Linux下新增用户、指定用户组、家目录、获取sudo权限

CentoOS关于用户的操作

1 系统环境

//系统环境
# cat /etc/redhat-release 
CentOS Linux release 7.5.1804 (Core)
# uname -r
3.10.0-862.el7.x86_64
//SELinux 设置
# setenforce 0
# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
//校准时间的定时任务
# crontab -l
01 */3 * * * /usr/sbin/ntpdate time1.aliyun.com && clock -w

2  useradd命令的man信息

//useradd命令的man信息
useradd - 创建一个新用户或更新默认新用户信息
useradd [选项] 登录
useradd -D
useradd -D [选项]

如果使用时不带 -D 选项,useradd 命令使用命令行上指定的值和系统的默认值创建一个新用户。根据命令行选项,useradd
命令也会更新系统文件和创建新用户的主目录并复制初始文件。
默认上,也会为用户创建组 (察看 -g, -N, -U,和 USERGROUPS_ENAB)。
useradd 可以使用的选项有:

-b, --base-dirBASE_DIR
    The default base directory for the system if -dHOME_DIR is not specified.  BASE_DIR is concatenated with
    the account name to define the home directory. The BASE_DIR must exist otherwise the home directory cannot
    be created.

    如果选项没有指定,useradd 将使用 /etc/default/useradd 中的 HOME 变量,或者默认的 /home。

-c, --commentCOMMENT
    任何字符串。通常是关于登录的简短描述,当前用于用户全名。

-d, --home-dir HOME_DIR
    The new user will be created using HOME_DIR as the value for the user's login directory. The default is to
    append the LOGIN name to BASE_DIR and use that as the login directory name.

-D, --defaults
    看下边,“更改默认值”子节。

-e, --expiredateEXPIRE_DATE
    用户账户将被禁用的日期。日期以 YYYY-MM-DD 格式指定。

    如果没有指定,useradd 将使用 /etc/default/useradd 中 EXPIRE
    变量指定的默认过期日期,或者一个空字符串(不过期)。

-f, --inactiveINACTIVE
    密码过期后,账户被彻底禁用之前的天数。0 表示立即禁用,-1 表示禁用这个功能。

    如果未指定,useradd 将使用 /etc/default/useradd 中的 INACTIVE 指定的默认禁用周期,或者默认为 -1-g, --gidGROUP
    用户初始登陆组的组名或号码。组名必须已经存在。组号码必须指代已经存在的组。

    如果没有指定, useradd 的行为将依赖于 /etc/login.defs 文件中的 USERGROUPS_ENAB 参数。如果此参数设置为了
    yes (或者在命令行上指定了 -U/--user-group),将会为用户创建一个组,组名和登录名相同。如果选项设置为了 no
    (或者在命令行上指定了 -N/--no-user-group),useradd 会把新用户的主组设置为 /etc/default/useradd 中 GROUP
    变量指定的值,再或者默认是 100-G, --groupsGROUP1[,GROUP2,...[,GROUPN]]]
    用户还属于的附加组列表。每个组都用逗号隔开,没有中间的空格。这里的组受到了 -g
    选项给定的组同样的限制。默认上,用户只属于初始组。

-h, --help
    现实帮助信息并退出。

-k, --skelSKEL_DIR
    骨架目录,包含使用 useradd 创建用户时,要复制到用户主目录中的文件和目录。

    这个选项只有在指定 -m (或 --create-home) 选项时才有效。

    如果此项没有设置,骨架目录使用 /etc/default/useradd 中的 SKEL 的变量或默认为 /etc/skel。

    如果可以,也复制 ACL 和扩展属性。

-K, --keyKEY=VALUE
    默认覆盖 /etc/login.defs (UID_MIN, UID_MAX, UMASK, PASS_MAX_DAYS 及其它)。 例如:-K PASS_MAX_DAYS=-1
    可以用于创建一个密码不会过期的系统账户,即使系统账户没有密码。可以指定多个 -K 选项,如:-K UID_MIN=100-K
    UID_MAX=499

-l, --no-log-init
    不要将用户添加到最近登录和登录失败数据库。

    默认上,最近登录和登录失败中用户的条目会被重置,以避免重新使用先前删除的用户的条目。

-m, --create-home
    如果不存在,则创建用户主目录。骨架目录中的文件和目录(可以使用 -k 选项指定),将会复制到主目录。

    默认上,如果没有指定此选项并且 CREATE_HOME 没有启用,不会创建主目录。

    The directory where the user's home directory is created must exist and have proper SELinux context and
    permissions. Otherwise the user's home directory cannot be created or accessed.

-M, --no-create-home
    Do not create the user's home directory, even if the system wide setting from /etc/login.defs
    (CREATE_HOME) is set to yes.

