Linux学习——用户管理

Linxu用户管理

Linux与Windows用户登录区别

用户就是指用来登录系统的

Linux是一个多用户的操作系统(OS),支持同一时刻多个用户同时登录

windows支持创建多个用户,但同一时刻只能有一个用户登录

在windows中(这里特指windows个人版,企业版支持多个用户同时登录)

你想要另一个用户登录必须退出当前用户,而Linux中你可以登录另一个用户

同时操作,互不影响。如:

在这里插入图片描述
在这里插入图片描述
在oldboy这个Linux服务器上我同时登陆了root超级管理员用户也登陆了普通用户jack,可以看出jack的登录并没有将root用户挤掉。

所以,我们称Linux是多用户系统。

Linux系统用户的存放

在Linux系统中,用户就是用来登录系统的。

用户创建后会被写到/etc/passwd , /etc/shadow两个文件中

Linux系统会将用户的信息存放在/etc/passwd,记录了用户的信息,但没有密码信息,密码被存放在/etc/shadow中,这两个文件非常重要,不要轻易修改、删除。

/etc/passwd配置文件解释:
在这里插入图片描述

/etc/shadow配置文件解释:
在这里插入图片描述

查看Linux系统的用户信息

1.查看用户信息

[root@bgx ~]# id    #查看当前所登陆的用户信息
uid=0(root) gid=0(root) groups=0(root)
[root@bgx ~]# id oldboy #查看其它用户的信息
uid=1000(oldboy) gid=1000(oldboy) groups=1000(oldboy)

2.每一个进程都会由一个用户身份运行

[root@bgx ~]# ps aux|less 
root      33782  0.0  0.0      0     0 ?        R    02:46   0:00 [kworker/u256:0]
root      35637  0.0  0.0      0     0 ?        R    05:11   0:03 [kworker/0:2]

3.系统对用户的约定

在这里插入图片描述

注:在CentOS7系统之前,UID, 1-499用于系统用户,而UID 500+ 则用于普通用户

Linux系统增加用户

#选项
# -u 指定要创建用户的UID,不允许冲突
# -g 指定要创建用户默认组
# -G 指定要创建用户附加组,逗号隔开可添加多个附加组
# -d 指定要创建用户家目录
# -s 指定要创建用户的bash shell
# -c 指定要创建用户注释信息
# -M 给创建的用户不创建家目录
# -r 创建系统账户,默认无家目录


#1.创建bgx用户,UID5001,基本组students,附加组sa 注释信息:2019 new student,登陆shell:/bin/bash
[root@bgx ~]# groupadd sa
[root@bgx ~]# groupadd students
[root@bgx ~]# useradd -u 5001 -g students -G sa -c "2019 new student" -s /bin/bash bgx

#2.创建mysql系统用户,-M不建立用户家目录 -s指定nologin使其用户无法登陆系统
[root@bgx ~]# useradd mysql -M -s /sbin/nologin
[root@bgx ~]# useradd -r dba -s /sbin/nologin

注:adduser是useradd的软连接,建议使用useradd即可

Linux系统修改用户信息

#选项
# -u 指定要修改用户的UID
# -g 指定要修改用户基本组
# -G 指定要修改用户附加组,使用逗号隔开多个附加组, 覆盖原有的附加组
# -d 指定要修改用户家目录
# -s 指定要修改用户的bash shell
# -c 指定要修改用户注释信息
# -l 指定要修改用户的登陆名
# -L 指定要锁定的用户
# -U 指定要解锁的用户

#1.检查此前创建的用户信息
[root@bgx ~]# grep "bgx" /etc/passwd
bgx:x:5001:503:2019 new student:/home/bgx:/bin/bash

#2.修改bgx用户uid、gid,附加组
[root@bgx ~]# groupadd -g 5008 network_sa
[root@bgx ~]# groupadd -g 5009 devops
[root@bgx ~]# usermod -u 6001 -g5008 -a -G 5009 bgx

