Linux - 权限管理(用户)
一:Linux用户介绍
1.什么是用户?
用户对硬件资源的操作都需要通过操作系统
,比如用户要读取硬盘中的一份关键数据
出于安全考虑,操作系统的开发者们都专门开发了安全机制
,要使用操作系统必须事先输入正确的用户名与密 码
这便是用户的由来
2.为何要创建用户?
主要是因为权限问题
- 系统上的每一个进程,都需要一个特定的用户运行,一个用户拥有特定的权限,该用户运行的进程与用户权限一致
- 通常在公司是使用普通用户管理服务器,因为root权限过大,容易出问题
3.如何查看用户相关信息?
# 查看当前用户
[root@localhost ~]# id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
# 查看当前用户是谁
[root@localhost ~]# whoami
root
# 查看darker用户
[root@localhost ~]# id darker
# 查看所有登录的用户
[root@localhost ~]# who
root pts/0 2020-11-24 15:38 (192.168.50.1)
# 每一个进程都有其用户
[root@localhost ~]# ps aux | grep [s]sh
root 1103 0.0 0.3 83040 3656 ? Ss 15:38 0:00 /usr/sbin/sshd -D
root 2242 0.0 0.5 141268 5296 ? Ss 15:38 0:00 sshd: root@pts/0
4.Linux系统中用户角色划分
在Linux系统中的用户分为管理员用户与其他用户
- 管理员用户拥有最高权限
- 其他用户根据管理员的分配拥有不同的权限
对于
Linux
系统来说,用户的角色是通过UID
和GID
识别的用户系统帐号的名称(如darker)其实给人(管理员)看的
Linux系统能够识别的仅仅是UID和GID这样的数字
UID 与 GID
- UID (User Identify)用户ID
唯一标识一个系统用户的帐号,uid在系统中是唯一的
uid相当于一个人的身份证,用户名就相当于这个人的名字
- GID (Group Identify)组ID
如果把一个操作系统当成一家公司,uid相当于这个人的员工号,gid相当于他的部门编号
Centos7系统之前约定
UID | 角色 | 备注 |
---|---|---|
0 | 超级用户 具备超级用户权限的用户创建的用户 |
|
1 - 499 | 系统虚拟用户 | UID范围1-499,存在满足文件或服务启动的需要 一般不能登录,只是傀儡 |
500 - 65535 | 普通用户 |
Centos7系统约定
UID | 角色 | 备注 |
---|---|---|
0 | 超级管理员 | 最高权限,有着极强的破坏能力 |
1 - 200 | 系统用户 | 用来运行系统自带的进程,默认已创建 |
201 - 999 | 系统用户 | 用来运行安装的程序,所以此类用户无需登录系统 |
1000+ | 普通用户 | 正常可以登录系统的用户,权限比较小,能执行的任务有限 |
用户和组的关系
- 一对一
- 一对多
- 多对一
- 多对多
5.超级用户
默认是root
用户,其UID和GID均为0
root用户在每台Unix/Linux操作系统中都是唯一且真实存在的
通过它可以登录系统,可以操作系统中任何文件和命令,拥有最高的管理权限
举个例子
对象 | 相当于 |
---|---|
操作系统 | 1个国家 |
root用户 | 国王 |
root用户的家目录 | 皇宫 |
注意点
-
在生产环境中,一般会禁止root帐号通过SSH远程连接服务器(保护好皇帝),当然,也会更改默认 的SSH端口(保护好皇宫),以加强系统安全。
-
企业工作中:没有特殊需求,应该尽量不要登录root用户进行操作,应该在普通用户下操作任务,然后 用sudo管理普通用户的权限,可以细到每个命令权限分配。
-
在Linux系统中,uid为0的用户就是超级用户。但是通常不这么做,如果确实有必要在某一操作上用到 管理的权限的话,那就用sudo单独授权,也不要直接用uid为0的用户
6.扩展
Linux与Windows
- Linux/Unix是一个
多用户、多任务
的操作系统 - Windows是一个
单用户、多任务
操作系统
多用户不是说可以创建多个用户,而是指一次可以登录多个用户
多任务指的是可以并发执行多个进程
Linux发展史
Multics -> Unix -> Linux
所以Linux是多用户
的,天然支持多个连机终端
,连机终端在没有互联网的情况下是有意义的
多个人可以用不同的连机终端连到一台机器/服务器上使用,而有了互联网之后
多个人可通过网络访问服务器,这个时候多用户or单用户的概念就不再那么重要
