zoukankan      html  css  js  c++  java
  • Day 10 用户的提权,用户组的创建删除

    1.如何为用户设定密码,又如何修改密码?

    2.用户的创建流程? [扩展了解]

    3.用户组如何管理?

    4.普通用户无权限怎么办? 切换身份 or 提权? su 切换用户 sudo 提权

    5.为用户添加密码 [root才能执行]

    6.为新用户添加密码{只能是root} {密码尽可能的复杂} [0-9][a-Z][aZ] [!@#$%^&]

    7.为用户变更密码

    8.为用户变更密码 1.为自己修改密码 (ok) 直接使用passwd 注意密码需要复杂一 点,并达到8位

    [root@oldboyedu ~]# passwd oldxu Changing 
    password for user oldxu. New password: BAD 
    PASSWORD: The password is a palindrome 
    Retype new password: passwd: all authentication 
    tokens updated successfully.
    

    passwd --stdin 非交互式设定密码

    [root@oldboyedu ~]# echo "123" | passwd --stdin 
    oldxu Changing password for user oldxu. passwd: 
    all authentication tokens updated successfully.
    

    批量创建用户,并设定固定密码

     [root@oldboyedu ~]# cat user.sh for i in {1..100} 
      do    useradd test$i  
      echo "123456" | passwd --stdin test$i done
    

    9.为别人修改密码 (root) passwd username

    10.密码怎么才算复杂

    总结:

    1.为新用户添加密码 只有root权限才可以

    2.为用户变更密码也只有root才可以

    3.普通用户只能修改自己的密码,..无法修改其他人的密码

    4.密码的修改方式有两种,一种是交互式 非交互

    4.用户的创建流程

    1.在用户创建的过程需要参考 /etc/login.defs 和/etc/default/useradd 这两 个文件,默认参考.

    如果在创建用户时指定了参数,则会覆盖 (默认 /etc/login.defs 和/etc/default/useradd)

    [root@oldboyedu ~]# echo $RANDOM | md5sum |cut -c 5-15 9320a6f282d
    

    2.mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,C大写字母,-s特殊字符

    [root@oldboyedu ~]# mkpasswd -l 10 -d 2 -c 3 -C 3 -s 2 mQR1u^=q5Y
    

    lastpass 在线   支持 windows MacOS Iphone 浏览器插件   Android

    [root@oldboyedu ~]# grep "^[a-Z]" /etc/login.defs MAIL_DIR    /var/spool/mail        
    

    创建的邮箱所在的位置 PASS_MAX_DAYS 99999

    密码最长使用的天数 PASS_MIN_DAYS 0 ####密码最短时间的天数

    5.用户组的管理

    PASS_MIN_LEN 5 #密码的长度
    PASS_WARN_AGE 7 #密码到期前7天警告
    UID_MIN          1000 #uid 从1000开始
    UID_MAX         60000 #uid从6w结束
    SYS_UID_MIN      201 #系统用户的uid 从201
    开始
    SYS_UID_MAX       999 #系统用户的uid最大到
    999
    GID_MIN            1000
    GID_MAX            60000
    SYS_GID_MIN        201
    SYS_GID_MAX        999
    CREATE_HOME yes #给用户创建家目录,创建
    在/home
    UMASK      077
    USERGROUPS_ENAB yes
    ENCRYPT_METHOD SHA512
    
    [root@baozexu ~]# cat /etc/default/useradd
    

    useradd defaults file

    GROUP=100 #当用户创建用户时不指定组,并
    且/etc/login.defs中USERGROUPS_ENAB为no时, 用户默认创建给分
    配一个gid为100的组.
    HOME=/home #用户默认的家目录
    INACTIVE=-1 #用户不失效
    EXPIRE= #过期时间
    SHELL=/bin/bash #默认登录shell
    SKEL=/etc/skel #默认用户拷贝的环境变量
    CREATE_MAIL_SPOOL=yes #创建邮箱
    

    1.创建组 groupadd [-g GID] groupname

    2.修改组 groupmod

    3.删除组 如果要删除基本组,需要先删除基本组中的用户才可以删除 该组。

    [root@oldboyedu ~]# groupadd zhuzhu     
    [root@oldboyedu ~]# groupadd -g 6666 gougou 
    [root@oldboyedu ~]# grep "6666" /etc/group 
    gougou:x:6666:
    

    创建系统组

     [root@oldboyedu ~]# groupadd -r maomao       
     [root@oldboyedu ~]# grep "maomao" /etc/group 
      maomao:x:993:
    

    -g 修改组gid

     [root@oldboyedu ~]# groupmod -g 7777 gougou 
     [root@oldboyedu ~]# grep "7777" /etc/group gougou:x:7777:
    

    -n 修改组名称

     [root@oldboyedu ~]# groupmod gougou -n gg 
     [root@oldboyedu ~]# grep "7777" /etc/group gg:x:7777:
     [root@oldboyedu ~]# groupadd dawang     
     [root@oldboyedu ~]# groupadd laowang
     [root@oldboyedu ~]# useradd xiaowang 
     [root@oldboyedu ~]# useradd gb -g laowang 
     [root@oldboyedu ~]# usermod xiaowang -G laowang,dawang
    

    6.用户提权

    su 切换用户 如果切换用户,需要知道用户的密码,不是很安全

    sudo 提权( root事先分配好权限 --> 关联用户 ) 安全 方便 但是复杂

    基本概念

        [root@oldboyedu ~]# id xiaowang             
       uid=6775(xiaowang) gid=7778(xiaowang)             
        groups=7778(xiaowang),
       7779(dawang),7780(laowang)
    [root@oldboyedu ~]# userdel -r xiaowang     
    [root@oldboyedu ~]# groupdel dawang
    [root@oldboyedu ~]# userdel -r gb 
    [root@oldboyedu ~]# groupdel laowang
    

    1.交互式 需要不停的交互 2.非交互式 3.登录式shell 需要用户名以及密码开启bash窗口 4.非登录式shell 不需要用户名和密码即可开启bash窗口

    su - username属于登陆式shell,su username属于非登陆式shell,区别 在于加载的环境变量不一样。

    su 切换有缺点 需要知道用户对应的密码 说明不是很安全

    su - username 属于登录式shell 会加载全部的环境变量 #su   username 属于非登录式shell   会加载部分环境变量(很有 可能就会出现错误清空)

    sudo提权 1.预先分配好权限 2.在关联对应的用户

    3.提升的权限太大,能否有办法限制仅开启某个命令的使用权限?其 他命令不允许?