#3.修改bgx用户的注释信息, 用户家目录, 登录shell, 登录名
[root@bgx ~]# usermod -c "2019 new student" -md /bgx -s /bin/sh -l change_bgx bgx

#检查是否修改成功
[root@bgx ~]# grep "bgx" /etc/passwd
bgx_xuliangwei:x:6001:5008:2019 new student:/bgx:/bin/sh
[root@bgx ~]# id change_bgx
uid=6001(change_bgx) gid=5008(network_sa) groups=5008(network_sa),503(sa),5009(devops)
[root@bgx ~]# ll -d /bgx
drwx------. 2 bgx_xuliangwei network_sa 4096 2014-09-23 00:13 /bgx

#4.锁定用户[扩展]
[root@bgx ~]# echo "123" |passwd --stdin change_bgx
[root@bgx ~]# usermod -L change_bgx  #锁定后会无法登陆系统

#5.解锁用户[扩展]
[root@bgx ~]# usermod -U change_bgx

注:*当然还有很多命令可以查看用户的信息,以下简单列举一些,但都是我们常用,所以了解即可

  1. 使用finger命名查询用户信息以及登录信息,示例: finger UserName
  2. 使用chfn命令修改用户信息,示例: chfn UserName
  3. 使用chsh命令修改用户登录Bash Shell,示例: chsh UserName
  4. 使用who、whoami、w检查用户登陆情况*

Linux系统删除用户

#选项 -r 删除用户同时删除它的家目录

#1.删除user1用户,但不删除用户家目录和 mail spool
[root@bgx ~]# userdel user1

#2.-r参数可以连同用户家目录一起删除(慎用)
[root@bgx ~]# userdel -r user1

Linux系统用户创建的流程

1.useradd创建用户时,系统会以/etc/login.defs、/etc/defaults/useradd两个配置文件作为参照物,如果在创建用户时指定了参数则会覆盖/etc/login.defs、/etc/defaults/useradd文件默认配置,如未指定则使用默认。

[root@bgx ~]# grep -Ev "^#|^$" /etc/login.defs
MAIL_DIR    /var/spool/mail
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7
UID_MIN                  1000
UID_MAX                 60000
SYS_UID_MIN               201
SYS_UID_MAX               999
GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME yes
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512

[root@bgx ~]# cat /etc/default/useradd
GROUP=100
HOME=/home      #把用户的家目录建在/home中。
INACTIVE=-1     #是否启用账号过期停权,-1表示不启用。
EXPIRE=         #账号终止日期,不设置表示不启用。
SHELL=/bin/bash #新用户默认所有的shell类型。
SKEL=/etc/skel  #配置新用户家目录的默认文件存放路径。
CREATE_MAIL_SPOOL=yes   #创建mail文件。

2.当使用useradd创建用户时,创建的用户家目录下会存在 .bash_* 环境变量相关的文件,这些环境变量文件默认从/etc/skel目录中拷贝。这个默认拷贝环境变量位置是由/etc/defaults/useradd配置文件中定义的。

#故障案例,在当前用户家目录执行了rm -rf .*,下次登录系统时出现-bash-4.1$,如何解决!
-bash-4.1$ cp -a /etc/skel/.bash* ./
-bash-4.1$ exit
[root@bgx ~]#   #重新连接即可恢复

Linux系统修改用户密码以及为新用户设定密码

创建用户后,如需要使用该用户登陆系统则需要为用户设定密码,设定密码使用passwd命令。建议密码复杂度高一些、长度大于10、出现各种特殊字符、无任何规律(不要出现名字,电话,生日等)
PS: 注意事项
1.普通用户只允许变更自己的密码,无法修改其他人密码,并且密码长度必须8位字符
2.管理员用户允许修改任何人的密码,无论密码长度多长或多短。