二:用户 与 组 相关文件
和用户、组相关的文件
/etc/passwd
[root@localhost ~]# head -1 /etc/passwd
root:x:0:0:root:/root:/bin/bash
以:
为分隔符号,分成7
部分
组成 | 内容 | 释义 |
---|---|---|
第1部分 | root | 用户名/登录名 |
第2部分 | x | 口令,x表示密码占位符 其实密码已经被映射到 /etc/shadow 文件中 |
第3部分 | 0 | UID |
第4部分 | 0 | GID |
第5部分 | root | 描述信息(可选) |
第6部分 | /root | 用户的家目录所在的位置 |
第7部分 | /bin/bash | 用户所用的shell类型 |
/etc/shadow
[root@localhost ~]# head -1 /etc/shadow
root:$6$Jvw3z/jmU1ASO4P1$vpTJ5OGEtfBOmIpjyK55k87iQPHXCC3.kKOFW9jkyslqC2DMdN7SZdT/zYRfmQ4hBAQXG6CQ4kKdRQ8eFqChf.::0:99999:7:::
以:
为分隔符号,分成9
部分
组成 | 内容 | 释义 |
---|---|---|
第1部分 | root | 用户名/登录名 |
第2部分 | $6$Jvw3z/j... | 密码的匿文,!! 表示没有密码 |
第3部分 | 最近一次变更密码:距离1970年1月1日过去了几天 | |
第4部分 | 0 | 密码最短使用天数:0 表示无限制 |
第5部分 | 99999 | 密码最长使用天数:99999表示无限制 |
第6部分 | 7 | 密码过期预警天数 |
第7部分 | 密码过期的宽恕时间: 密码过期后如果没有修改密码,用户还可以使用的天数 |
|
第8部分 | 账号失效日期:过了这个日期,该账号就无法使用了 | |
第9部分 | 保留字段,未被使用(便于后期的功能添加) |
各部分详解
- 第1部分
用户名(也被称为登录名)
在/etc/shadow
中,用户名和/etc/passwd
是相同的
这样就把passwd和shadow中用的用户记录联系在一起
这个字段是非空的
- 第2部分
密码(已被加密)
如果有些用户在这段是x
,表示这个用户不能登录到系统
这个字段是非空的
- 第3部分
上次修改口令的时间
这个时间是从1970年1 月1日
算起到最近一次修改口令的时间间隔(天数)
可以通过passwd
来修改用户的密码,然后查看/etc/shadow
中此字段的变化
- 第4部分
两次修改口令间隔最少的天数
如果设置为0
:则 禁用此功能
,也就是说用户必须经过多少天才能修改其口 令
默认值是通 过/etc/login.defs
文件定义中获取,PASS_MIN_DAYS
中有定义
- 第5部分
两次修改口令间隔最多的天数
这个能增强管理员管理用户口令的时效性,应该说在增强了系统的安全性
如果是系统默认值,是在添加用户时由/etc/login.defs
文件定义中获取,PASS_MAX_DAYS
中定义
- 第6部分
提前多少天警告用户口令将过期
当用户登录系统后,系统登录程序提醒用户口令将要作废
如果是系统默认值,是在添加用户时由/etc/login.defs
文件定义中获取,在PASS_WARN_AGE
中定义
- 第7部分
在口令过期之后多少天禁用此用户
此字段表示 用户口令作废多少天后,系统会禁用此用户
也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用
- 第8部分
用户过期日期
此字段指定了用户作废的天数(从1970年的1月1日开始的天数)
如果这个字段的值为空
,帐号永久可用
- 第9部分
保留字段
目前为空,以备将来Linux发展之用
/etc/group
[root@localhost ~]# head -1 /etc/group
root:x:0:
组成 | 内容 | 释义 |
---|---|---|
第1部分 | root | 用户组的名称 |
第2部分 | x | 用户组的密码占位符 |
第3部分 | 0 | 用户组的id(也就是GID) |
第4部分 | 显示该用户组作为哪个用户附加组,用, 隔开 |
/etc/gshadow
[root@localhost ~]# head -1 /etc/gshadow
root:::
组成 | 内容 | 释义 |
---|---|---|
第1部分 | root | 用户组的名称 |
第2部分 | 用户组密码,该字段可以为空 或! 表示没有密码 |
|
第3部分 | 用户组管理者,该字段可以为空 如果有多个用户组管理者,用 , 隔开 |
|
第4部分 | 显示该用户组作为哪个用户附加组,用, 隔开 |
/etc/skel
用户老家的目录
