6.如何为用户设定密码,又如何修改密码 ?
7.用户的创建流程?[扩展了解]
8.用户组如何管理?
9.普通用户无权限怎么办?切换身份or提权?
- su切换用户
- sudo提权
10.自行注册一个域名
1.为用户添加密码[root才能执行]
1.为新用户添加密码{只能是root}{密码尽可能的复杂} [0-9] [a-Z] [!@#$%^&*]
[root@oldboyedu ~]# passwd root Changing password for user root. New password: BAD PASSWORD: The password >is shorter than 8 characters Retype new password: passwd: all authentication tokens >updated successfully. 1.passwd --stdin 非交互式设定密码 [root@oldboyedu ~]# echo >"123456"|passwd --stdin root Changing password for user root. passwd: all authentication tokens >updated successfully. 2.批量创建用户,并设定固定密码 [root@oldboyedu ~]# cat user.sh for i in {1..100} do useradd test$i echo "123456" | passwd --stdin >test$i done
2.为用户变更密码
2.为用户变更密码
- 1.为自己修改密码(OK)直接使用passwd注意密码需要复杂,长度为8位
- 2.为别人修改密码(root)passwd username
3.密码怎么才算复杂
[root@oldboyedu ~]# echo >$RANDOM |md5sum|cut -c 1-10 f96971aa72 2.mkpasswd 生成随机字符串,-l设定密码长度,-d数字,-c小写字母,-C大写字母,-s特殊字符 [root@oldboyedu ~]# echo >$RANDOM |md5sum|cut -c 1-10 f96971aa72 3.lastpass 在线、支持Windows、macOS、iPhone、Android 浏览器插件总结:
1.为新用户添加密码,只有root权限才可以
2.为用户变更密码也只有root才可以
3.普通用户只能修改自己的密码,无法修改其他人的密码
4.密码的修改方式有两种,一种是交互式,一种是非交互式
4.用户的创建流程
用户的创建过程需要参考/etc/login.defs和/etc/default/useradd这两个文件
如果在创建用户时指定了参数,则会覆盖(/etc/login.defs和/etc/default/useradd)这两个文件[root@oldboyedu ~]# grep "^[a-Z]" >/etc/login.defs MAIL_DIR /var/spool/mail 创建的邮箱所在位置 PASS_MAX_DAYS 99999 密码最长使用的天数 PASS_MIN_DAYS 0 密码最短时间的天数 PASS_MIN_LEN 5 密码的长度 PASS_WARN_AGE 7 密码到期前7天警告 UID_MIN 1000 uid 从1000开始 UID_MAX 60000 uid从6w结束 SYS_UID_MIN 201 系统用户的uid 从201开始 SYS_UID_MAX 999 系统用户的uid最大到999 GID_MIN 1000 GID_MAX 60000 SYS_GID_MIN 201 SYS_GID_MAX 999 CREATE_HOME yes 给用户创建家目录,创建在/home UMASK 077 USERGROUPS_ENAB yes ENCRYPT_METHOD SHA512 [root@oldboyedu ~]# cat >/etc/default/useradd # useradd defaults file GROUP=100 当用户创建用户时不指定组,并且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分配一个gid为100的组. HOME=/home 用户默认的家目录 INACTIVE=-1 用户不失效 EXPIRE= 过期时间 SHELL=/bin/bash 默认登录shell SKEL=/etc/skel 默认用户拷贝的环境变量 CREATE_MAIL_SPOOL=yes 创建邮箱
5.用户组的管理
image.png
1./etc/group 配置文件解释如下图
image.png
2./etc/shadow 配置文件解释如下图
image.png
1.创建组groupadd [-g GID] groupname[root@oldboyedu ~]# groupadd >zhuzhu [root@oldboyedu ~]# groupadd -g >6666 gougou [root@oldboyedu ~]# grep "6666" >/etc/group gougou:x:6666: 创建系统组 [root@oldboyedu ~]# groupadd ->maomao [root@oldboyedu ~]# grep >"maomao" /etc/group maomao:x:995:2.修改组groupmod
-g 修改组gid [root@oldboyedu ~]# groupmod -g >7777 gougou [root@oldboyedu ~]# grep "7777" >/etc/group gougou:x:7777: -n 修改组名 [root@oldboyedu ~]# groupmod >gougou -n gg [root@oldboyedu ~]# grep "7777" >/etc/group gg:x:7777:3.删除组,如果要删除基本组,需要先删除基本组中的用户才可以删除该组
