管理本地用户和组:红帽企业 Linux 系统安全的基础

最新推荐文章于 2025-10-27 17:50:52 发布
原创 最新推荐文章于 2025-10-27 17:50:52 发布 · 4.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #系统安全 #运维

在红帽企业 Linux(RHEL)系统中,用户和组的管理是保障系统安全与有序运行的核心环节。通过合理配置用户账户、分配组权限,可有效控制用户对系统资源的访问,避免未授权操作和权限滥用。本文将系统介绍本地用户和组的概念、管理工具及最佳实践。

一、用户与组的核心概念

1. 用户账户的类型与作用

用户账户是系统安全的基础,用于区分不同操作者并控制其权限。Linux 系统中的用户主要分为三类:

  • 超级用户(root):UID 为 0,拥有系统完全访问权限,负责系统管理,如安装软件、配置系统等。
  • 系统用户:供服务进程使用(如数据库、Web 服务器),通常无法交互式登录,UID 范围为 1-999,确保服务间资源隔离。
  • 普通用户:用于日常操作,UID 从 1000 开始,权限受限制,需通过授权获取高级操作权限。

每个用户通过唯一的用户名和 UID(用户 ID)标识,用户名便于人类识别,而系统内部通过 UID 区分用户。例如,id命令可查看当前用户的 UID 及组信息:

[user01@host ~]$ id
uid=1000(user01) gid=1000(user01) groups=1000(user01)

2. 组的分类与权限继承

组是用户的集合,用于批量分配权限,分为主要组补充组

  • 主要组:每个用户唯一所属的组,默认在创建用户时自动创建(与用户名相同),新文件的组所有权默认继承自主要组。
  • 补充组:用户可加入多个补充组,用于获取额外权限,如wheel组通常用于授予 sudo 权限。

组信息存储在/etc/group文件中,每行记录包含组名、GID(组 ID)及成员列表。例如:

group01:x:10000:user01,user02,user03

二、用户与组的管理工具

1. 用户管理命令

  • 创建用户useradd命令用于创建用户,默认生成同名主要组,需通过passwd设置密码后才能登录: 
    [root@host ~]# useradd operator1  # 创建用户
[root@host ~]# passwd operator1   # 设置密码
  • 修改用户usermod命令可调整用户属性,如更改主要组(-g)、补充组(-G)、锁定账户(-L)等: 
    [root@host ~]# usermod -G wheel operator1  # 添加到wheel组
[root@host ~]# usermod -L operator1        # 锁定账户
  • 删除用户userdel命令删除用户,-r选项可同时删除主目录(避免残留文件归属问题): 
    [root@host ~]# userdel -r operator1  # 彻底删除用户及主目录

2. 组管理命令

  • 创建组groupadd命令创建组,-g可指定 GID: 
    [root@host ~]# groupadd -g 30000 operators  # 创建GID为30000的组
  • 修改组groupmod命令修改组属性,如重命名(-n)、更改 GID(-g): 
    [root@host ~]# groupmod -n newgroup oldgroup  # 重命名组
  • 删除组groupdel命令删除组(需确保组不是任何用户的主要组): 
    [root@host ~]# groupdel operators  # 删除组

三、超级用户访问与权限控制

1. 切换超级用户身份

  • su命令:切换到其他用户,su -以登录 shell 方式切换(加载目标用户环境): 
    [user01@host ~]$ su - root  # 切换到root用户
  • sudo命令:临时以其他用户(默认 root)身份执行命令,需配置/etc/sudoers授权: 
    [user01@host ~]$ sudo systemctl restart httpd  # 以root权限重启服务

2. sudo配置方法

通过visudo命令编辑/etc/sudoers,或在/etc/sudoers.d/目录添加配置文件,例如允许admin组所有成员执行任何命令:

[root@host ~]# echo "%admin ALL=(ALL) ALL" > /etc/sudoers.d/admin

四、密码策略与账户安全

1. 密码期限管理

chage命令用于配置密码过期策略,如设置最长有效期(-M)、警告期(-W)等:

[root@host ~]# chage -M 90 -W 7 operator1  # 密码90天过期,提前7天警告

2. 强制密码更改与账户锁定

  • 强制用户首次登录更改密码: 
    [root@host ~]# chage -d 0 operator1  # 下次登录必须改密码
  • 锁定账户(禁止登录): 
    [root@host ~]# usermod -L operator1  # 锁定账户
[root@host ~]# usermod -U operator1  # 解锁账户