/home/用户名
普通用户的家目录
/var/spool/mail/用户名
用户的邮箱文件
三:用户管理命令
1.创建用户
# 创建用户:darker
[root@localhost ~]# useradd darker
2.查看用户
# 查看用户:darker
[root@localhost ~]# id darker
uid=1000(darker) gid=1000(darker) groups=1000(darker)
# 查看所有登录的用户信息
[root@localhost ~]# who
# 查看当前登录的用户名
[root@localhost ~]# whoami
# 查看系统内置用户
[root@localhost ~]# vim /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin
systemd-bus-proxy:x:999:997:systemd Bus Proxy:/:/sbin/nologin
systemd-network:x:998:996:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:997:995:User for polkitd:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
darker:x:1000:1000::/home/darker:/bin/bash
注意:当创建一个用户时,如果
没有指定用户的主组
,将会创建一个与用户名同名的组
作为用户的主组查看系统内置用户时,用户名后面的
x
是密码的占位符
3.删除用户
# 删除用户user1,但不删除用户家目录和mail
[root@localhost ~]# userdel user1
# 要想删彻底,加-r选项
[root@localhost ~]# userdel -r user1
4.useradd命令详解:创建用户的同时指定选项
useradd命令的常用选项
选项 | 作用 |
---|---|
-u | 指定用户的UID |
-g | 指定用户所属的主群 |
-G | 指定用户所属的附加群 |
-d | 指定用户的家目录 |
-c | 指定用户的备注信息 |
-s | 指定用户所用的shell |
-e | 修改过期时间 |
-M | 不创建家目录 |
-r | 创建系统账户,uid处于系统用户范围内,默认就没有家目录 不允许登录服务器 |
灵活应用useradd命令的举例
# 在系统中新增一个 turtle 用户
[root@localhost ~]# adduser turtle
# 在系统中新增一个用户user01,属组为police以及uid为600的命令
[root@localhost ~]# useradd –u 600 –g police user01
测试
# 创建用户usr01
[root@localhost ~]# useradd user01
# 创建用户usr02,指定uid
[root@localhost ~]# useradd user02 -u 503
# 创建用户user03 指定家目录
[root@localhost ~]# useradd user03 -d /aaa
# 创建用户user04,不创建家目录
[root@localhost ~]# useradd user04 -M
# 创建用户并指定shell
[root@localhost ~]# useradd user05 -s /sbin/nologin
# 创建用户,指定主组
[root@localhost ~]# useradd user06 -g hr
# 创建用户,指定附加组
[root@localhost ~]# useradd user07 -G sale
# 创建用户,指定过期时间
[root@localhost ~]# useradd user08 -e 2021-04-01
# 创建用户,不能登录系统
[root@localhost ~]# useradd user10 -u 4000 -s /sbin/nologin
# 创建普通用户,但是没有家目录,不能登录系统
[root@localhost ~]# useradd xxx -M -s /sbin/nologin
# yyy属于系统用户,uid处于系统用户uid范围内
[root@localhost ~]# useradd -r yyy -s /sbin/nologin
4.usermod命令
同useradd参数基一致,只不过useradd是添加
,usermod是修改
选项 | 作用 |
---|---|
-u | 指定要修改用户的UID |
-g | 指定要修改用户基本组 |
-a | 将用户添加到补充组。仅与-G选项一起使用 |
