• 三、用户和用户组


    一、一些概念
    1.安全3A

    • Authentication :认证 (密码、指纹等)
    • Authorization : 授权
    • Accouting|Audition :审计 (时候审计,监控)

    2.用户user

    • 令牌 token, identity

    用户登录系统,成功后,系统会分配给用户一个令牌token,在该用户访问系统中的文件时,文件会审核这个令牌来决定是否给予权限访问该文件。要想获得最新的token,重新登录。

    • Linux用户:username、UID (Linux中用户权限看UID)
      管理员:root,0
      普通用户:1-65535
          系统用户:1-4991-999(centos7)一般指各个进程
          登录用户:500+,1000+(centos7)

    3.组group

    Linxu组:Groupname、GID
    管理员组:root,0
      普通组
        系统用户:1-4991-999(centos7)一般指各个进程
        登录用户:500+,1000+(centos7)

    4.Linux安全上下文(context)
    进程所能够访问资源的权限取决于进程的运行者的身份(用户身份,用户组身份)。即程序能否访问某个文件是由用户身份决定的而非程序本身。

    5.group组的类别

    • 用户的主要组(primary group)
      • 用户必须属于一个且只有一个主要组
      • 组名同用户名,且仅包含一个用户,又称私有组
    •   用户的附加组(supplementary group)
      •   一个用户可以属于0个或多个附加组

    即,一个用户可以加入多个组,该用户的权限是组权限的累加;一个组也可以拥有多个用户

    二、用户和组的配置文件
    1./etc/passwd 用户及其属性信息(名称、UID/主组id等)
      cat /etc/passwd

    以最后一行songtai为例:

    login name:登录用名(songtai)
    passwd:密码(x)
    UID:用户身份编号(500)
    GID:登录默认所在组编号(501)
    GECOS:用户全名或注释
    home directory:用户主目录(/home/wang)
    shell:用户默认使用shell (/bin/bash)

    说明:

    1.帮助文档: man 5 passwd
    2.可用chfn命令添加修改第5行的信息
    3.uid为1-499的为系统程序进程,最后的shell类型为/sbin/nologin,给程序服务使用的shell,用于创建给服务用的账号,其可以限制某些用户通过ssh登陆到shell上。
    4.chsh -s /bin/csh songtai songtai账号更改shell为csh
    5.第二列x为密码,其信息记录在/etc/shadow文件下

    2./etc/group 组及其属性信息
      cat /etc/group

    man 5 group 帮助文档
    group_name:the name of the group
    password: the (encrypted) group password. If this field is empty, no password is needed.
    GID:the numerical group ID.
    附加组名单user_list:a list of the usernames that are members of this group, separated by commas.附加组的用户列表,用“,”隔开

    注意:对一个正在登陆中的用户,对其修改组等相关信息并不会实时更改,需要重新登陆(背后原理:token令牌原理,只有重新登陆系统才会分配其一个最新的令牌,其拿着新的令牌才有访问一些配置文件的权限)

    3./etc/shadow 用户密码及其相关属性
      cat /etc/shadow

    从左至右:

      用户名:加密了的密码:最近一次更改密码的日期:密码的最小使用期限:最大密码使用期限:密码警告时间段:密码禁用期:用户过期日期:保留字段

    1、登陆用名
    2、用户密码:一般用sha512加密
      !!:表示账号锁定(useradd sst命令新增的sst用户的密码就是这种情况)
      解锁方法:
      ①nano /etc/shadow 将sst用户第二列的两个!!删除掉,这样即可登录;
      ②usermod -U sst 表示sst这个用户解锁一个!,连续操作两次。(centos6和7 已不支持此类操作)
      ③passwd -e username 表示将第三列的数值变为默认0,意味着下次登录时必须更改密码(也即让当前口令失效)或chage -d 0 username 效果同passwd -e username
    3、从1970年1月1日起到密码最近一次被更改的时间
       echo `date +%s`/3600/24 | bc #表示目前距1970年1月1日的天数
    
    当第三列数值为0时表示用户再下一次登陆时须修改密码 4、密码再过几天可以被变更(0表示随时可被变更)
    5、密码再过几天必须被变更(99999表示永不过期)
    6、密码过期前几天系统提醒用户(默认为一周) 7、密码过期几天后帐号会被锁定
    8、从1970年1月1日算起,多少天后帐号失效