#1.使用passwd命令修改用户密码
# passwd        #给当前用户修改密码
# passwd root   #给root用户修改密码
# passwd oldboy #给oldboy用户修改密码,普通用户只能自己修改自己


#2.验证如下几项指标
# passwd                #root管理员用户登陆,修改root用户密码
# passwd ly             #root用户登陆,修改其他用户的密码
$ passwd root           #普通用户修改root管理员密码
# echo "123" | passwd --stdin ly    #非交互式修改密码


#3.系统内置变量生成随机字符串
[root@bgx ~]# echo $RANDOM|md5sum|cut -c 1-10
d09fe9b1xs
[root@bgx ~]# echo $(echo $RANDOM|md5sum |cut -c 5-14) |tee pass.txt| passwd --stdin xuliangwei

#4.mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,-C大写字母,-s特殊字符
[root@bgx ~]# yum install -y expect   //需要安装扩展包
[root@bgx ~]# mkpasswd -l 10 -d 2 -c 2 -C 2 -s 4
|K&13bR)i/

注:后面两种随机生成密码了解即可

用户组的管理

1.什么是用户组

其实就是一种逻辑层面的定义,逻辑上将多个用户归纳至一个组,当我们对组操作,其实就相当于对组中的所有用户操作。

2.组的类别?

基本组,用户只能有一个基本组,创建时可通过-g指定,如未指定则创建一个默认的组(与用户同名)
附加组,基本组不能满足授权要求,创建附加组,将用户加入该组,用户可以属于多个附加组

3.组的信息存放

组账户信息保存在/etc/group和/etc/gshadow两个文件中。重点关注group

1./etc/group 配置文件解释如下图

在这里插入图片描述

2. /etc/gshadow 配置文件解释如下图

3.增加组

#创建基本组, 不指定gid
[root@bgx ~]# groupadd no_gid
[root@bgx ~]# tail -n1 /etc/group
no_gid:x:1000:

#创建基本组, 指定gid为5555
[root@bgx ~]# groupadd -g 5555 yes_gid
[root@bgx ~]# tail -n1 /etc/group
yes_gid:x:5555:

#创建系统组,gid从201-999
[root@bgx ~]# groupadd -r sys_group
[root@bgx ~]# tail -n1 /etc/group
sys_group:x:990:

4.修改组

#-g 修改组gid
[root@bgx ~]# groupmod -g 1111 no_gid
[root@bgx ~]# tail -1 /etc/group
no_gid:x:1111:

#-n 修改组名称
[root@bgx ~]# groupmod -n active_group yes_gid
[root@bgx ~]# tail -1 /etc/group
active_group:x:5555:

5.删除组

#删除组
[root@bgx ~]# groupdel active_group

#删除用户附加组
[root@bgx ~]# id ly
uid=1069(ly) gid=5005(ly) groups=5005(ly),5004(devops)
[root@bgx ~]# groupdel devops
[root@bgx ~]# id ly
uid=1069(ly) gid=5005(ly) groups=5005(xuliangwei)

#无法删除用户基本组
[root@bgx ~]# groupdel network_sa
groupdel: cannot remove the primary group of user 'bgx_ly'
#只有删除用户或者用户变更基本后,方可删除该组

注 :groupdel删除组,删除时需要注意,如果用户存在基本组则无法直接删除该组,如果删除用户则会移除默认的私有组,而不会移除基本组。

6.修改组密码

[root@bgx ~]# groupadd devops
[root@bgx ~]# gpasswd devops
Changing the password for group devops
New Password:
Re-enter new password:

7.切换基本组身份

#1.检查账户信息
[root@bgx ~]# useradd ly
[root@bgx ~]# id ly
uid=1069(ly) gid=5005(ly) groups=5005(ly)

#2.切换普通用户
[root@bgx ~]# su - ly

#3.创建新文件,查看文件的属主和属组
[ly@bgx ~]$ touch file_roots
[ly@bgx ~]$ ll
-rw-rw-r-- 1 ly ly 0 Jun 13 10:050 filely_roots