-G | 指定要修改用户附加组,使用逗号隔开多个附加组, 覆盖原有的附加组 |
-d | 指定要修改用户家目录 |
-c | 指定要修改用户注释信息 |
-s | 指定要修改用户的bash shell |
-m | 将用户主目录的内容移动到新位置 如果当前主目录不存在,则不会创建新的主目录 |
-l | 指定要修改用户的登陆名 |
-L | 指定要锁定的用户 |
-U | 指定要解锁的用户 |
# 修改darker用户的过期时间
[root@localhost ~]# usermod -e 2021-02-11 darker
# 修改darker用户的主组
[root@localhost ~]# usermod -g group1 darker
# 修改darker用户的附加组,-a添加,不加-a代表覆盖
[root@localhost ~]# usermod -a -G group2 darker
6.设定 与 修改密码
# 默认给当前用户设定密码
[root@localhost ~]# passwd
Changing password for user root.
New password:
Retype new password:
passwd: a;; authentication tokens updated successfully.
# root用户可以给自己以及所有其他用户设定密码,普通用户只能设定自己的密码
[root@localhost ~]# passwd 用户名
# 非交互式
[root@localhost ~]# echo "密码" | passwd --stdin 用户名
# 补充:可以利用系统内置变量生成随机字符串来充当密码
[root@localhost ~]# echo $RANDOM|md5sum|cut -c 1-10
70ba11a74b
测试
修改UID
# 查看帮助信息
[root@localhost ~]# usermod --help
# 添加用户darker
[root@localhost ~]# useradd darker
# 查看darker用户的信息
[root@localhost ~]# grep 'darker' /etc/passwd
darker:x:1000:1000::/home/darker:/bin/bash
# 修改darker用户的UID
[root@localhost ~]# usermod -u 2000 darker
# 修改darker用户为不允许登录
[root@localhost ~]# usermod -s /sbin/nologin darker
# 补充,-G在没有-a的情况下代表覆盖原有组
# 把用户darker添加到组group1和group2
[root@localhost ~]# usermod -G group1,group2 darker
# 把用户darker添加到组group3和group4中,此时group3,group4会覆盖掉之前添加的group1,group2
[root@localhost ~]# usermod -G group3,group4 darker
密码锁定、解锁
# 创建用户ben
[root@localhost ~]# useradd ben
# 设置用户ben的密码
[root@localhost ~]# passwd ben
Changing password for user ben.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
# 查看用户ben的信息
[root@localhost ~]# grep 'ben' /etc/shadow
ben:$6$vjGsM8pS$pjrazHjiagz7oK8vpwzi53nAdg7DaaSlj8fneLxgKeH4wPiAyxJSO58iaRMTuG4LkHuz8Ohak6mR3Z4MYA.8U0:18590:0:99999:7:::
# 锁住用户ben
[root@localhost ~]# usermod -L ben
# 再次查看用户ben的信息(比之前多了1个 ! )
[root@localhost ~]# grep 'ben' /etc/shadow
ben:!$6$vjGsM8pS$pjrazHjiagz7oK8vpwzi53nAdg7DaaSlj8fneLxgKeH4wPiAyxJSO58iaRMTuG4LkHuz8Ohak6mR3Z4MYA.8U0:18590:0:99999:7:::
# 登录测试(已加锁的用户会显示:Permission denied)
PS C:\Users\Darker> ssh ben@192.168.50.101
ben@192.168.50.101's password:
Permission denied, please try again.
