Linux - 权限管理(用户)
一:Linux用户介绍
1.什么是用户?
用户对硬件资源的操作都需要通过操作系统,比如用户要读取硬盘中的一份关键数据
出于安全考虑,操作系统的开发者们都专门开发了安全机制,要使用操作系统必须事先输入正确的用户名与密 码
这便是用户的由来
2.为何要创建用户?
主要是因为权限问题
- 系统上的每一个进程,都需要一个特定的用户运行,一个用户拥有特定的权限,该用户运行的进程与用户权限一致
- 通常在公司是使用普通用户管理服务器,因为root权限过大,容易出问题
3.如何查看用户相关信息?
# 查看当前用户
[root@localhost ~]# id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
# 查看当前用户是谁
[root@localhost ~]# whoami
root
# 查看darker用户
[root@localhost ~]# id darker
# 查看所有登录的用户
[root@localhost ~]# who
root pts/0 2020-11-24 15:38 (192.168.50.1)
# 每一个进程都有其用户
[root@localhost ~]# ps aux | grep [s]sh
root 1103 0.0 0.3 83040 3656 ? Ss 15:38 0:00 /usr/sbin/sshd -D
root 2242 0.0 0.5 141268 5296 ? Ss 15:38 0:00 sshd: root@pts/0
4.Linux系统中用户角色划分
在Linux系统中的用户分为管理员用户与其他用户
- 管理员用户拥有最高权限
- 其他用户根据管理员的分配拥有不同的权限
对于
Linux系统来说,用户的角色是通过UID和GID识别的用户系统帐号的名称(如darker)其实给人(管理员)看的
Linux系统能够识别的仅仅是UID和GID这样的数字
UID 与 GID
- UID (User Identify)用户ID
唯一标识一个系统用户的帐号,uid在系统中是唯一的
uid相当于一个人的身份证,用户名就相当于这个人的名字
- GID (Group Identify)组ID
如果把一个操作系统当成一家公司,uid相当于这个人的员工号,gid相当于他的部门编号
Centos7系统之前约定
| UID | 角色 | 备注 |
|---|---|---|
| 0 | 超级用户 具备超级用户权限的用户创建的用户 |
|
| 1 - 499 | 系统虚拟用户 | UID范围1-499,存在满足文件或服务启动的需要 一般不能登录,只是傀儡 |
| 500 - 65535 | 普通用户 |
Centos7系统约定
| UID | 角色 | 备注 |
|---|---|---|
| 0 | 超级管理员 | 最高权限,有着极强的破坏能力 |
| 1 - 200 | 系统用户 | 用来运行系统自带的进程,默认已创建 |
| 201 - 999 | 系统用户 | 用来运行安装的程序,所以此类用户无需登录系统 |
| 1000+ | 普通用户 | 正常可以登录系统的用户,权限比较小,能执行的任务有限 |
用户和组的关系
- 一对一
- 一对多
- 多对一
- 多对多
5.超级用户
默认是root用户,其UID和GID均为0
root用户在每台Unix/Linux操作系统中都是唯一且真实存在的
通过它可以登录系统,可以操作系统中任何文件和命令,拥有最高的管理权限
举个例子
| 对象 | 相当于 |
|---|---|
| 操作系统 | 1个国家 |
| root用户 | 国王 |
| root用户的家目录 | 皇宫 |
注意点
-
在生产环境中,一般会禁止root帐号通过SSH远程连接服务器(保护好皇帝),当然,也会更改默认 的SSH端口(保护好皇宫),以加强系统安全。
-
企业工作中:没有特殊需求,应该尽量不要登录root用户进行操作,应该在普通用户下操作任务,然后 用sudo管理普通用户的权限,可以细到每个命令权限分配。
-
在Linux系统中,uid为0的用户就是超级用户。但是通常不这么做,如果确实有必要在某一操作上用到 管理的权限的话,那就用sudo单独授权,也不要直接用uid为0的用户
6.扩展
Linux与Windows
- Linux/Unix是一个
多用户、多任务的操作系统 - Windows是一个
单用户、多任务操作系统
多用户不是说可以创建多个用户,而是指一次可以登录多个用户
多任务指的是可以并发执行多个进程
Linux发展史
Multics -> Unix -> Linux
所以Linux是多用户的,天然支持多个连机终端,连机终端在没有互联网的情况下是有意义的
多个人可以用不同的连机终端连到一台机器/服务器上使用,而有了互联网之后
多个人可通过网络访问服务器,这个时候多用户or单用户的概念就不再那么重要
二:用户 与 组 相关文件