五、总结

本地用户和组的管理是 Linux 系统安全的基础,通过useraddgroupadd等命令可创建和维护账户与组,结合sudo实现权限精细控制,利用chageusermod保障密码安全与账户可控。合理规划用户与组结构,可有效隔离资源、防范未授权访问,为系统稳定运行提供保障。

20、网络安全管理红帽企业 Linux 安装指南
blue的专栏
09-02 39
本文详细介绍了网络安全管理基础框架与工具,包括 netfilter、firewalld 服务 SELinux 策略的配置方法。同时,全面讲解了红帽企业 Linux 的多种安装方式,涵盖手动安装 Kickstart 自动化安装的具体步骤与实践建议。内容还涉及安装介质的选择、系统配置、故障排除等关键环节,为用户提供了完整的网络安全与系统部署知识体系。
radhat添加删除及修改用户系列初操作
Nano_117的博客
04-29 212
2、添加且将新添加的用户加入到中。3、将其中一个用户的名字做修改。1、添加用户并给用户添加选项。5、删除新创建的用户。4、把创建的名修改。
Redhat 创建用户,修改用户密码
热门推荐
神仙哥哥的博客
04-09 1万+
示例要求如下: 请按照以下要求创建用户用户: 1、新建一个名为 adminuser 的 id 为 40000 2、新建一个名为 natasha 的用户,并将 adminuser 作为其附属 3、新建一个名为 harry 的用户,并将 adminuser 作为其附属 4、新建一个名为 sarah 的用户,其不属于 adminuser ,其在系统中没有任何可交互的 shell...
RedHat用户管理(添加,删除,修改)
fujibayashikyo的专栏
11-19 2745
linux下强制踢掉登陆用户 查看机器中登陆的用户 [root@sunsyk ~]# w 16:29:02 up 2 days, 2:35, 5 users, load average: 0.03, 0.05, 0.01 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/1 :0.0 Tue15 2days 1:44 0.04s -bas
红帽Linux8.0 06管理本地用户
weixin_71169821的博客
12-19 1193
mmk的Linux学习日志
Day09 红帽Linux — 1管理本地用户
dglhtao的博客
07-16 489
红帽Linux — 1管理本地用户 文章目录红帽Linux — 1管理本地用户一、的概念类型使用 id 命令可以查看用户的主要补充信息/etc/group/etc/gshadow小测验题目答案二、获取超级用户访问权限用户权限使用su切换用户使用sudo获取超级用户权限配置sudo(/etc/sudoers)打开配置文件给用户添加sudo权限三、管理本地新建用户删除用户修改属性指令例子设置成员指令例子四、管理用户密码密码存储文件(**/etc/shadow**)密码加密与密
Linux红帽:RHCSA认证知识讲解(六)创建、管理删除本地用戶
2402_83322742的博客
03-14 1408
上篇博客我们详细了解了从红帽 DNF 软件仓库下载、安装、更新管理软件包,在这篇博客里,我们将讲解创建、管理删除本地用戶Linux 系统的管理中,用户管理是至关重要的一部分。合理地创建、管理删除本地用户,不仅能确保系统的安全性,还能有效地管理系统资源的访问权限。我的个人主页,欢迎来阅读我的其他文章我的RHCSA认证知识文章专栏欢迎来阅读指出不足。
redhat linux 系统管理,红帽系统管理一 (RH124)
weixin_39634194的博客
04-28 639
红帽系统管理一 (RH124)时间:2018-04-24 14:06:52第 1 部分 — 红帽企业 Linux 管理员所需掌握的核心系统管理任务本课程涉及使用红帽® 企业 Linux® 7。红帽系统管理一 (RH124) 专为之前没有 Linux 系统管理经验的 IT 专业人员设计。本课程侧重讲解 Linux 系统的核心管理任务,为学员提供系统管理的必备“生存技能”。课程概述红帽系统管理一,为希...
麒麟操作系统 | 用户管理
yangbao888的博客
09-25 1199
本文主要介绍麒麟操作系统中用户管理方法。内容包括:1)用户的基本概念,用户用于登录系统,用于权限管理;2)用户类型分为超级用户、系统用户普通用户;3)用户账号管理相关命令(useradd、usermod、userdel)及配置文件(/etc/passwd、/etc/shadow);4)账户管理相关命令(groupadd、groupdel、gpasswd、groupmod)及配置文件(/etc/group、/etc/gshadow)。文章详细说明了各命令的使用方法参数选项,帮助读者掌握麒麟系
红帽linux系统课本,红帽RHEL7原版中文教材_RH124_系统管理