# 解锁用户ben
[root@localhost ~]# usermod -U ben
# 再一次查看用户ben的信息
[root@localhost ~]# grep 'ben' /etc/shadow
ben:$6$vjGsM8pS$pjrazHjiagz7oK8vpwzi53nAdg7DaaSlj8fneLxgKeH4wPiAyxJSO58iaRMTuG4LkHuz8Ohak6mR3Z4MYA.8U0:18590:0:99999:7:::
# 登录测试(此时用户ben已解锁,可以正常登录)
PS C:\Users\Darker> ssh ben@192.168.50.101
ben@192.168.50.101's password:
Last failed login: Tue Nov 24 18:09:36 CST 2020 from 192.168.50.1 on ssh:notty
There was 1 failed login attempt since the last successful login.
[ben@localhost ~]$
设置账号过期
# 查看当前时间
[root@localhost ~]# date
Tue Nov 24 18:12:48 CST 2020
# 设置用户ben的过期时间
[root@localhost ~]# usermod -e 2020-11-11 ben
useradd 命令参考的文件
# 设置用户帐号限制的文件
/etc/login.defs
# 可以使用命令 useradd -D查看
/etc/default/useradd
# 用户的初始配置文件
/etc/skel/*
扩展
useradd创建用户时,对于未指定的选项
(-u、-g等等),会以/etc/login.defs
、/etc/default/useradd
两个配置文件中的配置作为参照物
配置文件/etc/login.defs
详解
# 查看配置文件/etc/login.defs
[root@localhost ~]# grep -Ev "^#|^$" /etc/login.defs
MAIL_DIR /var/spool/mail
PASS_MAX_DAYS 99999 # 密码最大有效期
PASS_MIN_DAYS 0 # 两次修改密码的最小间隔时间
PASS_MIN_LEN 5 # 密码最小长度,对于root无效
PASS_WARN_AGE 7 # 密码过期前多少天开始提示
UID_MIN 1000 # 用户ID的最小值
UID_MAX 60000 # 用户ID的最大值
SYS_UID_MIN 201 # 系统用户ID的最小值
SYS_UID_MAX 999 # 系统用户ID的最大值
GID_MIN 1000 # 组ID的最小值
GID_MAX 60000 # 组ID的最大值
SYS_GID_MIN 201 # 系统用户组ID的最小值
SYS_GID_MAX 999 # 系统用户组ID的最大值
CREATE_HOME yes # 使用useradd的时候是可以创建用户家目录
UMASK 077 # 创建家目录时umask的默认控制权限
USERGROUPS_ENAB yes # 删除用户的时候是否同时删除用户组
ENCRYPT_METHOD SHA512 # #密码加密规则
配置文件/etc/default/useradd
详解
# 查看配置文件/etc/default/useradd
[root@localhost ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100 # 依赖于/etc/login.defs的USERGRUUPS_ENAB参数,如果为no,则在此处控制
HOME=/home # #把用户的家目录建在/home中
INACTIVE=-1 # 是否启用账号过期停权,-1表示不启用
EXPIRE= # 账号终止日期,不设置表示不启用
SHELL=/bin/bash # #新用户默认所有的shell类型
SKEL=/etc/skel # 配置新用户家目录的默认文件存放路径
CREATE_MAIL_SPOOL=yes # 创建mail文件
当使用useradd创建用户时,创建的用户家目录下会存在.bash_*
环境变量相关的文件,这些环境变量文件 默认从/etc/skel
目录中拷贝
这个默认拷贝环境变量位置是由/etc/default/useradd
配置文件中定义的
故障案例
在当前用户家目录下执行了rm -rf .*
命令,下次登录系统时出现-bash-4.1$
,如何解决?