和用户、组相关的文件
/etc/passwd
[root@localhost ~]# head -1 /etc/passwd
root:x:0:0:root:/root:/bin/bash
以:为分隔符号,分成7部分
| 组成 | 内容 | 释义 |
|---|---|---|
| 第1部分 | root | 用户名/登录名 |
| 第2部分 | x | 口令,x表示密码占位符 其实密码已经被映射到 /etc/shadow文件中 |
| 第3部分 | 0 | UID |
| 第4部分 | 0 | GID |
| 第5部分 | root | 描述信息(可选) |
| 第6部分 | /root | 用户的家目录所在的位置 |
| 第7部分 | /bin/bash | 用户所用的shell类型 |
/etc/shadow
[root@localhost ~]# head -1 /etc/shadow
root:$6$Jvw3z/jmU1ASO4P1$vpTJ5OGEtfBOmIpjyK55k87iQPHXCC3.kKOFW9jkyslqC2DMdN7SZdT/zYRfmQ4hBAQXG6CQ4kKdRQ8eFqChf.::0:99999:7:::
以:为分隔符号,分成9部分
| 组成 | 内容 | 释义 |
|---|---|---|
| 第1部分 | root | 用户名/登录名 |
| 第2部分 | $6$Jvw3z/j... | 密码的匿文,!!表示没有密码 |
| 第3部分 | 最近一次变更密码:距离1970年1月1日过去了几天 | |
| 第4部分 | 0 | 密码最短使用天数:0表示无限制 |
| 第5部分 | 99999 | 密码最长使用天数:99999表示无限制 |
| 第6部分 | 7 | 密码过期预警天数 |
| 第7部分 | 密码过期的宽恕时间: 密码过期后如果没有修改密码,用户还可以使用的天数 |
|
| 第8部分 | 账号失效日期:过了这个日期,该账号就无法使用了 | |
| 第9部分 | 保留字段,未被使用(便于后期的功能添加) |
各部分详解
- 第1部分
用户名(也被称为登录名)
在/etc/shadow中,用户名和/etc/passwd 是相同的
这样就把passwd和shadow中用的用户记录联系在一起
这个字段是非空的
- 第2部分
密码(已被加密)
如果有些用户在这段是x,表示这个用户不能登录到系统
这个字段是非空的
- 第3部分
上次修改口令的时间
这个时间是从1970年1 月1日算起到最近一次修改口令的时间间隔(天数)
可以通过passwd来修改用户的密码,然后查看/etc/shadow中此字段的变化
- 第4部分
两次修改口令间隔最少的天数
如果设置为0:则 禁用此功能,也就是说用户必须经过多少天才能修改其口 令
默认值是通 过/etc/login.defs文件定义中获取,PASS_MIN_DAYS 中有定义
- 第5部分
两次修改口令间隔最多的天数
这个能增强管理员管理用户口令的时效性,应该说在增强了系统的安全性
如果是系统默认值,是在添加用户时由/etc/login.defs 文件定义中获取,PASS_MAX_DAYS中定义
- 第6部分
提前多少天警告用户口令将过期
当用户登录系统后,系统登录程序提醒用户口令将要作废
如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_WARN_AGE中定义
- 第7部分
在口令过期之后多少天禁用此用户
此字段表示 用户口令作废多少天后,系统会禁用此用户
也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用
- 第8部分
用户过期日期
此字段指定了用户作废的天数(从1970年的1月1日开始的天数)
如果这个字段的值为空,帐号永久可用
- 第9部分
保留字段
目前为空,以备将来Linux发展之用
/etc/group
[root@localhost ~]# head -1 /etc/group
root:x:0:
| 组成 | 内容 | 释义 |
|---|---|---|
| 第1部分 | root | 用户组的名称 |
| 第2部分 | x | 用户组的密码占位符 |
| 第3部分 | 0 | 用户组的id(也就是GID) |
| 第4部分 | 显示该用户组作为哪个用户附加组,用,隔开 |
/etc/gshadow
[root@localhost ~]# head -1 /etc/gshadow
root:::
| 组成 | 内容 | 释义 |
|---|---|---|
| 第1部分 | root | 用户组的名称 |
| 第2部分 | 用户组密码,该字段可以为空或!表示没有密码 |
|
| 第3部分 | 用户组管理者,该字段可以为空如果有多个用户组管理者,用 ,隔开 |
|
| 第4部分 | 显示该用户组作为哪个用户附加组,用,隔开 |
/etc/skel