#4.使用newgrp切换到devops组
[ly@bgx ~]$ newgrp devops
Password:

#5.创建文件,检查属主和属组
[ly@bgx ~]$ touch file_test
[ly@bgx ~]$ ll
-rw-rw-r-- 1 ly xuliangwei 0 Jun 13 10:56 file_roots
-rw-r--r-- 1 ly devops     0 Jun 13 10:58 file_test

用户如何提权限

往往公司的服务器对外都是禁止root用户直接登录,所以我们通常使用的都是普通用户,那么问题来了?
当我们使用普通用户执行/sbin目录下的命令时,会发现没有权限运行,这种情况下我们无法正常的管理服务器,那如何才能不使用root用户直接登录系统,同时又保证普通用户能完成日常工作?
PS: 我们可以使用如下两种方式: su、sudo
1.su切换用户,使用普通用户登录,然后使用su命令切换到root。优点:简单 缺点:需要知道root密码
2.sudo提权,当需要使用root权限时进行提权,而无需切换至root用户,优点:安全、方便 缺点:复杂

1.su身份切换

在使用su切换前,我们需要了解一些预备知识,比如shell分类、环境变量配置文件有哪些

1.Linux Shell主要分为如下几类

交互式shell,等待用户输入执行的命令(终端操作,需要不断提示)
非交互式shell,执行shell脚本, 脚本执行结束后shell自动退出
登陆shell,需要输入用户名和密码才能进入Shell,日常接触的最多的一种
非登陆shell,不需要输入用户和密码就能进入Shell,比如运行bash会开启一个新的会话窗口*

2.bash shell配置文件介绍(文件主要保存用户的工作环境)*

个人配置文件:~/.bash_profile ~/.bashrc 。全局配置文件:/etc/profile /etc/profile.d/*.sh /etc/bashrc
profile类文件, 设定环境变量, 登陆前运行的脚本和命令。bashrc 类文件, 设定本地变量, 定义命令别名
PS: 如果全局配置和个人配置产生冲突,以个人配置为准。*

3.登陆系统后,环境变量配置文件的应用顺序是?

登录式shell配置文件执行顺序: /etc/profile->/etc/profile.d/*.sh->/.bash_profile->/.bashrc->/etc/bashrc
非登陆式shell配置文件执行顺序: ~/.bashrc->/etc/bashrc->/etc/profile.d/*.sh
PS: 验证使用echo在每行添加一个输出即可

4.说了这么多预备知识,那这些和su命令切换用户有什么关系?

su - username属于登陆式shell,su username属于非登陆式shell,区别在于加载的环境变量不一样。
普通用户su -可以直接切换至root用户,但需要输入root用户的密码。
超级管理员root用户使用su - username切换普通用户不需要输入任何密码。

#1.普通用户使用su切换root
[ly@node1 ~]$ su
密码:         #输入root的密码
[root@node1 ly]# pwd
/home/ly

#2.普通用户使用su -切换到root,会加载root的环境变量
[ly@node1 ~]$ su -
密码:
[root@node1 ~]# pwd
/root

#3.以某个用户的身份执行某个服务,使用命令su -c username
[root@bgx ~]# su - ly -c 'ifconfig'
[root@bgx ~]# su - ly -c 'ls ~'

2.sudo提权限

su命令在切换用户身份时,如果每个普通用户都能拿到root用户的密码,当其中某个用户不小心泄漏了root的密码,那系统会变得非常不安全。为了改进这个问题,从而产生了sudo这个命令。

其实sudo就相当于给某个普通用户埋下了浩克(hulk)的种子,当需要执行一些高级操作时,进行发怒,但正常情况下还是普通人,还是会受到限制。

1.快速配置sudo方式
#1.快速配置sudo方式[先睹为快]
[root@node1 ~]# usermod bgx -G wheel
[root@node1 ~]$ sudo tail -f /var/log/secure    #sudo审计日志