            

    4./etc/gshadow 组密码及其相关属性
    cat /etc/gshadow

    共四列:
    群组名称:就是群组名称
    群组密码:
    组管理员列表:组管理员的列表,更改组密码和成员
    以当前组为附加组的用户列表:(分隔符为逗号)

    相关文件操作处理命令
    vipw (与nano /etc/passwd 相同,但具备语法检查功能,vi=vim)

    pwck 检查passwd文件语法

    vigr (与nano /etc/passwd 相同,但具备语法检查功能,vi=vim)

    grpck 检查group文件语法

    5. /etc/default/useradd 新建用户时默认的一些默认属性配置文件夹

    1 GROUP=100 #默认的user组的 GID 
    2 HOME=/home #默认的家目录
    3 INACTIVE=-1
    4 EXPIRE= #默认账户有效期
    5 SHELL=/bin/bash #默认使用的shell
    6 SKEL=/etc/skel #默认的一些模板文件夹 (新建账号的模板文件夹)
    7 CREATE_MAIL_SPOOL=yes #默认允许创建邮箱文件夹

    注意:可用useradd -D命令可显示或更改默认设置
    useradd -D -s SHELL 修改shell类型6
    useradd -D -g GROUP 修改默认组

    6./etc/skel 默认文件夹相关
    每次新建用户时,都会将此文件夹复制到新建用户的家目录下。默认只有3个环境配置文件,可以修改这里面的内容,或者添加几个文件在该文件目录中,以后新建用户时就会自动获取到这些环境和文件。

    ll -a /etc/skel/
    -rw-r--r--. 1 root root 18 Apr 11 2018 .bash_logout
    -rw-r--r--. 1 root root 193 Apr 11 2018 .bash_profile
    -rw-r--r--. 1 root root 231 Apr 11 2018 .bashrc

    注意:因为删除/etc/skel目录下的文件出现的问题,我们重新复制一个完整的文件进去即可解决。

    7.cat /etc/login.defs 密码的默认配置文件
    设置用户帐号限制的文件。该文件里的配置对root用户无效。
    如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。
    该文件有很多配置项,文件的默认内容只给出了一小部分,若想知道全部的配置项以及配个配置项的详细说明,可以"man 5 login.defs"查看。

     1 less /etc/login.defs
     2 #QMAIL_DIR Maildir # QMAIL_DIR是Qmail邮件的目录,所以可以不设置它
     3 MAIL_DIR /var/spool/mail # 默认邮件根目录,即信箱
     4 #MAIL_FILE .mail # mail文件的格式是.mail
     5 
     6 # Password aging controls:
     7 PASS_MAX_DAYS 99999 # 密码最大有效期(天)
     8 PASS_MIN_DAYS 0 # 两次密码修改之间最小时间间隔
     9 PASS_MIN_LEN 5 # 密码最短长度
    10 PASS_WARN_AGE 7 # 密码过期前给警告信息的时间
    11 
    12 # 控制useradd创建用户时自动选择的uid范围
    13 # Min/max values for automatic uid selection in useradd
    14 UID_MIN 1000
    15 UID_MAX 60000
    16 # System accounts
    17 SYS_UID_MIN 201
    18 SYS_UID_MAX 999
    19 
    20 # 控制groupadd创建组时自动选择的gid范围
    21 # Min/max values for automatic gid selection in groupadd
    22 GID_MIN 1000
    23 GID_MAX 60000
    24 # System accounts
    25 SYS_GID_MIN 201
    26 SYS_GID_MAX 999
    27 
    28 # 设置此项后,在删除用户时,将自动删除用户拥有的at/cron/print等job
    29 #USERDEL_CMD /usr/sbin/userdel_local
    30 
    31 # 控制useradd添加用户时是否默认创建家目录,useradd -m选项会覆盖此处设置
    32 CREATE_HOME yes
    33 
    34 # 设置创建家目录时的umask值,若不指定则默认为022
    35 UMASK 077
    36 
    37 # 设置此项表示当组中没有成员时自动删除该组
    38 # 且useradd是否同时创建同用户名的主组。(该文件中并没有此项说明,来自于man useradd中-g选项的说明)
    39 USERGROUPS_ENAB yes
    40 
    41 # 设置用户和组密码的加密算法
    42 ENCRYPT_METHOD SHA512