用户老家的目录
/home/用户名
普通用户的家目录
/var/spool/mail/用户名
用户的邮箱文件
三:用户管理命令
1.创建用户
# 创建用户:darker
[root@localhost ~]# useradd darker
2.查看用户
# 查看用户:darker
[root@localhost ~]# id darker
uid=1000(darker) gid=1000(darker) groups=1000(darker)
# 查看所有登录的用户信息
[root@localhost ~]# who
# 查看当前登录的用户名
[root@localhost ~]# whoami
# 查看系统内置用户
[root@localhost ~]# vim /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin
systemd-bus-proxy:x:999:997:systemd Bus Proxy:/:/sbin/nologin
systemd-network:x:998:996:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:997:995:User for polkitd:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
darker:x:1000:1000::/home/darker:/bin/bash
注意:当创建一个用户时,如果
没有指定用户的主组,将会创建一个与用户名同名的组作为用户的主组查看系统内置用户时,用户名后面的
x是密码的占位符
3.删除用户
# 删除用户user1,但不删除用户家目录和mail
[root@localhost ~]# userdel user1
# 要想删彻底,加-r选项
[root@localhost ~]# userdel -r user1
4.useradd命令详解:创建用户的同时指定选项
useradd命令的常用选项
| 选项 | 作用 |
|---|---|
| -u | 指定用户的UID |
| -g | 指定用户所属的主群 |
| -G | 指定用户所属的附加群 |
| -d | 指定用户的家目录 |
| -c | 指定用户的备注信息 |
| -s | 指定用户所用的shell |
| -e | 修改过期时间 |
| -M | 不创建家目录 |
| -r | 创建系统账户,uid处于系统用户范围内,默认就没有家目录 不允许登录服务器 |
灵活应用useradd命令的举例
# 在系统中新增一个 turtle 用户
[root@localhost ~]# adduser turtle
# 在系统中新增一个用户user01,属组为police以及uid为600的命令
[root@localhost ~]# useradd –u 600 –g police user01
测试
# 创建用户usr01
[root@localhost ~]# useradd user01
# 创建用户usr02,指定uid
[root@localhost ~]# useradd user02 -u 503
# 创建用户user03 指定家目录
[root@localhost ~]# useradd user03 -d /aaa
# 创建用户user04,不创建家目录
[root@localhost ~]# useradd user04 -M
# 创建用户并指定shell
[root@localhost ~]# useradd user05 -s /sbin/nologin
# 创建用户,指定主组
[root@localhost ~]# useradd user06 -g hr
# 创建用户,指定附加组
[root@localhost ~]# useradd user07 -G sale
# 创建用户,指定过期时间
[root@localhost ~]# useradd user08 -e 2021-04-01
# 创建用户,不能登录系统
[root@localhost ~]# useradd user10 -u 4000 -s /sbin/nologin
# 创建普通用户,但是没有家目录,不能登录系统
[root@localhost ~]# useradd xxx -M -s /sbin/nologin
# yyy属于系统用户,uid处于系统用户uid范围内
[root@localhost ~]# useradd -r yyy -s /sbin/nologin
4.usermod命令
同useradd参数基一致,只不过useradd是添加,usermod是修改
| 选项 | 作用 |
|---|---|
| -u | 指定要修改用户的UID |
| -g | 指定要修改用户基本组 |
| -a | 将用户添加到补充组。仅与-G选项一起使用 |