weixin_39823269的博客
05-13 1075
红帽RHEL7原版中文教材_RH124_系统管理红帽系统管理一(RH124)专为之前没有Linux系统管理经验的IT专业人员设计。课程侧重讲解Linux系统的核心管理任务,为学员提供系统管理的必备“生存技能”。REDHATETRAININGredhat红帽系统管理I学生工作簿g2014RedHat,IncRH124-RHEL7-zhcn-1-20140606红帽系统管理IRH124RedHatEn...
红帽Linux3教程合集:安装、安全与系统管理指南
firewalld)、如何设置 SELinux(Security-Enhanced Linux)以增强系统安全性、如何管理用户权限与访问控制(包括 sudo、PAM 模块等)、如何配置 SSH 服务以实现安全远程登录,以及如何定期更新系统补丁进行漏洞...
北京科技大学暑期实习:红帽Linux习题答案全解析
《Red Hat Linux用户基础《Red Hat Enterprise Linux系统管理》这两本电子工业出版社出版的书籍,是Red Hat官方认证课程的配套教材,它们覆盖了Red Hat Linux系统的基本操作、命令行使用、文件系统管理用户...
红帽Linux系统管理与安全实战指南
内容涵盖用户管理、文件系统结构与权限控制(包括传统的UGO权限模型及ACL访问控制列表)、进程管理、服务管理(基于systemd架构)、日志分析(利用journalctlrsyslog)、计划任务(cronat命令)、软件包管理...
ESP32 Linux 开发环境
Jiuri的博客
10-25 952
本文详细介绍了在Ubuntu 20.04系统上搭建ESP32开发环境的完整流程。主要内容包括:安装必备工具链(Git、Python、CMake等);通过码云镜像加速ESP-IDF及子模块的拉取;使用esp-gitee-tools工具切换仓库地址;配置ESP-IDF工具链环境变量;最后通过编译HelloWorld工程验证环境搭建成功。该指南针对国内开发者优化了网络访问问题,提供了从系统准备到环境验证的一站式解决方案,帮助开发者快速搭建稳定的ESP32开发环境。
Linux17 进程间的通信 消息队列
wt20050610的博客
10-25 978
消息队列是一种异步通信机制,它允许进程将数据(消息)发送到一个队列,并由其他进程从队列中读取。消息队列独立于发送接收进程存在,实现了进程间的解耦。特性/件说明核心概念消息队列是内核维护的链表结构,用于存储格式化的消息(消息类型 + 数据体)。消息可视为一个结构体,通常包含类型内容。消息结构 (如)structmsgbuf(消息类型,必须 > 0) char m text[1];(消息数据,实际使用时定义足够长度)关键函数 (System V)msgget: 创建或获取消息队列。
4.Rocky Linux 网络配置
JZZC2的博客
10-27 1500
本文介绍了在RockyLinux系统中配置IP地址的四种方法:1)通过系统图形化界面手动设置IP;2)使用nmcli命令修改网络配置;3)直接编辑网卡配置文件并重新加载;4)利用nmtui工具进行交互式配置。每种方法都详细说明了配置步骤验证方式,包括从192.168.1.1到192.168.1.3的IP变更过程。文章强调虽然图形界面操作简单,但命令行方式更适合Linux系统管理,为后续学习奠定基础
Linux中子系统注册subsystem_register等函数的实现
weixin_51019352的博客
10-24 756
Linux内核设备模型核心框架 该文档描述了Linux内核设备模型的核心数据结构,包括: 主要结构体: subsystem:顶级容器,包含kset读写信号量 kset:相关kobject的集合,管理设备驱动程序 kobject:基础对象,代表内核实体 kobj_type:定义kobject的通用行为属性 kset_hotplug_ops:处理热插拔事件 核心功能: 层次结构管理:通过父子关系织设备 生命周期管理:使用引用计数自动清理机制 sysfs集成:每个kobject对应/sys下的目录 热插
Linux篇》进程/虚拟地址空间
最新发布
qq_59702185的博客
10-27 773
本文主要介绍了进程地址空间(虚拟地址空间)的概念及其重要性。通过父子进程中相同虚拟地址不同值的例子,说明虚拟地址与物理地址的区别。文章解释了虚拟地址空间的划分(如代码区、数据区等)及其底层结构体mm_struct,并阐述了写时拷贝机制保证进程独立性。同时说明了全局变量、字符串常量的存储特性。最后,分析了使用虚拟地址的三大原因:安全审核、内存有序管理、进程与内存管理解耦。虚拟地址通过页表映射物理内存,既能保护物理内存安全,又能让每个进程拥有统一的地址视图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值