    三、用户及用户组的相关命令

    开始创建
    shell> echo "userX:x:666" >> /etc/group
    shell> echo "userX:x:666:666::/home/userX:/bin/bash" >> /etc/passwd
    shell> echo 'userX:!!:17121:0:99999::::' >> /etc/shadow
    shell> cp -r /etc/skel /home/userX
    shell> chown -R userX:userX /home/userX
    shell> chmod -R go= /home/userX
    shell> passwd --stdin userX <<< '123456'
     用户管理命令:
      useradd
      usermod
      userdel
     组账号管理命令:
       groupadd
       groupmod
       groupdel

    1、useradd 添加用户

     1 useradd -u 66666 songtai   # 表示新建用户songtai,并指定其uid为66666
     2 useradd -o  # 与u一起用,id不唯一,用于创建同id用户
     3 useradd -g GID # 指明用户所属基本组(主要组),可为组名,也可以GID
     4     useradd -g  songtai  sst   # 创建sst这个用户,并将songtai作为其主组
     5 useradd -c  hello  sst3  # 创建sst3这个用户,并添加hello这个信息在账户里
     6 useradd -d HOME_DIR   # 以指定的路径(不存在)为家目录
     7 useradd -s SHELL   # 指明用户的默认shell程序
     8     useradd -s /bin/csh sst4
     9 useradd -G  GROUP1[,GROUP2,...]    #为用户指明附加组,组须事先存在
    10 useradd -N    # 不创建私用组做主组,使用users组做主组
    11 useradd -r    # 创建系统用户CentOS 6: ID<500,CentOS 7: ID<1000   用于安装系统应用
    12 useradd -m    # 创建家目录,用于系统用户
    13 useradd -M    # 不创建家目录,用于非系统用户

    2、usermod

    usermod [options] LOGIN
    # option
        -u UID: 新UID
        -g GID: 新主组
        -G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使用-a选项
        -s SHELL:新的默认SHELL
        -c 'COMMENT':新的注释信息
        -d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
        -l login_name: 新的名字;
        -L: lock指定用户,在/etc/shadow 密码栏的增加!
        -U: unlock指定用户,将/etc/shadow 密码栏的! 拿掉
        -e YYYY-MM-DD: 指明用户账号过期日期
        -f INACTIVE: 设定非活动期限

    3.userdel
      userdel -r USERNAME: 删除用户家目录

    4.grooupadd、groupmod、groupdel
    5.chpasswd 批量修改用户口令
    第一步:
      创建passwd文件(名字任意、目录任意)
    第二步:
      nanopasswd 添加统一格式
      名户名:口令,例如:
      sst1:woshisst1
      sst2:woshisst2
      sst3:woshisst3
    第三步:
      cat passwd | chpasswd 批量修改用户口令

    6.newusers 批量创建用户
    newusers passwd格式文件
    实验场景:假如想在要在centos7上创建已经在centos6上存在的批量账号,怎么做?

    1.第一步:cat /etc/passwd 将chentos6上要创建的账号都复制
    2.创建一个list.txt 的文件,将上面的文件复制进这个文件,并保存

    3.scp list.txt ip: /data 远程复制附件。
    例如:scp list.txt 192.168.199.134: /data 表示将list.txt这个文件复制进192这个ip地址里data这个文件目录下
    4.newusers /data/list.txt 批量创建list.txt中的用户

    7. id 查看用户相关的ID信息

    -u: 显示UID
    -g: 显示GID
    -G: 显示用户所属的组的ID
    -n: 显示名称,需配合ugG使用

    8. su 切换用户或以其他用户身份执行命令
    su [options...] [-] [user [args...]]
    su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录
    su - UserName:登录式切换,会读取目标用户的配置文件,切换至家目录,完全切换(等价于重新登陆一个账号)
    su [-] UserName -c 'COMMAND' 换个身份执行命令