| -G | 指定要修改用户附加组,使用逗号隔开多个附加组, 覆盖原有的附加组 |
| -d | 指定要修改用户家目录 |
| -c | 指定要修改用户注释信息 |
| -s | 指定要修改用户的bash shell |
| -m | 将用户主目录的内容移动到新位置 如果当前主目录不存在,则不会创建新的主目录 |
| -l | 指定要修改用户的登陆名 |
| -L | 指定要锁定的用户 |
| -U | 指定要解锁的用户 |
# 修改darker用户的过期时间
[root@localhost ~]# usermod -e 2021-02-11 darker
# 修改darker用户的主组
[root@localhost ~]# usermod -g group1 darker
# 修改darker用户的附加组,-a添加,不加-a代表覆盖
[root@localhost ~]# usermod -a -G group2 darker
6.设定 与 修改密码
# 默认给当前用户设定密码
[root@localhost ~]# passwd
Changing password for user root.
New password:
Retype new password:
passwd: a;; authentication tokens updated successfully.
# root用户可以给自己以及所有其他用户设定密码,普通用户只能设定自己的密码
[root@localhost ~]# passwd 用户名
# 非交互式
[root@localhost ~]# echo "密码" | passwd --stdin 用户名
# 补充:可以利用系统内置变量生成随机字符串来充当密码
[root@localhost ~]# echo $RANDOM|md5sum|cut -c 1-10
70ba11a74b
测试
修改UID
# 查看帮助信息
[root@localhost ~]# usermod --help
# 添加用户darker
[root@localhost ~]# useradd darker
# 查看darker用户的信息
[root@localhost ~]# grep 'darker' /etc/passwd
darker:x:1000:1000::/home/darker:/bin/bash
# 修改darker用户的UID
[root@localhost ~]# usermod -u 2000 darker
# 修改darker用户为不允许登录
[root@localhost ~]# usermod -s /sbin/nologin darker
# 补充,-G在没有-a的情况下代表覆盖原有组
# 把用户darker添加到组group1和group2
[root@localhost ~]# usermod -G group1,group2 darker
# 把用户darker添加到组group3和group4中,此时group3,group4会覆盖掉之前添加的group1,group2
[root@localhost ~]# usermod -G group3,group4 darker
密码锁定、解锁
# 创建用户ben
[root@localhost ~]# useradd ben
# 设置用户ben的密码
[root@localhost ~]# passwd ben
Changing password for user ben.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
# 查看用户ben的信息
[root@localhost ~]# grep 'ben' /etc/shadow
ben:$6$vjGsM8pS$pjrazHjiagz7oK8vpwzi53nAdg7DaaSlj8fneLxgKeH4wPiAyxJSO58iaRMTuG4LkHuz8Ohak6mR3Z4MYA.8U0:18590:0:99999:7:::
# 锁住用户ben
[root@localhost ~]# usermod -L ben
# 再次查看用户ben的信息(比之前多了1个 ! )
[root@localhost ~]# grep 'ben' /etc/shadow
ben:!$6$vjGsM8pS$pjrazHjiagz7oK8vpwzi53nAdg7DaaSlj8fneLxgKeH4wPiAyxJSO58iaRMTuG4LkHuz8Ohak6mR3Z4MYA.8U0:18590:0:99999:7:::
# 登录测试(已加锁的用户会显示:Permission denied)
PS C:\Users\Darker> ssh ben@192.168.50.101
ben@192.168.50.101's password:
Permission denied, please try again.
