Liunx学习总结(三)--用户和用户组管理

用户和组的基本概念

用户和组是操作系统中一种身份认证资源。

每个用户都有用户名、用户的唯一编号 uid(user id)、所属组及其默认的 shell,可能还有密码、家目录、附属组、注释信息等。

每个组也有自己的名称、组唯一编号 gid(group id)。一般来说,gid 和 uid 是可以不相同的,但基本上约定俗成绝大多数都会让它们保持一致。

组分为主组 (primary group) 和辅助组 (secondary group) 两种,用户一定会属于某个主组,也可以同时加入多个辅助组。

用户组分类

* 系统管理员

具有使用系统所有权限的用户,其 UID 为 0,默认名称为 root。因为 uid 默认具有唯一性,所以超级管理员默认只能有一个(如何添加额外的超级管理员,见下文)。

* 普通用户

即一般用户,其使用系统的权限受限,默认只能执行 /bin、/usr/bin、/usr/local/bin 和自己目录下的命令。尽管普通用户权限受到限制,但是它对自己目录下的文件是有所有权限的。其 UID 为500-60000之间。

* 系统用户

保障系统运行的用户,一般不提供密码登录系统,其 UID 为1-499之间。

相关配置文件

1) /etc/passwd

/etc/passwd 文件存放系统用户配置,记录用户的基本属性,对所有用户来说都是可读的。每一行记录对应一个用户,属性以冒号间隔,格式如下:

用户名:口令:用户标识号:组标识号:注释性描述:主目录:默认shell

实例:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

注:

  • 第二列默认都为 x 。在以前老版本的系统上,第二列是存放用户密码的,但是密码和用户信息放在一起不便于管理(密钥要保证其特殊属性),所以后来将密码单独放在另一个文件/etc/shadow中,这里就都写成 x 了。
  • 用户的默认 shell 表示的是用户登录(如果允许登录)时的环境或执行的命令。例如 shell 为 /bin/bash 时,表示登录时就执行 /bin/bash 命令进入bash环境;shell为/sbin/nologin 表示该用户不能登录,之所以不能登录不是因为指定了这个特殊的程序,而是由/sbin/nologin这个程序的功能实现的,假如修改Linux的源代码,将/sbin/nologin这个程序变成可登录,那么shell为/sbin/nologin时也是可以登录的。

2) /etc/shadow

/etc/shadow 文件存放用户密码信息。该文件具有特殊属性,除了超级管理员,任何人都不能直接读取和修改该文件,而用户自身之所以能修改密码,则是因为该文件的suid属性,使得修改密码时临时提升为root权限。

文件类似于 passwd,也是每一行记录代表一个用户,格式如下:

实例:

root:$1$isNMgfFT$Xs7zD53r4EWLSPpxw5lhz0:17742:0:99999:7:::
bin:*:17110:0:99999:7:::
    1. 用户名
    1. 加密后的密码
  • 3)上次更改密码时间距 1970 年 1 月 1 日的天数。
  • 4)密码更改后,不可以更改的天数。
  • 5)密码更改后,必须再次更改的天数(即密码的有效期)。
  • 6)密码过期之前提前多少天提醒用户(在正确登录时)。
  • 7)密码过期之后多少天帐户过期(在正确登录时)。
  • 8)帐户过期时间(自 1970-1-1 到该天经过了多少天来表示)。
  • 9)保留字段。

注:第二列还有其他含义:

  • 该列留空,即"::",表示该用户没有密码。
  • 该列为"!",即":!:",表示该用户被锁,被锁将无法登陆,但是可能其他的登录方式是不受限制的,如ssh key的方式,su的方式。
  • 该列为"",即"::",也表示该用户被锁,和"!"效果是一样的。
  • 该列以"!"或"!!"开头,则也表示该用户被锁。
  • 该列为"!!",即":!!:",表示该用户从来没设置过密码。
  • 如果格式为"\(id\)salt\(hashed",则表示该用户密码正常。其中\)id$的id表示密码的加密算法,\(1\)表示使用MD5算法,\(2a\)表示使用Blowfish算法,"\(2y\)"是另一算法长度的Blowfish,"\(5\)"表示SHA-256算法,而"\(6\)"表示SHA-512算法,可见上面的结果中都是使用sha-512算法的。\(5\)\(6\)这两种算法的破解难度远高于MD5。\(salt\)是加密时使用的salt,$hashed才是真正的密码部分。