-N, --no-user-group
    不要创建同名组,而是将用户添加到 -g 选项指定的组,或根据 /etc/default/useradd 中的 GROUP 变量。

    如果没有指定 -g, -N 和 -U 选项,默认行为由 /etc/login.defs 中的 USERGROUPS_ENAB 变量指定。

-o, --non-unique
    允许使用重复的 UID 创建用户账户。

    此选项只有和 -u 选项组合使用才有效。

-p, --passwordPASSWORD
    加密了的密码,就像 crypt(3) 的返回值。默认为禁用密码。

    注

    您应该确保密码符合系统的密码政策。

-r, --system
    创建一个系统账户。

    System users will be created with no aging information in /etc/shadow, and their numeric identifiers are
    chosen in the SYS_UID_MIN-SYS_UID_MAX range, defined in /etc/login.defs, instead of UID_MIN-UID_MAX (and
    their GID counterparts for the creation of groups).

    注意:useradd 不会为这种用户创建主目录,无论 /etc/login.defs (CREATE_HOME)
    中是的默认设置是怎样。如果想为要创建的系统账户创建主目录,需要指定 -m 选项。

-R, --rootCHROOT_DIR
    Apply changes in the CHROOT_DIR directory and use the configuration files from the CHROOT_DIR directory.

-s, --shellSHELL
    用户的登录 shell 名。默认为留空,让系统根据 /etc/default/useradd 中的 SHELL 变量选择默认的登录
    shell,默认为空字符串。

-u, --uidUID
    用户 ID 的数字值。此值必须为唯一的,除非使用了 -o 选项。此值必须非负,默认使用大于等于
    UID_MIN,且大于任何其他用户 ID 最小值。

    请参考 -r 选项和 UID_MAX 的描述。

-U, --user-group
    创建一个和用户同名的组,并将用户添加到组中。

    如果没有指定 -g, -N 和 -U 选项,默认行为由 /etc/login.defs 中的 USERGROUPS_ENAB 变量指定。

-Z, --selinux-userSEUSER
    用户登陆的 SELinux 用户。默认为留空,这会造成系统选择默认的 SELinux 用户。


只带 -D 选项使用时,useradd 将显示当前的默认值。-D 和其它选项配合使用时,useradd
将为指定的选项更新默认值。有效的“更改默认值”选项有:

-b, --base-dirBASE_DIR
    新用户主目录的路径前缀。如果创建新账户时,没有使用 -d 选项,用户的名称将会缀在 BASE_DIR
    的后边形成新用户的主目录名。

    这个选择在 /etc/default/useradd 中设置 HOME 选项。

-e, --expiredateEXPIRE_DATE
    禁用此用户账户的日期。

    此选项在 /etc/default/useradd 中设置 EXPIRE 变量。

-f, --inactiveINACTIVE
    密码过期到账户被禁用之前的天数。

    这个选项在 /etc/default/useradd 中设置 INACTIVE 变量。

-g, --gidGROUP
    新用户初始组的组名或 ID (使用了 -N/--no-user-group 或者 /etc/login.defs 中的变量 USERGROUPS_ENAB 设置为 no
    时)。给出的组必须存在,并且数字组 ID 必须有一个已经存在的项。

    这个选项在 /etc/default/useradd 中设置 GROUP 变量。

-s, --shellSHELL
    新用户的登录 shell 名。

    这个选项在 /etc/default/useradd 设置 SHELL 变量。


系统管理员负责将默认的用户文件放在 /etc/skel/ 目录中(或者命令行上、/etc/default/useradd中指定的任何其它目录)。

CAVEATS
您可能不能想 NIS 组或 LDAP 组添加用户。这只能在相应服务器上进行。

相似地,如果用户名已经存在于外部用户数据库中,比如 NIS 或 LDAP,useradd 将拒绝创建用户账户的请求。

用户名不能超过 32 个字符长。


在 /etc/login.defs 中有如下配置变量,可以用来更改此工具的行为:

CREATE_HOME (boolean)
    指示是否应该为新用户默认创建主目录。

    此设置并不应用到系统用户,并且可以使用命令行覆盖。

GID_MAX (number), GID_MIN (number)
    useradd,groupadd 或 newusers 创建的常规组的组 ID 的范围。

    GID_MIN 和 GID_MAX 的默认值分别是 1000 和 60000。

MAIL_DIR (string)
    邮箱目录。修改或删除用户账户时需要处理邮箱,如果没有指定,将使用编译时指定的默认值。

MAIL_FILE (string)
    定义用户邮箱文件的位置(相对于主目录)。

MAIL_DIR and MAIL_FILE 变量由 useradd,usermod 和 userdel 用于创建、移动或删除用户邮箱。

如果 MAIL_CHECK_ENAB 设置为 yes,它们也被用于定义 MAIL 环境变量。

MAX_MEMBERS_PER_GROUP (number)
    每个组条目的最大成员数。达到最大值时,在 /etc/group 开始一个新条目(行)(使用同样的名称,同样的密码,同样的
    GID)。

