linux用户管理

1. /etc/skel目录

/etc/skel目录是用来存放新用户环境变量文件的目录，当我们添加新用户时，这个目录下的所有文件会自动被复制到新添加的用户的家目录下；默认情况下，/etc/skel目录下的所有文件都是隐藏文件（以 . 开头的文件）；通过修改、添加、删除/etc/skel目录下的文件，我们可为新创建的用户提供统一的、标准的、初始化用户环境。

/etc/skel的企业场景作用

1、可以把通知的内容放到skel，让登录的人去看

2、统一初始化新用户的环境变量

3、出现-bash-4.1$问题原因及解决方法

-bash-4.1$  whoami

-bash-4.1$  cp  /etc/skel/.bash*.

-bash-4.1$  logout

 

2. /etc/default/useradd文件

/etc/default/useradd文件是在使用useradd添加用户时的一个需要调用的一个默认的配置文件，可以使用“useradd  -D参数”，这样的命令格式来修改文件里面的内容

 

3.useradd  添加用户      语法：useradd  用户名，例子：useradd  redhat

重要：

-s，指定登录shell（-s  /sbin/nologin）

-u，指定uid；-c，注释；-d（指定家目录）；-G，指定属于多个组；-m创建家目录

-g，指定属于的主组；-e，指定过期时间；-M，不创建家目录

 

4.groupadd 添加组     -g，组id；groupdel 删除组

 

5.passwd 为用户设置或修改密码。例子：passwd  redhat 为redhat设置修改密码，直接passwd是当前用户修改密码。非交互式更改密码：--stdin； echo "123456" | passwd  --stdin  redhat

 

6.企业场景：用户及密码管理

1、密码要复杂 8 位以上字母数字特殊字符

2、大的企业用户和密码统一管理（相当于活动目录，openldap）

3、动态密码：动态口令，第三方提供自己开发也很简单

 

7.chage：修改用户密码有效期限

-l（list）：显示帐户年龄信息

-E：将帐户过期时间设为“过期日期”，日期写法：MM/DD/YY

 

小结：

/etc/skel

/etc/login.defs

/etc/default/useradd

命令：

useradd（/etc/passwd（熟悉），/etc/shadow，/etc/group，/etc/gshadow）

passwd（/etc/passwd）

groupadd（/etc/group）

chage（/etc/passwd）

 

8.删除用户相关命令userdel

-r：删除家目录

企业场景处理方法：

一般不能确认用户相关目录有没有重要数据就不能用 -r。

删除经验：

1、vi  /etc/passwd 注释掉用户，观察1个月，出问题还原。操作前备份

2、把登录 shell 改成 /sbin/nologin

3、openldap（类似活动目录）账号统一管理的，库里干掉用户。所有服务器全部都没了

 

9.last，lastb - show  listing  of  last  logged  in  users  /var/log/wtmp

显示用户登录的历史

lastlog  reports  the  most  recent  login  of  all  users  or  of  a  givenuser  /var/log/lastlog

所有计算机用户最近的登录情况

 

10.su，切换用户身份；-：加载环境变量；-c：以指定用户身份执行任务

企业应用场景：以指定用户身份开机自动启动服务

[root@redhat~]#  tail  -5  /etc/rc.local（分用户方案启动服务命令）

su  -  test  -c  ' /bin/sh  /home/test/bin/deploy.sh '

 

利用sudo控制用户对系统命令的使用权限：

为了安全及管理的方便，可将需要root权限的普通用户加入sudo管理，这样用户就可以通过自己的普通帐户登录实现利用root的权限来管理系统了，当然也就不需要有root账号及密码了。

执行如下visudo命令，即可打开sudo的配置文件进行编辑。

[root@redhat~]#  visudo     #相当于直接编辑 /etc/sudoers，但用命令方式更安全，推荐。

 

11.sudo，可以让普通用户可以拥有root权限去执行命令。sudo的配置文件/etc/sudoers。

visudo，通过visudo编辑/etc/sudoers，可以检查语法

格式如下：

visudo 或者 vi  /etc/sudoers，在98行下面加入，也可以在其它位置加入

root          ALL=（ALL）          ALL <==此行是98行

redhat      ALL=（ALL）          /usr/sbin/useradd , /usr/sbin/userdel

上述内容不同列对应的说明见如下表

用户或组          机器=（授权角色）          可以执行的命令

user                 MACHINE=                       COMMANDS

redhat              ALL=（ALL）                  /usr/sbin/useradd , /usr/sbin/userdel

提示：

如果redhat用户被授予上述权限，那么它可在所有的机器上以所有的角色运行useradd、userdel命令。

如果是针对用户组，则对应的授权命令如下：

%用户组     机器=（授权使用哪个角色的权限）     /usr/sbin/useradd

通过sudo进行授权管理系统的目的：既能让运维人员干活，又不能威胁系统安全，其实就是用户权限最小化原则，还可以审计用户使用sudo的提权操作命令。

sudo  [参数选型]  命令

-l：列出用户在主机上可用的和被禁止的命令；当配置好sudo授权规则后，可用这个参数来查看授权情况

-v：验证用户的时间戳；当用户运行sudo，输入用户的密码后，在短时间内可以不用输入口令直接进行sudo操作；用-v可以跟踪最新的时间戳

-u：指定以某个用户身份执行特定的命令操作

-k：同-K，删除时间戳，下一个sudo命令要求提供密码。前提是该用户授权中不能有NOPASSWD：参数。时间戳默认5分钟也会失效。

直接修改sudoers配置文件方法有以下需要注意的几点：

1.echo命令是追加 ">>"，不是重定向 ">" ，除了echo外，可以用cat，sed等命令实现类似的功能

2.修改操作完成一定要执行 visudo  -c 进行语法检查，这弥补了直接修改没有语法检查的不足

3.确保/etc/sudoers权限是正确的（-r--r-----），权限不对会导致sudo功能异常（Centos6权限不对也可以登录，但是/etc/sudoers是440是最安全的）

4.及时对授权的操作进行测试，验证是否正确（最好不要退出当前授权窗口，以便发现问题及时恢复）

5.确保知道正确的root用户密码，以便在sudo出现问题时可以通过普通用户等执行su -命令切换到root进行恢复

 

配置sudo命令用户日志审计

说明：所谓sudo命令日志审计，并不记录普通用户的普通操作。而是记录，那些执行sudo命令的用户的操作。

生产环境企业日志审计解决方案：

所谓日志审计，就是记录所有系统及相关用户行为的信息，并且可以自动分析、处理、展示（包括文本或者录像）

法1）通过环境变量命令及rsyslog服务进行全部日志审计（信息太大，不推荐）

法2）sudo配合rsyslog服务，进行日志审计（审计信息较少，效果不错）

法3）在bash解释器程序里嵌入一个监视器，让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序

法4）齐治的堡垒机：商业产品

法5）python开发的开源产品

开源跳板机（堡垒机）Jumpserver部署

http://blog.51cto.com/zt/658

CrazyEye

http://3060674.blog.51cto.com/3050674/1700814

 

配置/etc/sudoers

增加配置“Defaults                 logfile=/var/log/sudo.log”到/etc/sudoers中，注意：不包含引号

一行搞定sudo日志审计

[root@redhat~]#  echo  "Defaults             logfile=/var/log/sudo.log" >> /etc/sudoers

[root@redhat~]#  tail  -l  /etc/sudoers

Defaults             logfile=/var/log/sudo.log

[root@redhat~]#  visudo  -c  #检查sudoers文件语法

/etc/sudoers  file  parsed  OK