[root@oldboyedu ~]# groupadd >dawang [root@oldboyedu ~]# groupadd >laowang [root@oldboyedu ~]# useradd >xiaowang [root@oldboyedu ~]# useradd gb ->g laowang [root@oldboyedu ~]# usermod >xiaowang -G laowang,dawang [root@oldboyedu ~]# id xiaowang uid=1001(xiaowang) >gid=7780(xiaowang) >groups=7780(xiaowang),7778(daw>ang),7779(laowang) [root@oldboyedu ~]# userdel -r >xiaowang [root@oldboyedu ~]# groupdel >dawang [root@oldboyedu ~]# groupdel >laowang groupdel: cannot remove the primary >group of user 'gb' [root@oldboyedu ~]# userdel -r gb [root@oldboyedu ~]# groupdel >laowangimage.png
6.用户提权
- su 切换用户 如果切换用户,需要知道用户的密码,不是很安全
- sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂
基本概念
- 1.交互式 需要不停的交互
- 2.非交互式
- 3.登录式shell 需要用户名以及密码开启bash窗口
- 4.非登录式shell 不需要用户名和密码即可开启bash窗口
su - username属于登陆式shell,su username属于非登陆式shell,区别在于加载的环境变量不一样。
#su - username 属于登录式shell 会加载全部的环境变量
#su username 属于非登录式shell 会加载部分环境变量(很有
可能就会出现错误清空)
image.png
- su 切换有缺点
(1)需要知道用户对应的密码
(2)说明不是很安全- sudo提权
(1)预先分配好权限
(2)在关联对应的用户提升的权限太大,能否有办法限制仅开启某个命令的使用权限?其他命令不允许?
第一种方式:使用sudo中自带的别名操作,将多个用户定义成一个组
[root@oldboyedu ~]# visudo 1.使用sudo定义分组,这个系统group没什么关系 User_Alias OPS = oldboy,oldgirl User_Alias DEV = alex 2.定义可执行的命令组,便于后续调用 Cmnd_Alias NETWORKING = >/sbin/ifconfig, /bin/ping Cmnd_Alias SOFTWARE = >/bin/rpm, /usr/bin/yum Cmnd_Alias SERVICES = >/sbin/service, /usr/bin/systemctl start Cmnd_Alias STORAGE = >/bin/mount, /bin/umount Cmnd_Alias DELEGATING = >/bin/chown, /bin/chmod, /bin/chgrp Cmnd_Alias PROCESSES = >/bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall 3.使用sudo开始分配权限 OPS ALL=(ALL) NETWORKING,SOFTWARE,SEVICES,STORAGE,DELEGATING,PROCES SES DEV ALL=(ALL) SOFTWARE,PROCESSES 4.登录对应的用户使用sudo -l 验证权限 第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组1.添加两个真实的系统组,group_dev group_op
[root@oldboyedu ~]# groupadd >group_dev [root@oldboyedu ~]# groupadd >group_op2.添加两个用户,group_dev(user_a user_b)
group_op(user_c user_d)[root@oldboyedu ~]# useradd >user_a -G group_dev [root@oldboyedu ~]# useradd >user_b -G group_dev [root@oldboyedu ~]# useradd >user_c -G group_op [root@oldboyedu ~]# useradd >user_d -G group_op3.添加密码
[root@oldboyedu ~]# echo "1" | passwd --stdin user_a [root@oldboyedu ~]# echo "1" | passwd --stdin user_b [root@oldboyedu ~]# echo "1" | passwd --stdin user_c [root@oldboyedu ~]# echo "1" | passwd --stdin user_d4.在sudo中配置规则
[root@oldboyedu ~]# visudo Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum Cmnd_Alias SERVICES = /sbin/service,/usr/bin/systemctl start Cmnd_Alias STORAGE = /bin/mount, /bin/umount Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod,/bin/chgrp Cmnd_Alias PROCESSES = /bin/nice, /bin/kill,/usr/bin/kill, /usr/bin/killall %group_dev ALL=(ALL) SOFTWARE %group_op ALL=(ALL) SOFTWARE,PROCESSES5.检查sudo是否配置有错
[root@oldboyedu ~]# visudo -c /etc/sudoers: parsed OK6.检查user_a,和user_d的sudo权限
[user_a@oldboyedu ~]$ sudo -l User user_a may run the following >commands on www: (ALL) /bin/rpm, /usr/bin/yum [user_a@oldboyedu ~]$ sudo -l User user_d may run the following >commands on www: (ALL) /bin/rpm, /usr/bin/yum, >/bin/nice, /bin/kill, /usr/bin/kil
sudo执行流程