3) /etc/group

/etc/group 文件是用户组群的主要配置文件,内容包括用户组群的名称、GID等信息,并且能显示出用户是归属于哪一个或者哪几个组群。每一行表示一个组群账户的信息,每一行有4段,每段之间用“:”分隔开:

groupname :passwd : GID : userlist
  • groupname:组名
  • passwd:密码位,统一表示为“x”
  • GID:
    * CentOS6 为系统组预留1-499;可以通过/etc/login.defs文件查看GID的最大和最小值
    * CentOS7 为系统组预留1-999;可以通过/etc/login.defs文件查看GID的最大和最小值
  • 以当前组为附加组的用户列表(分隔符为逗号):
    * 当成员先把该组当作辅助组,再转成主要组时,用户列表不改变。
    * 当成员离开该组时,用户列表被删除。

4) /etc/gshadow

/etc/gshadow 是 /etc/group 的加密文件,用户组群的管理密码就存放在这个文件中。 /etc/gshadow 文件中每一行记录一个用户组群信息,每一行有4段,每段之间用“:”分隔开。文件格式如下:

  • groupname:组名
  • 密码位
  • 组管理员列表:
    * 只能由root任命或撤销,可以同时有多名,以,为间隔;
    * 权利:可以修改组密码,可以将用户从该组(辅助组)当中添加或删除。
  • 以当前组作为附加组的成员列表(以逗号为分隔符):
    * 当成员先把该组当作附加组,再转成主要组时,成员列表不改变;
    * 当成员离开该组时,成员列表被删除。

5) /etc/skel/*

/etc/skel/* 该目录下的所有文件都是隐藏文件,用来存放新用户配置文件的目录,当新用户被创建时,该目录下的文件会被自动地复制到新用户的家目录下。通过修改、添加、删除/etc/skel目录下的文件,可为新创建的用户提供统一的、标准的、初始化用户环境。若用户家目录下的配置文件发生故障时,将/etc/skel目录下相应的文件复制到用户家目录下即可。

6)/etc/login.defs

用来定义创建一个用户时的默认设置,比如创建邮箱、分配权限、指定用户的 UID 和 GID 的范围,用户的过期时间、是否需要创建用户主目录等等。

7)/etc/default/useradd

创建用户时的默认配置。useradd -D 修改的就是此文件。

# useradd defaults file
GROUP=100       # 在useradd使用-N或/etc/login.defs中USERGROUPS_ENAB=no时表示创建用户时不创建同用户名的主组(primary group),
                # 此时新建的用户将默认以此组为主组,网上关于该设置的很多说明都是错的,具体可看man useradd的-g选项或useradd -D的-g选项
HOME=/home      # 把用户的家目录建在/home中
INACTIVE=-1     # 是否启用帐号过期设置(是帐号过期不是密码过期),-1表示不启用
EXPIRE=         # 帐号过期时间,不设置表示不启用
SHELL=/bin/bash # 新建用户默认的shell类型
SKEL=/etc/skel  # 指定骨架目录,前文的/etc/skel就在这里
CREATE_MAIL_SPOOL=yes  # 是否创建用户mail缓冲

用户管理命令

1) 新建用户账号

语法格式
useradd 选项 用户名

选项:

-c comment 指定一段注释性描述。
-d 目录 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。
-g 用户组 指定用户所属的用户组。
-G 用户组,用户组 指定用户所属的附加组。
-s Shell文件 指定用户的登录Shell。
-u 用户号 指定用户的用户号,如果同时有-o选项,则可以重复使用其他用户的标识号。

用户名:

指定新账号的登录名。
实例
useradd -d /usr/marklogzhu -m marklogzhu

此命令创建了一个用户 marklogzhu ,其中-d和-m选项用来为登录名marklogzhu产生一个主目录/usr/marklogzhu(/usr为默认的用户主目录所在的父目录)。

2) 修改用户账号

语法格式
usermod 选项 用户名

选项:

常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等,这些选项的意义与useradd命令中的选项一样,可以为用户指定新的资源值。另外,有些系统可以使用选项:-l 新用户名,这个选项指定一个新的账号,即将原来的用户名改为新的用户名。
实例
 usermod  -l  新用户名  -d  /usr/新用户名  -m  老用户名

3) 删除用户账号

语法格式
userdel 选项 用户名

常用的选项是 -r,它的作用是把用户的主目录一起删除。

实例
userdel -r newmarklogzhu

4) 用户口令

用户账号刚创建时没有口令,但是被系统锁定,无法使用,必须为其指定口令后才可以使用,即使是指定空口令。

指定和修改用户口令的Shell命令是passwd。超级用户可以为自己和其他用户指定口令,普通用户只能用它修改自己的口令。命令的格式为:

passwd 选项 用户名

选项:

