定时任务权限控制

指对各用户执行定时任务权限上的管理
 
禁止某个用户执行定时任务:
/etc/cron.deny
在该文件中,添加该用户名,即可禁止该用户执行定时任务
 
把该用户从/etc/crond.deny删除,即允许该用户执行定时任务
 
--------------------------------------------------
 
用户的管理
 
用户的类型:
   超级用户: root  UID=0
   系统用户         UID=1-499
   普通用户   UID >= 500
 
 用户组:
   1个用户组,可以包含多个用户
   1个用户,又可以属于多个用户组
  
每个用户有两类用户组
   初始组(基本组,主组):就是这个用户创建时所属的组。
         一个用户,只有1个初始组
   附加组
 
相关的配置文件:
   /etc/passwd
   存放用户帐号和其他基本信息
 
   /etc/shadow
   存放用户的密码(加密后的密码)
          
   /etc/group
   存放用户组的基本信息
 
   /etc/gshadow
   存放用户组的密码
 
   /etc/login.defs 了解即可
 
   /etc/skel目录
   当创建1个新用户时,就会自动把/etc/skel目录中的所有(包括以.开头的隐藏文件)
   都拷贝都该用户的家目录。
    
   可以把一些必要的文件保存到/etc/skel目录。
   实现创建用户时的自动拷贝。
 
   为什么在用户创建时,会自动拷贝/etc/skel目录下的文件呢?
       原因:/etc/default/useradd
       解析:
-------------------------
GROUP=100               默认的组ID
HOME=/home              默认的家目录
INACTIVE=-1
EXPIRE=                 默认的账户过期时间
SHELL=/bin/bash         用户登录后的默认shell
SKEL=/etc/skel          创建用户时,自动拷贝该目录下的所有文件
CREATE_MAIL_SPOOL=yes   创建用户后,是否自动为他创建邮箱目录
------------------------
 
用户的常见命令:
1. useradd
   添加用户
    
  补充:man useradd 来查看帮助
        可以切换到中文
        # cat /etc/sysconfig/i18n
        LANG="zh_CN.UTF-8"
        # LANG="zh_CN.UTF-8"
         
   useradd 
      -c 用户的描述信息
      -d 指定该用户的家目录(该目录不能已经存在)
         当切换到该用户,或登录该用户时,就会自动进入这个家目录
      -e 设置帐号的过期时间
         格式: MM/DD/YY 即,月/日/年
      -f 设置该账户过期几天之后,就“停权”,即禁用
      -g 设置用户的起始组(主组)
         如果没有-g, 那么就会自动的创建一个同名的用户组,作为他的主组。
n/sh         # groupadd market  
           创建用户组market 
         # useradd xiaozhang  -g  market
           创建用户xiaozheng, 同时指定market作为他的主组
    
      -G 设置用户的附加组
         注意,可同时指定多个附加组,但是用,分隔
      -m 如果家目录不存在,那自动创建,-m选项之后不需要参数
      -M 不创建家目录                  -M选项之后不需要参数
      -s 指定该用户登录后的shell
      -u 指定用户的UID
 
   改变创建用户时的默认配置
       useradd -D
 
       即改变/etc/default/useradd文件
       使用useradd -D 效果等同于直接编辑/etc/default/useradd
 
       useradd -D 
                  -b  修改家目录的上一级目录
                  -e  帐号的截至时间
                  -f  帐号过期几天后停权
                  -g  帐号的主组
                  -s  帐号登录后的shell
                       当使用 # useradd -s 的优先级更高
       实例:
         # useradd -D -b /tmp  -s /bin/bash  -e 10/01/16
          
 
groupadd 
   创建用户组
   -g 指定组ID
    
   # groupadd develop -g 1000
 
groupdel
   删除用户组
   # groupdel  develop
 
passwd 
   修改密码
   注意:普通用户只能修改自己的密码
             $ passwd
         root用户可以修改任意用户的密码
             # passwd  用户名
    
   非交互式修改秘密
   实例:
   # echo "123456" | passwd zhangfei --stdin
 
   锁定密码
   # passwd -l 用户名
   锁定指定用户的密码,使其不能修改
 
   # passwd -u 用户名
   解锁用户的密码,就是可以允许该用户来修改自己的密码
 
   查看密码的状态:
   # passwd -s 用户名
 
   常用选项:
      -n 修改密码的最小时间间隔
      -x 修改密码的最大时间间隔
     -w 在过期的前几天给用户发信
     -i 过期多少天,帐号将被停权
 