    第一种方式:使用sudo中自带的别名操作, 将多个用户定义成一个组

        [root@bgx ~]# visudo
    

    1.使用sudo定义分组,这个系统group没什么关系 User_Alias OPS = oldboy,oldgirl User_Alias DEV = alex

    2.定义可执行的命令组,便于后续调用 Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start Cmnd_Alias STORAGE = /bin/mount, /bin/umount Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

    3.使用sudo开始分配权限 OPS  ALL=(ALL) NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCES SES DEV  ALL=(ALL) SOFTWARE,PROCESSES

    第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新 用户加入,直接将用户添加到该组.*

    4.登陆对应的用户使用 sudo -l 验证权限

    1.添加两个真实的系统组, group_dev group_op

    [root@www ~]# groupadd group_dev 
    [root@www ~]# groupadd group_op
    

    2.添加两个用户,     group_dev(user_a user_b)   group_op(user_c user_d)

      [root@www ~]# useradd user_a -G group_dev     
      [root@www ~]# useradd user_b -G group_dev 
      [root@www ~]# useradd user_c -G group_op 
      [root@www ~]# useradd user_d -G group_op
    

    3.记得添加密码

     [root@www ~]# echo "1" | passwd --stdin user_a 
     [root@www ~]# echo "1" | passwd --stdin user_b     
     [root@www ~]# echo "1" | passwd --stdin user_c 
     [root@www ~]# echo "1" | passwd --stdin user_d
    

    4.在sudo中配置规则

       [root@www ~]# visudo 
       Cmnd_Alias NETWORKING = /sbin/ifconfig,   
       /bin/ping    Cmnd_Alias SOFTWARE = /bin/rpm, 
       /usr/bin/yum    Cmnd_Alias SERVICES = 
       /sbin/service, /usr/bin/systemctl start    
      Cmnd_Alias STORAGE = /bin/mount, /bin/umoun  
      Cmnd_Alias DELEGATING = /bin/chown, 
     /bin/chmod, /bin/chgrp    Cmnd_Alias 
     PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, 
     /usr/bin/killall
    

    %group_dev ALL=(ALL) SOFTWARE  
    %group_op ALL=(ALL) SOFTWARE,PROCESSES

    5.检查sudo是否配置有错

    [root@www ~]# visudo -c /etc/sudoers: parsed OK
    

    6.检查user_a,和user_d的sudo权限

     [user_a@www.oldboyedu.com ~]$ sudo -l 
     User user_a may run the following commands on www:    (ALL) /bin/rpm, /usr/bin/yum
     [user_d@www.oldboyedu.com ~]$ sudo -l
     User user_d may run the following commands on 
    www:    (ALL) /bin/rpm, /usr/bin/yum, /bin/nice, 
    /bin/kill, /usr/bin/kil
  • 相关阅读:
    Atitit sumdoc t5 final file list \sumdoc t5 final\sumdoc t511 \sumdoc t5 final\sumdoc t511.zip \sum
    上课流程法如何上好第一节课(1) 目录 1. 目录 1 1.1. 销售自己 1 1.2. 销售课程 1 1.3. 学习方法 1 1.4. 制定规章 2 2. 销售自己自我介绍 2 2.1.
    Atitit 重复文件清理工具 按照文件名 目录 1. 原理, 1 1.1. If base filex exist dele other files 1 1.2. Get getStartIdex
    Atitit sumdoc index 2019 v6 t56 .docx Atitit sumdoc index s99 目录 1. Zip ver 1 1.1. C:\Users\Adminis
    Atitit lucence es solr的各种query 与sql运算符的对比 目录 1.1. 等于运算 TermQuery 1 1.2. 范围运算 1 1.3. 大小运算 1 1.4. Wi
    Atitit 程序设计概论 艾提拉著作 目录 1. 界面ui设计 1 2. 编程语言部分 1 3. 面向对象的程序设计 1 4. 算法章节 数据结构 1 5. 第21章 标准库 2 5.1. 文件i
    Atitit 命令行执行sql 跨语言 目录 1.1. 无需输入密码,那就不要p参数即可 1 1.2. 4.使用mysql命令执行 1 1.3. 5.mysql命令执行sql,并将查询结果保存到
    Atitit java播放 wav MIXER 混响器编程 目录 1.1. MIXER 混响器编程 1 1.2. 得到系统中一共有多少个混音器设备: 1 1.3. 接口摘要 1 1.4. 调节音量
    Atitit object 和class的理解 目录 1.1. 发现很多Object的方法都是相同的,他们被重复地放在一个个对象当中,太浪费了。 1 1.2. 那我们怎么把这些Object给创建起来
    Atitit 数据库的历史与未来 目录 1.1. 两个对于数据库强需求的行业。电信 金融 1 1.2. 艾提拉分析 对数据库强需求行业金融 1 2. 数据库历史 2 2.1. ,上个世纪50,6
  • 原文地址:https://www.cnblogs.com/baozexu/p/11372829.html
Copyright © 2011-2022 走看看