-bash-4.1$ cp -a /etc/skel/.bash* ./
-bash-4.1$ exit
[root@localhost ~]# # 重新连接即可恢复
误删家目录的恢复方式
# (终端1)查看家目录下有哪些用户
[root@localhost ~]# ll /home/
total 0
drwx------. 2 ben ben 59 Nov 24 05:30 ben
drwx------. 2 darker darker 59 Nov 24 05:30 darker
# (终端1)删除用户:ben
[root@localhost ~]# rm -rf /home/ben/
# (终端1)设置用户:ben 的密码
[root@localhost ~]# passwd ben
Changing password for user ben.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
# (终端1)在家目录下创建这个用户
[root@localhost ~]# mkdir /home/ben
# (终端2)远程连接
PS C:\Users\Darker> ssh ben@192.168.50.101
ben@192.168.50.101's password:
-bash-4.2$ pwd
/home/ben
-bash-4.2$ exit
logout
Connection to 192.168.50.101 closed.
# (终端1)复制老家的文件到要恢复的用户目录
[root@localhost ~]# cp -a /etc/skel/.bash* /home/ben/
# (终端2)远程连接
PS C:\Users\Darker> ssh ben@192.168.50.101
ben@192.168.50.101's password:
Last login: Feb Nov 24 11:32 2020 from localhost
四:组管理
1.创建组
# 创建基本组(不指定GID)
[root@localhost ~]# groupadd mygroup01
# 查看组信息
[root@localhost ~]# tail -l /etc/group
dbus:x:81:
polkitd:x:995:
dip:x:40:
tss:x:59:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup01:x:1002: # 刚刚创建的组在这里
# 创建基本组(指定GID为7777)
[root@localhost ~]# groupadd -g 7777 mygroup02
# 再次查看组信息
[root@localhost ~]# tail -l /etc/group
polkitd:x:995:
dip:x:40:
tss:x:59:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup01:x:1002:
mygroup02:x:7777: # 刚刚创建的组在这里
# 创建基本组(GID从201-999)
[root@localhost ~]# groupadd -r mygroup03
# 再一次查看组信息
[root@localhost ~]# tail -l /etc/group
dip:x:40:
tss:x:59:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup01:x:1002:
mygroup02:x:7777:
mygroup03:x:994: # 刚刚创建的组在这里
2.修改组
# 修改组:mygroup01的GID为1234
[root@localhost ~]# groupmod -g 1234 mygroup01
# 查看组信息
[root@localhost ~]# tail -l /etc/group
dip:x:40:
tss:x:59:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup01:x:1234:
mygroup02:x:7777:
mygroup03:x:994:
# 修改组:mygroup01的名称为mygroup001
[root@localhost ~]# groupmod -n mygroup001 mygroup01
# 查看组信息
[root@localhost ~]# tail -l /etc/group
dip:x:40:
tss:x:59:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup02:x:7777:
mygroup03:x:994:
mygroup001:x:1234:
3.删除组
如果1个组是1个用户的主组,那么该组不能被删除,删掉用户会默认一起删掉他的主组
# 创建一个用户:eve
[root@localhost ~]# useradd eve
# 创建一个组:human
[root@localhost ~]# groupadd human
# 将用户:eve加入到组:human
[root@localhost ~]# usermod -G human eve
# 查看用户:eve的信息
[root@localhost ~]# id eve
uid=1002(eve) gid=1002(eve) groups=1002(eve),7778(human)
# 附加组可以直接删除
[root@localhost ~]# groupdel human
# 再次查看用户:eve,可以发现:它的附加组不见了
[root@localhost ~]# id eve
uid=1002(eve) gid=1002(eve) groups=1002(eve)
# 无法删除组:eve,因为组:eve属于用户:eve的主组
[root@localhost ~]# groupdel eve