修改liubei的密码,同时设置为7天内不能再修改,60天后必须修改,
         该密码过期前10天通知liubei, 
         密码过期30天,就禁止liubei登录
   # echo "1qaz2wsx" | passwd liubei -n 7 -x 60 -w 10 -i 30
 
chage 
   用来管理密码的生命周期
 
   -d 修改密码的最近修改时间
      # chage liubei -d 2015/01/31
 
   -E 修改账户的过期时间
      # chage liubei -E 2016/12/31
 
   -I 密码过期多少天,帐号停权
 
   -l 显示账户的生命周期信息
 
   -m 修改密码的最小时间间隔
   -M 修该密码的最大时间间隔
   
   -W 密码过期前的多少天,发送警告信给用户
    
修改liubei的密码时间信息:  
          7天内不能修改密码,60天以后必须修改密码
          过期前10天发送通知給liubei
          过期30天后禁止用户登录。
   # chage liubei  -m 7 -M 60 -w 10 -I 30 
 
userdel
   删除用户
    
  # userdel 用户名
    该用户的家目录和邮件目录不被删除。
   
  # userdel -r 用户名
    该用户的家目录和邮件目录都被删除。
 
  注意:删除用户的小技巧,
       直接用vi在/etc/passwd中把该用户行注释!
       如果以后又需要使用这个帐号,那再把注释去掉
 
groupdel
   # groupdel develop
 
usermod
   修改用户信息
   用法:man usermod
 
id
  # id
   显示当前用户的信息
  # id 用户名
   显示指定用户的信息
 
w
  # w
  显示已经登录的用户,以及他们正在做什么
 
who 
  # who
  显示已经登录的用户
 
lastlog
  显示用户的最近的登录信息
 
groups
  显示当前用户组
 
newgrp
  用来临时加入另1个用户组
  很少使用。
 
用户的切换
   # su
   切换到root
groups
  显示当前用户组
 
newgrp
  用来临时加入另1个用户组
  很少使用。
 
用户切换
 $ su
 $ su root
 切换到root用户
 需要输入root的密码
 
 #su  zhangfei
 切换到指定用户
 root用户切换到普通用户,不需要输入密码
 普通用户切换到任意其他用户,都需要输入目标用户的密码
 
 # su  -  zhangfei
 切换时,使用-
 表示,切换后,使用目标用户的环境变量
 如果不使用 - ,
 表示,切换后,环境变量不变!
  
 环境变量:$PATH,  当前目录等。
  
 注意:在切换用户时,最后使用 -
 
su的-c选项的用法:
   # su -liubei  -c  ls 
   切换到liubei,并执行 -c 后面的命令
   但是,执行完之后,再回到原来的用户。
 
   应用场合:
   在实际的生产环境中,为了提高安全性,
   系统常常在系统启动时,使用普通用户的角色来启动系统的服务
   此时就可以使用-c
  
su的缺点:
   su可以让普通用户切换到root用户,所以不安全!
   解决方案:使用sudo
 
sodu的用法
   执行流程:见图
 
   分析 /etc/sudoers/配置文件
   /etc/sudoers文件:
   1)定义别名
      可以省略
    
   2)定义规则
      必须。
      就是用来定义用户执行命令的权限
 
/etc/sudoers中规则的定义方法
    执行sodu的用户    主机名=(目标用户名)   能执行的命令
    ---------------------------------------------
    xiaoming          ALL=(ALL)               ALL
    MARKET            SOUTH(OP)               SOFTSETUP     
    ---------------------------------------------
   
    ALL就表示所有
 
/etc/sudoers中的别名定义
1)用户别名
User_Alias  MARKET = zhangfei,guanyu,zhaoyun,%CanMou
MARKET代表了zhangfei, guanyu, zhaoyun, 以及CanMou用户组中的所有人员
     
2) 主机别名
Host_Alias SOUTH = shenzheng,guangzhou,changsha
SOUTH就表示3台主机:shenzheng, guangzhou, changsha
 
3) 角色别名
Runas_Alias  OP = root
 
4) 命令别名
Cmnd_Alias SOFTSETUP = /bin/rpm,/usr/bin/yum

  

posted @ 2019-12-18 21:36  MlxgzZ  阅读(676)  评论(0编辑  收藏  举报