系统中用户管理
1、用户及用户组存在的意义
用户存在的最大意义在于能够使系统资源得到合理的分配,可以使系统运行更加安全,因为系统资源是有限的,如果没有用户这个概念,将会导致系统在分配资源时产生混乱。常用3A机制组成系统中最底层的安全架构,包括:1、身份 (account),2、授权(author),3、认证 (authenticate)。
而用户组是一个逻辑容器,方便对用户进行归类和统一授权。
2、用户及用户组在系统中的存在方式
由于电脑对数字敏感,人类对字符串敏感,所以最好两种都保留,那么id对应的名称必须要记录到文件中,用户就是 /etc/passwd 文件中的一行字符,用户组存在的方式就是 /etc/group 文件中的一行字符。
3、用户切换
(1)用户的查看
whoami可以查看当前用户,下面具体的命令可以查看各种信息
1)id -u 表示查看用户的用户id
2)id -g 表示查看用户主组id
3)id -G表示查看用户所有的组的id
4)id -n 表示显示名称(注意这个n不能单独使用,因为系统不知道你要查看谁的名称,必须和上面的连用)
(2)用户的切换
我们可以临时的使用su - 用户名来实现用户的切换,如图我们从root用户切换到westos用户,是可以直接切换的,而从westos用户切换root用户需要密码,即使从westos用户切换westos用户本身也需要密码。
我们也可以使用su 用户名来切换用户身份,但是只切换用户,环境还是原来的,会导致无法使用,所以一定记得要打-。其实在用户切换的过程中,每切换一次用户,会打开一个新的shell,我们可以通过monitor来查看,如图,所以在做用户切换时当使用完毕后,用户身份要及时退出。
注意,在一个shell中反复执行su命令的话,如图会造成环境错乱。
4、用户涉及到的系统配置文件
(1)当我们想要查看用户身份信息时,可以打开/etc/passwd,如图,里面有许多行,每一行都用冒号分为7部分,那么每部分表示什么含义呢?
每部分表示,
用户名称:用户密码:用户id:用户主组id:用户说明:用户家目录:用户默认
(2)当我们想要查看组身份信息时,可以打开/etc/group,如图,里面有许多行,每一行都用冒号分为4部分,那么每部分表示什么含义呢?
每部分表示,
组名称:组密码:组id:组的附加成员
(3)当我们想要查看用户认证信息时,可以打开/etc/shadow,下面有详细的介绍。
5、用户和用户组建立及删除
建立用户或建立组有许多命令,以下一一介绍。
(1)useradd username 建立用户
(2)useradd -u id username 指定用户id并建立用户
(3)useradd -g id username 指定主组id并建立用户
(4)useradd -G id username 指定附加组id并建立用户
(5)useradd -d dir username 指定用户家目录为dir并建立用户
(6)useradd -M username 建立用户时不建立家目录
(7)useradd -c word username 指定用户说明并建立用户
(8)useradd -s shell username 指定用户的shell并建立用户
(9)userdel -r username 删除用户 并删除用户的系统配置文件(注意userdel username也可以删用户,但是家目录没有同时删掉,后面很麻烦)
(10)groupadd username 组建立
(11)groupadd -g id username 指定组id并建立组
(12)groupdel username 组删除
为了更加直观的看到每一条命令的效果,我们现在需要同时打开三个shell,第一个shell输入watch -n 1 tail -n 5 /etc/passwd /etc/group,效果是每隔一秒监控一次/etc/passwd 和/etc/group两个文件的最后五行,这样当我们有新的用户或组建立,可以在此看到对应消息(ctrl c 可以退出监控模式)。第二个shell输入watch -n 1 ls -l /home,效果是每隔一秒监控一次家目录下的文件。第三个shell就可以输入上面的命令,看效果(注意最好建一个看完效果就删一个)。
6、用户和用户组的信息管理
当我们已经建立好用户或用户组了,那就需要更改他们的信息。
(1)usermod -l newname username 更改用户名称
(2)usermod -u id username 更改用户id
(3)usermod -g id username 更改主组id
(4)usermod -G id username 更改用户附加组身份
(5)usermod -aG id username 添加用户附加组身份
(6)usermod -c word username 更改用户说明
(7)usermod -d dir username 更改家目录指向
(8)usermod -md dir username 更改家目录指向同时更改家目录名称
(9)usermod -s shell username 更改默认shell
(10)usermod -L username 冻结账号
(11)usermod -U username 解锁
(12)groupmod -g id username 更改用户组id
同样,建立两个监控,再练习命令
7、用户认证信息管理
用户认证信息在/etc/shadow里,可以看到用冒号分为了9个部分。如图,分别表示为
用户名称:用户密码的加密字符:用户密码最后一次被修改时间:密码最短有效期:密码最长有效期:密码过期前警告期:账号非活跃期:账号到期时间:用户自定义(未使用)
其中时间的表达都是从1970年1月1日到现在的时间差,而不显示绝对时间。下面介绍有哪些管理用户认证信息的命令
(1)passwd lee 改lee这个用户的密码(只有root可以执行此命令)
(当root改密码时,不需要原密码。而当用户自己改密码时,需要先输入原密码,才可以输入新密码)
(2)passwd -S lee 查看lee这个用户的密码状态
(3)passwd -l lee 冻结lee这个用户的账号认证
(4)passwd -u lee 解锁lee这个用户的账号认证
(5)passwd -d lee 删除lee这个用户的密码
(6)passwd -e lee 或chage -d 0 lee 修改默认使用时间为0,账号必须改密码才能登陆系统(批量开银行卡时会用到)
(7)passwd -n 1 lee 或chage -m 1 lee 密码最短有效期,lee在1天内不能改密码(不能过于频繁的修改密码)
(8)passwd -x 40 lee 或chage -M 40 lee 密码最长有效期,40天内lee用户必须更新密码否则会被冻结(一个密码不能用太久)
(9)passwd -w 2 lee 或chage -W 2 lee #账号过期前两天警告
(10)passwd -i 5 lee 或chage -I 5 lee 账号认证最大时间超过后还能用5天,但是登录需要马上改密码
(11)chage -E "2020-05-11" 到2020-5-11这天账号会被冻结
(12)groupmod -g id username
同样,我们需要建立两个监控,一个是/etc/shadow,另一个是查看家目录。
8、用户权力下放
在系统中,普通用户无法执行系统的管理命令,但是如果root用户进行了授权,普通用户就可以执行系统管理的动作,叫权力下放。
我们需要编辑 /etc/sudoers这个文件,在里面加入授权的命令,但是vim打开的话,无法提供语法检测,所以这里采用特殊的visudo命令,可以提供语法检测。一般来说大家都在第100行进行输入,如图这句话表示授权lee这个用户可以在westoslinux.westos.org主机中以root用户的身份执行useradd命令。编辑完成后,:wq退出保存。
现在我们实验看看效果,用su - 切换到用户lee,建立用户haha,不行,仔细检查发现少打了sudo,正确的命令应该是sudo useradd haha,没有报错,成功了。(第一次使用sudo命令时,需要输入密码,在我这个实验里,由于已经输入过密码,所以不在提示输入密码了)
当然我们也可以直接设置为无密码的,如图输入visudo命令后,编辑时多加一个NOPASSWD:即可。
941
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
