初級3 2管理和用戶組

章節(jié)內容：Linux系統(tǒng)具有多用戶、多任務的特點，因此也迫使其具有了很好的Linux系統(tǒng)中文件的所有者、所有組以及其他人所對應的讀(r)寫(w)執(zhí)行(x)學習會添加、刪除、修改用戶帳戶信息用su命令與sudo服務來讓普通用戶既能夠使用到超級管理員的權限來滿一、用戶與能Linux系統(tǒng)的設計初衷之一就是為了滿足讓多用戶同時工作的需求，因此也Linux系統(tǒng)必備具備很好的安全性，在第一章安裝紅帽RHEL7操作系統(tǒng)時特別要求“設置root用戶”，這個所說的root用戶就是存在于所有類UNIX雖然使用root用戶工作時不會受到系統(tǒng)的種種限制，但老話講“能力越大，責任就越大”，一旦我們使用這個高能的root用戶執(zhí)行了錯誤令也有可能會碼——UID(UserIDentification)的0LinuxUID就相當于我們人類社會中的號碼一樣唯一性因此我們是通過用戶的UID的值來判斷用戶，RHEL7系統(tǒng)中的用戶包括有UID0:普通用戶UID1000~:即管理員創(chuàng)建的用于日常工作而不能管理系統(tǒng)的普通注意UID一定是不能的管理員創(chuàng)建的普通用戶UID從1000開（即為了方便管理同一組的用戶還有用戶組的概念，用戶組號碼即于某個人，例如只有屬于技術部分組的人才可以公司的數據庫信息等等。在Linux系統(tǒng)中每個用戶在建立時也會自動創(chuàng)建一個與其同名的基本用戶useradd格式為：“useradd[選項 用戶名 默認的S 指定用戶的 （默認為指定該用戶的默認UID指定一個初始的用戶基本組（必須已存在useGROUPasnewprimarynewlistofsupplementary(補充當、追加的 指定創(chuàng)建一個普通用戶并指定家路徑UID用戶號碼以及S解釋器，其中/sbin/nologinbash有天壤之別，因為一旦用戶的解釋器被設置成了nologin，那么則代表該用戶不能夠登錄到系統(tǒng)：[root@rhce~]#useradd-d/home/linux-u8888[root@rhce~]#useradd-d/home/linux-u8888-s/sbin/nologin [root@rhce~]#idrhceuid=8888(rhce)gid=8888(rhce)groupadd命令用于創(chuàng)建群組，格式為："groupadd選項]群組名"[root@rhce~]#groupadd[root@rhce~]#groupaddusermod命令用于修改用戶的屬性，格式為“usermod選項]用戶名”Linux用戶的信息被保存到了/etc/passwdusermod來修改已經創(chuàng)建的用戶信息項目，諸如用戶號碼、基本/擴展用戶組、默認終端等等：-d--m與-d連用，可重新指定用戶的家鎖定[root@rhce[root@rhce~]#iduid=1000(rhce)gid=1000(rhce)[root@rhce~]#usermod-G[root@rhce~]#usermod-Groot[root@rhce~]#iduid=1000(rhce)gid=1000(rhce)[root@node1~]#usermod-grootrhce[root@node1~]#idrhceuid=1000(rhce)gid=0(root)[root@rhce[root@rhce~]#usermod-u8888rhce[root@rhce~]#idrhceuid=8888(rhce)gid=1000(rhce)gpasswd-M：指定組成員和-A-M：指定組成員和-A -Rnewgrp需要輸入即可，gpasswd讓使用者暫時加入成為該組成員，之后jerry建立的文件，所屬組也會是newgroupjerryjerry所以使用gpasswdnewgroup設定，就是讓知道該群組的人可以暫時切換具備newgroup群組功能的gpasswd-Atomgpasswdaandy //marygpasswdaandy //marynewgroupgpasswdabob //bobnewgroup注意：usermod-Ggroup_nameuser_name這個gpasswd-auser_name[root@server[root@server~]#iduid=1002(andy)gid=1002(andy)groups=1002(andy)[root@server~]#idbobuid=1003(bob)gid=1003(bob)[root@server[root@server~]#groupadd[root@server~]#gpasswd-aandywheelAddinguserandytogroupwheel[root@server~]#gpasswd-abobAddingAddinguserbobtogroup[root@server[root@server~]#id[root@server~]#iduid=1003(bob)gid=1003(bob)[root@server~]usermod[root@server~]usermodGrhca //bobrhca[root@server~]#iduid=1003(bob)gid=1003(bob)//bobrhca[root@server~]gpasswdabob //bobrhce[root@server~]#iduid=1003(bob)gid=1003(bob)//bobrhce、wheel