# 解锁用户ben
[root@localhost ~]# usermod -U ben
# 再一次查看用户ben的信息
[root@localhost ~]# grep 'ben' /etc/shadow
ben:$6$vjGsM8pS$pjrazHjiagz7oK8vpwzi53nAdg7DaaSlj8fneLxgKeH4wPiAyxJSO58iaRMTuG4LkHuz8Ohak6mR3Z4MYA.8U0:18590:0:99999:7:::
# 登录测试(此时用户ben已解锁,可以正常登录)
PS C:\Users\Darker> ssh ben@192.168.50.101
ben@192.168.50.101's password:
Last failed login: Tue Nov 24 18:09:36 CST 2020 from 192.168.50.1 on ssh:notty
There was 1 failed login attempt since the last successful login.
[ben@localhost ~]$
设置账号过期
# 查看当前时间
[root@localhost ~]# date
Tue Nov 24 18:12:48 CST 2020
# 设置用户ben的过期时间
[root@localhost ~]# usermod -e 2020-11-11 ben
useradd 命令参考的文件
# 设置用户帐号限制的文件
/etc/login.defs
# 可以使用命令 useradd -D查看
/etc/default/useradd
# 用户的初始配置文件
/etc/skel/*
扩展
useradd创建用户时,对于未指定的选项(-u、-g等等),会以/etc/login.defs、/etc/default/useradd两个配置文件中的配置作为参照物
配置文件/etc/login.defs详解
# 查看配置文件/etc/login.defs
[root@localhost ~]# grep -Ev "^#|^$" /etc/login.defs
MAIL_DIR /var/spool/mail
PASS_MAX_DAYS 99999 # 密码最大有效期
PASS_MIN_DAYS 0 # 两次修改密码的最小间隔时间
PASS_MIN_LEN 5 # 密码最小长度,对于root无效
PASS_WARN_AGE 7 # 密码过期前多少天开始提示
UID_MIN 1000 # 用户ID的最小值
UID_MAX 60000 # 用户ID的最大值
SYS_UID_MIN 201 # 系统用户ID的最小值
SYS_UID_MAX 999 # 系统用户ID的最大值
GID_MIN 1000 # 组ID的最小值
GID_MAX 60000 # 组ID的最大值
SYS_GID_MIN 201 # 系统用户组ID的最小值
SYS_GID_MAX 999 # 系统用户组ID的最大值
CREATE_HOME yes # 使用useradd的时候是可以创建用户家目录
UMASK 077 # 创建家目录时umask的默认控制权限
USERGROUPS_ENAB yes # 删除用户的时候是否同时删除用户组
ENCRYPT_METHOD SHA512 # #密码加密规则
配置文件/etc/default/useradd详解
# 查看配置文件/etc/default/useradd
[root@localhost ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100 # 依赖于/etc/login.defs的USERGRUUPS_ENAB参数,如果为no,则在此处控制
HOME=/home # #把用户的家目录建在/home中
INACTIVE=-1 # 是否启用账号过期停权,-1表示不启用
EXPIRE= # 账号终止日期,不设置表示不启用
SHELL=/bin/bash # #新用户默认所有的shell类型
SKEL=/etc/skel # 配置新用户家目录的默认文件存放路径
CREATE_MAIL_SPOOL=yes # 创建mail文件
当使用useradd创建用户时,创建的用户家目录下会存在.bash_* 环境变量相关的文件,这些环境变量文件 默认从/etc/skel目录中拷贝
这个默认拷贝环境变量位置是由/etc/default/useradd配置文件中定义的
故障案例
在当前用户家目录下执行了rm -rf .*命令,下次登录系统时出现-bash-4.1$,如何解决?
-bash-4.1$ cp -a /etc/skel/.bash* ./
-bash-4.1$ exit
[root@localhost ~]# # 重新连接即可恢复
误删家目录的恢复方式
# (终端1)查看家目录下有哪些用户
[root@localhost ~]# ll /home/
total 0
drwx------. 2 ben ben 59 Nov 24 05:30 ben
drwx------. 2 darker darker 59 Nov 24 05:30 darker
# (终端1)删除用户:ben
[root@localhost ~]# rm -rf /home/ben/
# (终端1)设置用户:ben 的密码
[root@localhost ~]# passwd ben
Changing password for user ben.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
# (终端1)在家目录下创建这个用户
[root@localhost ~]# mkdir /home/ben
# (终端2)远程连接
PS C:\Users\Darker> ssh ben@192.168.50.101
ben@192.168.50.101's password:
-bash-4.2$ pwd
/home/ben
-bash-4.2$ exit
logout
Connection to 192.168.50.101 closed.