    9.passwd 设置密码
    passwd: 修改自己的密码
    passwd [OPTIONS] UserName: 修改指定用户的密码,仅root用户权限

    passwd -l:锁定指定用户
    passwd -u:解锁指定用户
    passwd -e:强制用户下次登录修改密码
    passwd -n mindays: 指定最短使用期限
    passwd -x maxdays:最大使用期限
    passwd -w warndays:提前多少天开始警告
    passwd -iinactivedays:非活动期限
    passwd --stdin:从标准输入接收用户密码
    echo "PASSWORD" | passwd--stdin USERNAME

    10.修改用户密码策略
    chage [OPTION]... LOGIN

    -d LAST_DAY
    -E --expiredateEXPIRE_DATE
    -I --inactive INACTIVE
    -m --mindaysMIN_DAYS
    -M --maxdaysMAX_DAYS
    -W --warndaysWARN_DAYS
    –l 显示密码策略

    示例:
    chage-d 0 tom 下一次登录强制重设密码
    chage-m 0 –M 42 –W 14 –I 7 tom
    chage-E 2016-09-10 tom

    11.gpasswd 更改组密码
    gpasswd [OPTION] GROUP

    -a user 将user添加至指定组中
    -d user 从指定组中移除用户user
    -A user1,user2,… 设置有管理权限的用户列表

    12.newgrp 临时切换主组
    如果用户本不属于此组,则需要此组密码

    13.groups、groupmems 更改和查看组成员
    groupmems [options] [action]

    -g, --group groupname更改为指定组(只有root)
    
    Actions:
    -a, --add username 指定用户加入组 -d, --delete username 从组中删除用户 -p, --purge 从组中清除所有成员 -l, --list 显示组成员列表

    groups [OPTION] [USERNAME]...查看用户所属组列表

    14.getent passwd/shadow/group/gshadow
    查看passwd/shadow/group/gshadow这几个文件夹

    四、练习
    1、创建用户gentoo,附加组为bin和root,默认shell为/bin/csh,注释信息为"Gentoo Distribution"
    useradd -G root,bin -s /bin/csh -c "Gentoo Distribution" gentoo
    注意:
    -G 后边跟的附加组之间用,隔开;
    注释信息用""
    要创建的用户放在最后

    2、创建下面的用户、组和组成员关系
    名字为admins 的组
    用户natasha,使用admins 作为附属组
    用户harry,也使用admins 作为附属组
    用户sarah,不可交互登录系统,且不是admins 的成员,natasha,harry,sarah密码都是centos

    1 groupadd admins 先创建组admins
    2 useradd -G admins natasha
    3 useradd -G admins harry
    4 useradd -s /sbin/nologin sarah
    5 echo centos |passwd --stdin ntatsha 
    6 echo centos |passwd --stdin natasha
    7 echo centos |passwd --stdin sarah

    3.分析安装一个应用时的相关组信息


    五、实验
    实验:centos6,7上修改/etc/passwd root的UID非0,无法启动,修复之

    1. centos6:
    第一步,启动时,此界面按a进入

    第二步,按a进入下面这个界面,最后敲入init=/bin/bash

    第三步,进入到/bin/sh界面,
    mount –o rw,remount / 重新挂载/目录
    nano /etc/passwd 修改root的UID

    第四步,重启即可正常进入centos6

    2. centos7:
    第一步,启动界面按e进入

    第二步,在Linux16那一行的最后敲入 init=/bin/bash,再按ctrl+x

    第三步,

    mount -orw,remount /
    nano /etc/passwd

    第四部,将root的uid改为0,重启即可

    六、创建组用于多用户共同完成工作

    mkdir FILENAME
    
    useradd -G project  USERNAME1
    useradd -G project  USERNAME2
    chgrp project FILENAME 

    chmod
    2770 FILENAME

    转自:https://blog.csdn.net/tai20031229/article/details/83824983

  • 相关阅读:
    AJAX补充
    JQuery知识补充2
    JQuery知识补充1
    LiveBOS使用指南
    HTML5(1)
    .net 后台导出excel ,word
    Eval绑定方法:多条件绑定:
    repeater 的用法
    两个页面地址栏传值
    js取后台的值
  • 原文地址:https://www.cnblogs.com/liuzhiyun/p/11249145.html
Copyright © 2020-2023  润新知