyedu ~]# userdel -r gb
[root@oldboyedu ~]# groupdel laowang

image.png

六、用户提权

su 切换用户 如果切换用户,需要知道用户的密码,不是很安全
sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂

基本概念

1.交互式 需要不停的交互
2.非交互式
3.登录式shell 需要用户名以及密码开启bash窗口
4.非登录式shell 不需要用户名和密码即可开启bash窗口

su - username属于登陆式shell，su username属于非登陆式shell，区别 在于加载的环境变量不一样。

su - username 属于登录式shell 会加载全部的环境变量

su username 属于非登录式shell 会加载部分环境变量(很有 可能就会出现错误清空)

image.png

su 切换有缺点

       需要知道用户对应的密码 
       说明不是很安全

image.png

sudo提权

     1.预先分配好权限 
     2.在关联对应的用户

3.提升的权限太大，能否有办法限制仅开启某个命令的使用权限？其 他命令不允许？
第一种方式:使用sudo中自带的别名操作, 将多个用户定义成一个组
[root@bgx ~]# visudo

1.使用sudo定义分组,这个系统group没什么关系

User_Alias OPS = oldboy,oldgirl
User_Alias DEV = alex

2.定义可执行的命令组,便于后续调用

Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service,
/usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

3.使用sudo开始分配权限

OPS ALL=(ALL) NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES SES
DEV ALL=(ALL) SOFTWARE,PROCESSES

4.登陆对应的用户使用 sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.*

1.添加两个真实的系统组, group_dev group_op

[root@www ~]# groupadd group_dev
[root@www ~]# groupadd group_op

2.添加两个用户, group_dev(user_a user_b) group_op(user_c user_d) [root@www ~]# useradd user_a -G group_dev

[root@www ~]# useradd user_b -G group_dev
[root@www ~]# useradd user_c -G group_op
[root@www ~]# useradd user_d -G group_op

3.记得添加密码

[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d

4.在sudo中配置规则

[root@www ~]# visudo
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
%group_dev ALL=(ALL) SOFTWARE
　%group_op ALL=(ALL) SOFTWARE,PROCESSES

5.检查sudo是否配置有错

[root@www ~]# visudo -c
/etc/sudoers: parsed OK

6.检查user_a,和user_d的sudo权限

[user_a@www.oldboyedu.com ~]$ sudo -l
User user_a may run the following commands on www:
　　　(ALL) /bin/rpm, /usr/bin/yum

[user_d@www.oldboyedu.com ~]$ sudo -l
User user_d may run the following commands on www:
　　(ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kil

image.png

　　　　　　　　　　　　　　　　　　　sudu执行流程