# (终端1)复制老家的文件到要恢复的用户目录
[root@localhost ~]# cp -a /etc/skel/.bash* /home/ben/
# (终端2)远程连接
PS C:\Users\Darker> ssh ben@192.168.50.101
ben@192.168.50.101's password:
Last login: Feb Nov 24 11:32 2020 from localhost
四:组管理
1.创建组
# 创建基本组(不指定GID)
[root@localhost ~]# groupadd mygroup01
# 查看组信息
[root@localhost ~]# tail -l /etc/group
dbus:x:81:
polkitd:x:995:
dip:x:40:
tss:x:59:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup01:x:1002: # 刚刚创建的组在这里
# 创建基本组(指定GID为7777)
[root@localhost ~]# groupadd -g 7777 mygroup02
# 再次查看组信息
[root@localhost ~]# tail -l /etc/group
polkitd:x:995:
dip:x:40:
tss:x:59:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup01:x:1002:
mygroup02:x:7777: # 刚刚创建的组在这里
# 创建基本组(GID从201-999)
[root@localhost ~]# groupadd -r mygroup03
# 再一次查看组信息
[root@localhost ~]# tail -l /etc/group
dip:x:40:
tss:x:59:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup01:x:1002:
mygroup02:x:7777:
mygroup03:x:994: # 刚刚创建的组在这里
2.修改组
# 修改组:mygroup01的GID为1234
[root@localhost ~]# groupmod -g 1234 mygroup01
# 查看组信息
[root@localhost ~]# tail -l /etc/group
dip:x:40:
tss:x:59:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup01:x:1234:
mygroup02:x:7777:
mygroup03:x:994:
# 修改组:mygroup01的名称为mygroup001
[root@localhost ~]# groupmod -n mygroup001 mygroup01
# 查看组信息
[root@localhost ~]# tail -l /etc/group
dip:x:40:
tss:x:59:
postdrop:x:90:
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup02:x:7777:
mygroup03:x:994:
mygroup001:x:1234:
3.删除组
如果1个组是1个用户的主组,那么该组不能被删除,删掉用户会默认一起删掉他的主组
# 创建一个用户:eve
[root@localhost ~]# useradd eve
# 创建一个组:human
[root@localhost ~]# groupadd human
# 将用户:eve加入到组:human
[root@localhost ~]# usermod -G human eve
# 查看用户:eve的信息
[root@localhost ~]# id eve
uid=1002(eve) gid=1002(eve) groups=1002(eve),7778(human)
# 附加组可以直接删除
[root@localhost ~]# groupdel human
# 再次查看用户:eve,可以发现:它的附加组不见了
[root@localhost ~]# id eve
uid=1002(eve) gid=1002(eve) groups=1002(eve)
# 无法删除组:eve,因为组:eve属于用户:eve的主组
[root@localhost ~]# groupdel eve
groupdel: cannot remove the primary group of user 'eve'
组成员管理
对于用户来说,组也是分类的
| 组 | 个数 | 作用 |
|---|---|---|
| 基本组 / 主组 | 有且仅有1个 | 创建时可通过-g指定 如未指定则创建一个默认 的组(与用户同名) |
| 附加组 | 0个或多个 | 基本组不能满足授权要求,创建附加组 将用户加入该组 就拥有了该组的权限 |
gpasswd可以将用户添加到组或从组中删除,只针对已存在的用户
[root@localhost ~]# gpasswd -a user07 it # 将某个用户加入到某个组