的區(qū)別newgrp[root@server~]groupadd[root@server~]groupadd //newgroup[root@server~]#grepnewgroup[root@server~]#useradd[root@server~]#useradd[root@server~]gpasswdatom //tomnewgroupAddingusertomtogroup[root@server~]#grepnewgroup[root@server~]gpasswddtom //tomnewgroupRemovingusertomfromgroupnewgroup[root@serverRemovingusertomfromgroupnewgroup[root@server~]#grepnewgroup/etc/group[root@server[root@server~]gpasswdAtom //tomnewgroup[root@server~]#grepnewgroupnewgroup[root@server~]gpasswd //newgroupChangingthepasswordforgroupnewgroupNewPassword:Re-enternew[root@server[root@server~]#su-[jerry@server~]$newgrpnewgroup [jerry@server~]$touchjerry.txt[jerry@server~]$lltotal-rw-rw-r1jerryjerry0Apr2816:18jerry.txtjerry.txt[root@server~]#useraddjerry [root@server~]#su-jerry[jerry@server~]$newgrp //jerrynewgroup[jerry@server~]$touchjerry1.txt[jerry@server~]$lltotal-rw-r--r--.-rw-r--r--.1jerrynewgroup0Apr2816:19//jerry1.txt-rw-rw-r--.1jerryjerry 0Apr2816:18jerry.txt[jerry@server~]$gpasswd-aandynewgroup//jerrynewgroupnewgroupgpasswd:Permission[jerry@server~]$[root@server~]#su-[tom@server~]$gpasswd-aandynewgroup //[root@server~]#su-[tom@server~]$gpasswd-aandynewgroup //andynewgroupAddinguserandytogroupnewgroup[tom@server~]$idandypasswd命令用于修改用戶的格式為：“passwd[選項][用戶名]”。修改自身的系統(tǒng)，而超級用戶則有權限來修改其他所有人的。root管理員修改自己或他人的是不需要驗證舊的，這點特別的方便，既然root用戶都有權限修改或登錄了該用戶，則代表已經對該用戶有完全的管理權限了因此嘗試修改該用戶時不再重復要求驗證舊其實也并不鎖定鎖定解除鎖--stdin允許從標準輸入修改用 如如(echossWord"|passwd--stdin[root@rhce~]#Changingpasswordforuser[root@rhce~]#Changingpasswordforuserroot.Newpassword:Retypenewpasswd:allauthenticationtokensupdated[root@rhce[root@rhce~]#passwdChangingpasswordforuserrhce.Newpassword:Retypenewpasswd:allauthenticationtokensupdated[root@rhce~]#passwd-lrhce Lockingpasswordforuserrhce.passwd:[root@rhce~]#passwd-lrhce Lockingpasswordforuserrhce.passwd:[root@rhce~]#passwd-S 狀rhceLK2016-12-260999997-1(Password[root@rhce~]passwdu Unlockingpasswordforuserrhce.passwd:Success[root@rhce~]#passwd-SrhcePS2016-12-260999997-1(Passwordset,SHA512userdel命令用于刪除用戶，格式為：“userdel選項]用戶名”如果我們確認以后不需要某個用戶登錄到本地系統(tǒng)中，則可以通過userdel命令來刪除有關該用戶的所有信息，默認該用戶的家數據會被保留下來，而如果想要一起刪除的話可以加上-r或-f參數即可：參 作 強制刪除用戶， 與其相關文 同時刪除用戶， 與其相關文[root@rhce~]#iduid=8888(rhce)gid=1000(rhce)groups=1000(rhce),0(root)[root@rhce~]#userdel-rrhce[root@rhce~]#idrhceid:rhce:nosuchuser二、susudo工作生產環(huán)境中，不要用root超級用戶去做一切的事情，因為一旦執(zhí)行了錯誤命令后可能會直接導致系統(tǒng)Linuxroot超級su命令便是為了解決切換用戶的需求而設計的功能，使用su命令可以[root@rhce~]#uid=0(root)[root@rhce~]#uid=0(root)gid=0(root)groups=0(root)[root@rhce~]#su-rhceLastlogin:WedJan401:17:25EST2017onpts/0[rhce@rhce~]$iduid=1000(rhce)gid=1000(rhce)~]#echo ~]#su-rhce~]#echo ~]#su-rhceLastlogin:FriApr2110:42:40CST2017onpts/0 ~]$echo$PATH//使用-rhce~]$surhce]#echo//不使用-，rootrhce~]$echo ~]$su-rootLastlogin:FriApr2110:43:59CST2017onpts/0 ~]#echo$PATH//使用-root當超級用戶切換到普通用戶時是不需要驗證的而普通用戶切換成超級 [rhce@rhce[rhce@rhceroot]$suroot[root@rhce~]#su-Lastlogin:MonAug2419:27:09CST2015onpts/0[rhce@rhce~]$exit上面使用su命令允許普通用戶完全變更為root用戶來完成工作，但這樣會了root超級管理員的，使得系統(tǒng)被獲取的幾率也大大提sudo程序來將特定命令的執(zhí)行權限賦予給指定的用戶，這樣即可保證了正常工作的同時也避免了root超級用戶，平時只要合理的配置sudo服務便可以合理的兼顧系統(tǒng)的安全性和用戶便捷性，配置的原則也很簡單驗證 后5分鐘(默認值)內無須再讓用戶驗。列出當前用戶可執(zhí)行令列出當前用戶可執(zhí)行令-uUID以指定的用戶執(zhí)行命令清空安全時間，下次執(zhí)行sudo時需要再次驗證在執(zhí)行指定令更改詢問的提示語sudovisudo命令來配置用戶權限，這條命令在配置用戶權限時可以避免多個只用超級用戶才可以使用visudo命令編輯sudo程序的配置文件（/etc/sudoersvisudo:>>>/etc/sudoers:syntaxerrornearline111<<<Whatnow?Options(e)ditsudoersfile(x)itwithoutsavingchangestosudoers(Q)uitandsavechangestosudoersfile1sudo時，系統(tǒng)會主動尋找1sudo時，系統(tǒng)會主動尋找/etc/sudoers文件，判斷該用戶是否有執(zhí)行sudo的權限2，確認用戶具有可執(zhí)行sudo的權限后，讓用戶輸入用戶自己 確3， 輸入成功，則開始執(zhí)行sudo后 4root (eudoers文件中有配置rootALL=(ALL)這樣一條規(guī)則5，若欲切換 與執(zhí)行者 相同，也不需要輸使用visudo命令配置sudo服務的服務文件，操作的方法與vim編輯器是的第99行按照我們下面的格式填寫上制定的信息即可：sudo命令的主機=（以誰的執(zhí)行命令 [root@rhce[root@rhce~]###AllowroottorunanycommandsrootALL=(ALL)rhceALL=(ALL)[root@rhce~]#su-Lastlogin:ThuSep315:12:57CST[root@rhce~]#su-Lastlogin:ThuSep315:12:57CST2015on[rhce@rhce[rhce@rhce~]$sudo-[sudo]passwordfor令MatchingDefaultsentriesforrhceonthisrequiretty,!visiblepw,always_set_home,env_reset,MAILYHOSTNAMEHISTSIZEINPUTRCKDEDIRLS_COLORS",PS2QTDIRUSERNAMELANGLC_ADDRESSLC_CTYPE",env_keep+="LC_COLLC_IDENTIFICATIONLC_MEASUREMENTLC_MESSAGES",env_keep+="LC_MOLC_NAMELC_NUMERICLC_PAPERLC_ EPHONE",env_keep+="LC_TIMELLANGUAGELINGUAS_XKB_CHARSETUserrhcemayrunthefollowingcommandsonthishost:(ALL)ALL因為作為一名普通用戶是肯定不能查看到root超級用戶 文件信息的文件信息的但我們只需要在想執(zhí) 令前面加上sudo命令就變得有權限了[rhce@rhce~]$lsls:cannotopendirectory/root:Permission[rhce@rhce~]$sudols sinitial-setup-ks.cfgPictures DesktopDesktopDownloadsMusic [rhce@localhost~]$exit[root@localhost~]#whereiscat:/usr/bin/cat/usr/share/man/man1/cat.1.gz/usr/share/man/man1p/ca[root@rhce~]#[rhce@localhost~]$exit[root@localhost~]#whereiscat:/usr/bin/cat/usr/share/man/man1/cat.1.gz/usr/share/man/man1p/ca[root@rhce~]###AllowroottorunanycommandsrootALL=(ALL)rhceALL=(ALL) [root@rhce~]#su-[root@rhce~]#su-Lastlogin:ThuSep315:51:01CST2015onpts/1[rhce@rhce~]$cat/etc/shadowcat:/etc/shadow:Permission[rhce@rhce~]$sudocat[rhce@localhost~]$exit[root@localhost~]#whereispoweroff:/usr/sbin/poweroff/usr/share/man/man8/poweroff.8.gz[root@localhost~]#visudo[rhce@localhost~]$