-l 锁定口令,即禁用账号。
-u 口令解锁。
-d 使账号无口令。
-f 强迫用户下次登录时修改口令。
实例

实例1:指定自己的口令

[root@VM_0_15_centos usr]# passwd
Changing password for user root.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

实例2:超级管理员指定其他用户的口令

[root@VM_0_15_centos usr]# passwd marklogzhu
Changing password for user marklogzhu.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

用户组管理命令

每个用户都有一个用户组,系统可以对一个用户组中的所有用户进行集中管理。不同Linux 系统对用户组的规定有所不同,如Linux下的用户属于与它同名的用户组,这个用户组在创建用户时同时创建。

用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。

1) 新增用户组

语法格式
groupadd 选项 用户组

选项:

-g GID 指定新用户组的组标识号(GID)。
-o 一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。
实例
 groupadd group1

新增加一个用户组 group1,新组的组标识号是在当前已有的最大组标识号的基础上加1。

2)删除用户组

语法格式
groupdel 用户组
实例
groupdel group1

3)修改用户组

语法格式
groupmod 选项 用户组

选项:

-g GID 为用户组指定新的组标识号。
-o 与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。
-n 新用户组 将用户组的名字改为新名字
实例

将组group2的标识号改为10000,组名修改为group3。

 groupmod –g 10000 -n group3 group2

4) 切换用户组

一个用户可以同时属于多个用户组,用户可以在用户组之间切换,以便具有其他用户组的权限。

语法格式
newgrp  用户组
实例

切换当前用户到 root 组。

newgrp root

常用命令

1) 显示当前登陆用户

users

2) id

id 选项 用户名

选项:

-u:得到uid
-n:得到用户名而不是uid
-z:无任何空白字符输出模式,不能在默认的格式下使用。

3) 查看最近登陆用户

last 选项

选项:

-n:显示记录数

其实查看的是 /var/log/wtmp 文件。

4) 查看登陆失败用户

lastb 选项

选项:

-n:显示记录数

5) 切换用户或以指定用户运行命令

语法格式
su(选项) 要切换身份的用户

选项:

-c<指令>或--command=<指令>:执行完指定的指令后,即恢复原来的身份;
-f或——fast:适用于csh与tsch,使shell不用去读取启动文件;
-l或——login:改变身份时,也同时变更工作目录,以及HOME,SHELL,USER,logname。此外,也会变更PATH变量;
-m,-p或--preserve-environment:变更身份时,不要变更环境变量;
-s<shell>或--shell=<shell>:指定要执行的shell;
--help:显示帮助;
--version;显示版本信息。
实例

变更帐号为 root 并在执行 ls 指令后退出,变回原使用者。

su -c ls root

6) 提权操作

有时候需要root 权限,但是又不想将 root 账号告知,面对这种场景就可以使用提权操作,以其他人的身份执行。

语法格式
sudo (选项) (参数)

选项:

-b:在后台执行指令;
-h:显示帮助;
-H:将HOME环境变量设为新身份的HOME环境变量;
-k:结束密码的有效期限,也就是下次再执行sudo时便需要输入密码;。
-l:列出目前用户可执行与无法执行的指令;
-p:改变询问密码的提示符号;
-s<shell>:执行指定的shell;
-u<用户>:以指定的用户作为新的身份。若不加上此参数,则预设以root作为新的身份;
-v:延长密码有效期限5分钟;
-V :显示版本信息。

参数:

指令:需要运行的指令和对应的参数。

配置 sudo 必须通过编辑 /etc/sudoers 文件,而且只有超级用户才可以修改它,还必须使用 visudo 编辑。之所以使用 visudo 有两个原因,一是它能够防止两个用户同时修改它;二是它也能进行有限的语法检查。所以,即使只有你一个超级用户,你也最好用 visudo 来检查一下语法。

实例

增加 marklogzhu 账号 sudo 权限

1)进入 sudoers 文件: vim /etc/sudoers
2)找到 root ALL=(ALL) ALL ,在下面新增 marklogzhu ALL=(ALL) ALL

我们知道 etc/shadow 文件是只有管理员可以查看的,我们试下没有提权时能否查看:

[marklogzhu@VM_0_15_centos /]$ cat etc/shadow
cat: etc/shadow: Permission denied

提示没有权限,我们试下提权:

[marklogzhu@VM_0_15_centos /]$ sudo !!
sudo cat etc/shadow

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for marklogzhu: 
root:$1$L0j6SBPg$39oiYVrzXev1FXOWqQAqm/:17758:0:99999:7:::
bin:*:17110:0:99999:7:::

发现可以查看数据了!
注:!! 表示重复上一条命令

posted @ 2019-08-23 11:13  MarkLogZhu  阅读(1235)  评论(0编辑  收藏  举报