[root@localhost ~]# gpasswd -M user02,user03,user04 it # 将多个用户加入到it组
[root@localhost ~]# gpasswd -A lhf it # 指定lhf为组it的组长,除了root用户外lhf用户也可以采用第一条命令往it组里添加成员
[root@localhost ~]# grep 'it' /etc/group # 查看it组中的成员
it:x:505:user02,user03,user04
[root@localhost ~]# gpasswd -d user07 it # 删除用户usr07从it组
可以为组设置密码
让一些非组成员的用户通过命令newgrp 组临时切换到组内并输入密码 的方式获取用户组的权限和特性
# 创建一个组:group101
[root@localhost ~]# groupadd group101
# 给组:group101设置一个密码
[root@localhost ~]# gpasswd group101
Changing the password for group group101
New Password:
Re-enter new password:
# 在临时目录下创建一个文件:1.txt
[root@localhost ~]# touch /tmp/1.txt
# 查看文件:1.txt的详情信息
[root@localhost ~]# ll /tmp/1.txt
-rw-r--r--. 1 root root 0 Nov 24 05:59 /tmp/1.txt
# 设置文件:1.txt的属组为:group101
[root@localhost ~]# chown .group101 /tmp/1.txt
# 查看并执行上一次的命令ll(等同于:ll /tmp/1.txt)
[root@localhost ~]# !ll
ll /tmp/1.txt
-rw-r--r--. 1 root group101 0 Nov 24 05:59 /tmp/1.txt
# 给文件:1.txt所在的组添加w写的权限
[root@localhost ~]# chmod g+w /tmp/1.txt
# 修改组:group101的密码
[root@localhost ~]# gpasswd group101
Changing the password for group group101
New Password:
Re-enter new password:
# 切换到用户:ben,同时切换到新用户的工作环境中
[root@localhost ~]# su - ben
# 此时没有权限
[ben@localhost ~]$ echo 1234 >> /tmp/1.txt
-bash: /tmp/1.txt: 权限不够
# 临时切换到组group1下,拥有其权限
[ben@localhost ~]$ newgrp group101
# 此时拥有权限了,向1.txt中写入内容:1234
[ben@localhost ~]$ echo 1234 >> /tmp/1.txt
# 查看1.txt
[ben@localhost ~]$ cat /tmp/1.txt
1234
chown - 修改属主 属组信息
五:手动创建用户
1.在/etc/passwd中添加用户
# 用vim打开/etc/passwd
[root@localhost ~]# vim /etc/passwd
# 按i进入:插入模式
i
# 在最后一行输入数据
nancy:x:2020:2020::/home/nancy:/bin/bash
# 退出编辑模式,保存并强制退出
Esc
:wq!
# 查看/etc/passwd的末行信息(默认是10条)
[root@localhost ~]# tail -l /etc/passwd
systemd-network:x:998:996:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:997:995:User for polkitd:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
darker:x:1000:1000::/home/darker:/bin/bash
ben:x:1001:1001::/home/ben:/bin/bash
eve:x:1002:1002::/home/eve:/bin/bash
nancy:x:2020:2020::/home/nancy:/bin/bash # 有这一行,就表示成功插入了数据
2.在/etc/shadow中设置密码
# 先用openssl生成一个随机密码
[root@localhost ~]# openssl passwd -1 -salt 'Hello World'
Password:
$1$Hello Wo$r0sA58H9bZ8C3Z5VZRiRo1 # 这个就是随机生成的密文的密码
# 用vim打开/etc/shadow
[root@localhost ~]# vim /etc/shadow
# 按i进入:插入模式
i
# 在最后一行输入数据
nancy:$1$Hello Wo$r0sA58H9bZ8C3Z5VZRiRo1:18303::::::
# 退出编辑模式,保存并强制退出
Esc
:wq!