groupdel: cannot remove the primary group of user 'eve'
组成员管理
对于用户来说,组也是分类的
组 | 个数 | 作用 |
---|---|---|
基本组 / 主组 | 有且仅有1个 | 创建时可通过-g指定 如未指定则创建一个默认 的组(与用户同名) |
附加组 | 0个或多个 | 基本组不能满足授权要求,创建附加组 将用户加入该组 就拥有了该组的权限 |
gpasswd
可以将用户添加到组或从组中删除,只针对已存在的用户
[root@localhost ~]# gpasswd -a user07 it # 将某个用户加入到某个组
[root@localhost ~]# gpasswd -M user02,user03,user04 it # 将多个用户加入到it组
[root@localhost ~]# gpasswd -A lhf it # 指定lhf为组it的组长,除了root用户外lhf用户也可以采用第一条命令往it组里添加成员
[root@localhost ~]# grep 'it' /etc/group # 查看it组中的成员
it:x:505:user02,user03,user04
[root@localhost ~]# gpasswd -d user07 it # 删除用户usr07从it组
可以为组设置密码
让一些非组成员的用户通过命令newgrp 组
临时切换到组内并输入密码 的方式获取用户组的权限和特性
# 创建一个组:group101
[root@localhost ~]# groupadd group101
# 给组:group101设置一个密码
[root@localhost ~]# gpasswd group101
Changing the password for group group101
New Password:
Re-enter new password:
# 在临时目录下创建一个文件:1.txt
[root@localhost ~]# touch /tmp/1.txt
# 查看文件:1.txt的详情信息
[root@localhost ~]# ll /tmp/1.txt
-rw-r--r--. 1 root root 0 Nov 24 05:59 /tmp/1.txt
# 设置文件:1.txt的属组为:group101
[root@localhost ~]# chown .group101 /tmp/1.txt
# 查看并执行上一次的命令ll(等同于:ll /tmp/1.txt)
[root@localhost ~]# !ll
ll /tmp/1.txt
-rw-r--r--. 1 root group101 0 Nov 24 05:59 /tmp/1.txt
# 给文件:1.txt所在的组添加w写的权限
[root@localhost ~]# chmod g+w /tmp/1.txt
# 修改组:group101的密码
[root@localhost ~]# gpasswd group101
Changing the password for group group101
New Password:
Re-enter new password:
# 切换到用户:ben,同时切换到新用户的工作环境中
[root@localhost ~]# su - ben
# 此时没有权限
[ben@localhost ~]$ echo 1234 >> /tmp/1.txt
-bash: /tmp/1.txt: 权限不够
# 临时切换到组group1下,拥有其权限
[ben@localhost ~]$ newgrp group101
# 此时拥有权限了,向1.txt中写入内容:1234
[ben@localhost ~]$ echo 1234 >> /tmp/1.txt
# 查看1.txt
[ben@localhost ~]$ cat /tmp/1.txt
1234
chown - 修改属主 属组信息
五:手动创建用户
1.在/etc/passwd
中添加用户
# 用vim打开/etc/passwd
[root@localhost ~]# vim /etc/passwd
# 按i进入:插入模式
i
# 在最后一行输入数据
nancy:x:2020:2020::/home/nancy:/bin/bash
# 退出编辑模式,保存并强制退出
Esc
:wq!
# 查看/etc/passwd的末行信息(默认是10条)
[root@localhost ~]# tail -l /etc/passwd
systemd-network:x:998:996:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:997:995:User for polkitd:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
darker:x:1000:1000::/home/darker:/bin/bash
ben:x:1001:1001::/home/ben:/bin/bash
eve:x:1002:1002::/home/eve:/bin/bash
nancy:x:2020:2020::/home/nancy:/bin/bash # 有这一行,就表示成功插入了数据
2.在/etc/shadow
中设置密码
# 先用openssl生成一个随机密码
[root@localhost ~]# openssl passwd -1 -salt 'Hello World'
Password:
$1$Hello Wo$r0sA58H9bZ8C3Z5VZRiRo1 # 这个就是随机生成的密文的密码
# 用vim打开/etc/shadow
[root@localhost ~]# vim /etc/shadow
# 按i进入:插入模式
i
# 在最后一行输入数据
nancy:$1$Hello Wo$r0sA58H9bZ8C3Z5VZRiRo1:18303::::::
# 退出编辑模式,保存并强制退出
Esc
:wq!