    默认值是 0,意味着组中的成员数没有限制。

    此功能(分割组)允许限制组文件中的行长度。这对于确保 NIS 组的行比长于 1024 字符。

    如果要强制这个限制,可以使用 25。

    注意:分割组可能不受所有工具的支持(甚至在 Shadow 工具集中)。您不应该使用这个变量,除非真的需要。

PASS_MAX_DAYS (number)
    一个密码可以使用的最大天数。如果密码比这旧,将会强迫更改密码。如果不指定,就假定为 -1,这会禁用这个限制。

PASS_MIN_DAYS (number)
    两次更改密码时间的最小间隔。将会拒绝任何早于此的更改密码的尝试。如果不指定,假定为 -1,将会禁用这个限制。

PASS_WARN_AGE (number)
    密码过期之前给出警告的天数。0 表示只有只在过期的当天警告,负值表示不警告。如果没有指定,不会给警告。

SYS_GID_MAX (number), SYS_GID_MIN (number)
    useradd、groupadd 或 newusers 创建的系统组的组 ID 的范围。

    SYS_GID_MIN 和 SYS_GID_MAX 的默认值分别是 101 和 GID_MIN-1。

SYS_UID_MAX (number), SYS_UID_MIN (number)
    useradd 或 newusers 创建的系统用户的用户 ID 的范围。

    SYS_UID_MIN 和 SYS_UID_MAX 的默认值分别是 101 和 UID_MIN-1。

UID_MAX (number), UID_MIN (number)
    useradd 或 newusers 创建的普通用户的用户 ID 的范围。

    UID_MIN 和 UID_MAX 的默认值分别是 1000 和 60000。

UMASK (number)
    文件模式创建掩码初始化为此值。如果没有指定,掩码初始化为 022。

    useradd 和 newusers 使用此掩码设置它们创建的用户主目录的模式。

    也被 login 用于指定用户的初始 umask。注意,此掩码可以被用户的 GECOS 行覆盖(当设置了 QUOTAS_ENAB
    时),也可以被带 K 指示符的 limits(5) 定义的限制值覆盖。

USERGROUPS_ENAB (boolean)
    如果 uid 和 gid 相同,用户名和主用户名也相同,使非 root 组的组掩码位和属主位相同 (如:022 -> 002, 077 ->
    007)。

    如果设置为 yes,如果组中没有成员了,userdel 将移除此用户组,useradd 创建用户时,也会创建一个同名的默认组。

/etc/passwd
    用户账户信息。

/etc/shadow
    安全用户账户信息。

/etc/group
    组账户信息。

/etc/gshadow
    安全组账户信息。

/etc/default/useradd
    账户创建的默认值。

/etc/skel/
    包含默认文件的目录。

/etc/login.defs
    Shadow 密码套件配置。


useradd 可以返回如下值:

0
    成功

1
    无法更新密码文件

2
    无效的命令语法

3
    给了选项一个无效的参数

4
    UID 已经使用 (且没有 -o)

6
    指定的组不存在

9
    用户名已被使用

10
    无法更新组文件

12
    无法创建主目录

14
    can't update SELinux user mapping
 

3 新增用户赋予root权限

//新增用户testuser赋予root权限 
//方法一: 修改 /etc/sudoers 文件,找到下面一行,把前面的注释(#)去掉
## Allows people in group wheel to run all commands
%wheel    ALL=(ALL)    ALL
//然后修改用户,使其从属于root组(wheel),命令如下:
#usermod -g root testuser
//修改完毕,现在可以用testuser帐号登录,然后用命令 su - ,即可获得root权限进行操作。

//方法二(推荐使用): 修改 /etc/sudoers 文件,找到下面一行,在root下面添加一行,如下所示:
## Allow root to run any commands anywhere
root    ALL=(ALL)     ALL
testuser   ALL=(ALL)     ALL
//修改完毕,现在可以用testuser帐号登录,然后用命令 su - ,即可获得root权限进行操作。

//方法三: 修改 /etc/passwd 文件,找到如下行,把UID修改为 0 ,如下所示:
testuser:x:500:500:testuser:/home/user/testuser:/bin/bash
//修改后如下
testuser:x:0:500:testuser:/home/user/testuser:/bin/bash
//保存,用testuser账户登录后,直接获取的就是root帐号的权限。

4 获取sudo权限

//创建admin用户并获取sudo权限
//创建用户属组
# groupadd operation
//查看验证
# tail -n 5 /etc/group
//创建用户admin 指定组 operation 指定附加组 root 指定家目录
# useradd -g operation -G root -d /home/user/admin admin
//修改admin目录权限
# chmod -R 766 /home/user/admin
//修改admin用户密码
# passwd admin
//修改 /etc/sudoers 文件,找到下面一行,在root下面添加一行,强制保存退出,如下所示:
## Allow root to run any commands anywhere
root    ALL=(ALL)     ALL
admin    ALL=(ALL)    ALL

//admin用户如需修改没有权限的文件需要在命令前添加sudo,如
$ sudo touch text.txt

参考: https://blog.csdn.net/qq_35590198/article/details/80730885
posted @ 2019-12-20 08:33  cknds  阅读(4263)  评论(0编辑  收藏  举报