#2.一般正常配置sudo方式
[root@www ~]# #visudo => vim /etc/sudoers
#1.用户名  2.主机名=(角色名)       4.命令名
bgx       ALL=(ALL)         /usr/bin/yum,/usr/sbin/useradd   #允许使用sudo执行命令
oldboy   ALL=(ALL)          NOPASSWD:/bin/cp, /bin/rm   #NOPASSWD不需要使用密码
2.普通用户使用sudo
#1.切换普通用户
[root@bgx ~]# su - xuliangwei

#2.检查普通用户能提权的命令
[xuliangwei@xuliangwei ~]$ sudo -l
User xuliangwei may run the following commands on this host:
    (ALL) ALL

#3.普通用户正常情况下是无法删除opt目录的
[xuliangwei@xuliangwei ~]$ rm -rf /opt/
rm: cannot remove `/opt: Permission denied

#4.使用sudo提权,需要输入普通用户的密码。
[xuliangwei@xuliangwei ~]$ sudo rm -rf /opt
3.提升的权限太大,能否有办法限制仅开启某个命令的使用权限?其他命令不允许?
#第一种方式:使用sudo中自带的别名操作,将多个用户定义成一个组,这个组只有sudo认可
[root@bgx ~]# visudo  #也可以使用vi /etc/sudoers来配置
# 1.使用sudo定义分组,这个系统group没什么关系
User_Alias OPS = oldboy,alex
User_Alias DEV = bgx,py

# 2.定义可执行的命令组,便于后续调用
Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
Cmnd_Alias STORAGE = /bin/mount, /bin/umount
Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

# 3.使用sudo开始分配权限
OPS  ALL=(ALL) NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSES
DEV  ALL=(ALL) SOFTWARE,PROCESSES

#4.登陆对应的用户使用 sudo -l 验证权限
#第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.
#1.添加两个真实的系统组,  group_dev group_op
[root@www ~]# groupadd group_dev
[root@www ~]# groupadd group_op

#2.添加两个用户,      group_dev(user_a  user_b)   group_op(user_c  user_d)
[root@www ~]# useradd user_a -G group_dev
[root@www ~]# useradd user_b -G group_dev
[root@www ~]# useradd user_c -G group_op
[root@www ~]# useradd user_d -G group_op

#3.记得添加密码
[root@www ~]# echo "1" | passwd --stdin user_a
[root@www ~]# echo "1" | passwd --stdin user_b
[root@www ~]# echo "1" | passwd --stdin user_c
[root@www ~]# echo "1" | passwd --stdin user_d

#4.在sudo中配置规则
[root@www ~]# visudo
    Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping
    Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum
    Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start
    Cmnd_Alias STORAGE = /bin/mount, /bin/umount
    Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp
    Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

    %group_dev ALL=(ALL) SOFTWARE
    %group_op ALL=(ALL) SOFTWARE,PROCESSES

#5.检查sudo是否配置有错
[root@www ~]# visudo -c
/etc/sudoers: parsed OK


#6.检查user_a,和user_d的sudo权限
[user_a@www.oldboyedu.com ~]$ sudo -l
User user_a may run the following commands on www:
    (ALL) /bin/rpm, /usr/bin/yum

[user_d@www.oldboyedu.com ~]$ sudo -l
User user_d may run the following commands on www:
    (ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall
4.sudo命令的执行流程
  1. 普通用户执行sudo命令时, 会检查/var/db/sudo是否存在时间戳缓存
  2. 如果存在则不需要输入密码, 否则需要输入用户与密码
  3. 输入密码会检测是否该用户是否拥有该权限
  4. 如果有则执行,否则报错退出

在这里插入图片描述

发布了206 篇原创文章 · 获赞 419 · 访问量 32万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 编程工作室 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览