# 查看/etc/shadow的末行信息(默认是10条)
[root@localhost ~]# tail -l /etc/shadow
systemd-network:!!:18584::::::
dbus:!!:18584::::::
polkitd:!!:18584::::::
tss:!!:18584::::::
postfix:!!:18584::::::
sshd:!!:18584::::::
darker:$6$NVQVgbXv$nCaM9zQ72TgC.RrREcvFr95arQdbKmw/idwNlSqzNamE31djv3IqqronbKOxwNN8UrtVSjeAd6/9ISqtYtGtp.:18590:0:99999:7:::
ben:$6$oeDpPj5s$d8pHt3I2uIvKkDiaQCgHVpdJy2dXzbul9I9Cpko5Z80Lbsx5fu4sO5FDzS7BDQamVvw05XkiFDxOmncFajd/S0:18590:0:99999:7:::
eve:!!:18590:0:99999:7:::
nancy:$1$Hello Wo$r0sA58H9bZ8C3Z5VZRiRo1:18303:::::: # 有这一行,就表示成功插入了数据
3.在/etc/group
中添加组
# 用vim打开/etc/group
[root@localhost ~]# vim /etc/group
# 按i进入:插入模式
i
# 在最后一行输入数据
nancy:x:2020:
# 退出编辑模式,保存并强制退出
Esc
:wq!
# 查看/etc/group的末行信息(默认是10条)
[root@localhost ~]# tail -l /etc/group
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup02:x:7777:
mygroup03:x:994:
mygroup001:x:1234:
eve:x:1002:
group101:x:7778:
nancy:x:2020: # 有这一行,就表示成功插入了数据
4.在/etc/gshadow
中添加组的密码
# 用vim打开/etc/gshadow
[root@localhost ~]# vim /etc/gshadow
# 按i进入:插入模式
i
# 在最后一行输入数据
nancy:!::
# 退出编辑模式,保存并强制退出
Esc
:wq!
# 查看/etc/gshadow的末行信息(默认是10条)
[root@localhost ~]# tail -l /etc/gshadow
postfix:!::
sshd:!::
darker:!::
ben:!::
mygroup02:!::
mygroup03:!::
mygroup001:!::
eve:!::
group101:$6$KctoH/FxL$hjcmvdoaTBH36wkb/10.jyBW0tNwDlf4r9w.oVa1fEgPwI6Dzl.VFwg6ERZcQfiP.I9Dij9w3ZCTng5NeFHfu.::
nancy:!:: # 有这一行,就表示成功插入了数据
5.创建用户家目录,并用用户老家的模板/etc/skel/
装修一下,注意权限
# 在家目录中创建用户的目录:nancy
[root@localhost ~]# mkdir /home/nancy
# 将/etc下的skel作为模板,复制到新的用户目录中
[root@localhost ~]# cp -r /etc/skel/.[!.]* /home/nancy/
# 设置该目录的权限:仅创建者拥有所有权限
[root@localhost ~]# chmod 700 /home/nancy/
# 将该用户添加到之前创建的组中(主组)
[root@localhost ~]# chown -R nancy.nancy /home/nancy/
6.在/var/spool/mail/nancy
中创建用户邮箱文件
# 在/var/spool/mail/下创建一个文件,名为:nancy
[root@localhost ~]# touch /var/spool/mail/nancy
# 修改该文件的权限
[root@localhost ~]# chmod 660 !$
chmod 660 /var/spool/mail/nancy
# 修改邮箱的属主/属组
[root@localhost ~]# chown nancy.mail /var/spool/mail/nancy
7.开始测试账号
# 用ssh连接
PS C:\Users\Darker> ssh nancy@192.168.50.101
nancy@192.168.50.101's password:
# 查看当前登录的用户
[nancy@localhost ~]$ whoami
nancy
扩展知识
堡垒机
什么是堡垒机?
堡垒机 又名“跳板机(Jump Server)”
可作为跳板批量操作远程设备的网络设备,是系统管理员或运维人员常用的操作平台之一
堡垒机的特点
- 可以动态地获取密码
- 可以记录各种操作(申请了账号,登录跳板机执行了某些命令等)
- 以录像的性是记录操作:X登录了XXX,进行了XXX操作