# 查看/etc/shadow的末行信息(默认是10条)
[root@localhost ~]# tail -l /etc/shadow
systemd-network:!!:18584::::::
dbus:!!:18584::::::
polkitd:!!:18584::::::
tss:!!:18584::::::
postfix:!!:18584::::::
sshd:!!:18584::::::
darker:$6$NVQVgbXv$nCaM9zQ72TgC.RrREcvFr95arQdbKmw/idwNlSqzNamE31djv3IqqronbKOxwNN8UrtVSjeAd6/9ISqtYtGtp.:18590:0:99999:7:::
ben:$6$oeDpPj5s$d8pHt3I2uIvKkDiaQCgHVpdJy2dXzbul9I9Cpko5Z80Lbsx5fu4sO5FDzS7BDQamVvw05XkiFDxOmncFajd/S0:18590:0:99999:7:::
eve:!!:18590:0:99999:7:::
nancy:$1$Hello Wo$r0sA58H9bZ8C3Z5VZRiRo1:18303:::::: # 有这一行,就表示成功插入了数据
3.在/etc/group中添加组
# 用vim打开/etc/group
[root@localhost ~]# vim /etc/group
# 按i进入:插入模式
i
# 在最后一行输入数据
nancy:x:2020:
# 退出编辑模式,保存并强制退出
Esc
:wq!
# 查看/etc/group的末行信息(默认是10条)
[root@localhost ~]# tail -l /etc/group
postfix:x:89:
sshd:x:74:
darker:x:1000:
ben:x:1001:
mygroup02:x:7777:
mygroup03:x:994:
mygroup001:x:1234:
eve:x:1002:
group101:x:7778:
nancy:x:2020: # 有这一行,就表示成功插入了数据
4.在/etc/gshadow中添加组的密码
# 用vim打开/etc/gshadow
[root@localhost ~]# vim /etc/gshadow
# 按i进入:插入模式
i
# 在最后一行输入数据
nancy:!::
# 退出编辑模式,保存并强制退出
Esc
:wq!
# 查看/etc/gshadow的末行信息(默认是10条)
[root@localhost ~]# tail -l /etc/gshadow
postfix:!::
sshd:!::
darker:!::
ben:!::
mygroup02:!::
mygroup03:!::
mygroup001:!::
eve:!::
group101:$6$KctoH/FxL$hjcmvdoaTBH36wkb/10.jyBW0tNwDlf4r9w.oVa1fEgPwI6Dzl.VFwg6ERZcQfiP.I9Dij9w3ZCTng5NeFHfu.::
nancy:!:: # 有这一行,就表示成功插入了数据
5.创建用户家目录,并用用户老家的模板/etc/skel/ 装修一下,注意权限
# 在家目录中创建用户的目录:nancy
[root@localhost ~]# mkdir /home/nancy
# 将/etc下的skel作为模板,复制到新的用户目录中
[root@localhost ~]# cp -r /etc/skel/.[!.]* /home/nancy/
# 设置该目录的权限:仅创建者拥有所有权限
[root@localhost ~]# chmod 700 /home/nancy/
# 将该用户添加到之前创建的组中(主组)
[root@localhost ~]# chown -R nancy.nancy /home/nancy/
6.在/var/spool/mail/nancy中创建用户邮箱文件
# 在/var/spool/mail/下创建一个文件,名为:nancy
[root@localhost ~]# touch /var/spool/mail/nancy
# 修改该文件的权限
[root@localhost ~]# chmod 660 !$
chmod 660 /var/spool/mail/nancy
# 修改邮箱的属主/属组
[root@localhost ~]# chown nancy.mail /var/spool/mail/nancy
7.开始测试账号
# 用ssh连接
PS C:\Users\Darker> ssh nancy@192.168.50.101
nancy@192.168.50.101's password:
# 查看当前登录的用户
[nancy@localhost ~]$ whoami
nancy
扩展知识
堡垒机
什么是堡垒机?
堡垒机 又名“跳板机(Jump Server)”
可作为跳板批量操作远程设备的网络设备,是系统管理员或运维人员常用的操作平台之一
堡垒机的特点
- 可以动态地获取密码
- 可以记录各种操作(申请了账号,登录跳板机执行了某些命令等)
- 以录像的性是记录操作:X登录了XXX,进行了XXX操作
