简介
在RHEL7当中控制用户权限有DAC和ACL两种方式来控制文件或目录对于相应用户或组的权限,有的时候管理员为了系统安全往往会把root用户给藏起来,不给ssh远程登录,那时我们将使用到sudo来临时获得root用户的权限,或者通过su来切换到拥有权限的用户进行操作,该篇将会讲述用户和权限的相关配置与使用,以及如何临时获得root权限与如何切换用户
用户和权限
下面将分开介绍在RHEL7当中的用户与权限,将把用户部分分成用户和组,权限部分只介绍DAC方面的权限控制和umask
用户和组
在RHEL7当中与用户相关的配置文件主要有几个,分别是/etc/passwd和/etc/shadow,此外还有/etc/group与此相关
1./etc/passwd
#进入该文件可以看到以下示例
vim /etc/passwd
####################
...
#root用户
root:x:0:0:root:/root:/bin/bash
#系统用户
bin:x:1:1:bin:/bin:/sbin/nologin
#普通用户
testuser:x:500:502::/home/testuser:/bin/bash
...
####################
| 字段 | 备注 |
|---|---|
| 字段1 | 帐号名 |
| 字段2 | 用户密码,x意为密码在/etc/shadow |
| 字段3 | UID,6版本的普通用户UID数从500开始用起,1-499为系统使用帐号,7版本为1000,1-999为系统使用帐号,root用户其UID为0,该设置与/etc/login.defs有关 |
| 字段4 | GID,6版本的普通用户GID数从500开始用起,1-499为系统使用帐号,7版本为1000,1-999为系统使用帐号,root用户其GID为0,该设置与/etc/login.defs有关 |
| 字段5 | 用户信息说明栏 |
| 字段6 | 家目录,root用户家目录/root,普通用户家目录默认为/home/username |
| 字段7 | Shell,可以是/bin/bash,/bin/ksh,/bin/csh,/sbin/nologin等 |
- useradd
#增加一个用户
> useradd -g groupname -d /home/username -s /bin/bash -e 2015-07-01 userame
| 参数 | 备注 |
|---|---|
| -g | 初始用户组,一个用户可以加入多个组,未指定组时,默认组名与用户名相同 |
| -G | 附属组,一个用户可以属于多个组 |
| -d | 指定家目录,/etc/skel/下的东西都会默认放到每一个新建的用户家目录下,默认创建在/home/username下 |
| -s | 指定shell,默认为/bin/bash,也可以是/sbin/nologin,/sbin/nologin在邮件系统帐号创建,FTP用户帐号,无需登录,也无法登录 |
| -e | 过期时间 |
| 当需要创建系统账号时则需要使用以下命令 |
#创建系统账号
> useradd -r username
#系统帐号在创建时至少会参考如下文件
#/etc/login.defs /etc/default/useradd /etc/skel
#查看历史命令,可使用grep来进行过滤
> history
- /etc/shadow
#进入该文件可以看到以下示例
> vim /etc/shadow
####################
...
#root用户
root:$6$ppPitqe0$obp0N/3vqJveMexB9RaOgTt2pEYKjukH6sFY26dU9PRq/vVj5j2wyqYXFOEDPqnWw3CPtONVpZ8HBFfhgTYAB/:18271:0:99999:7:::
#系统用户
bin:*:17703:0:99999:7:::
#普通用户
jove:$6$CbUcNJQ1T33vU307$RnVYoL98ynaTXFSpSouljK.4Z2uEGfrsi9tjAlSMc.ZDfyOjtr2xfbkM8fAqtseGR6rCdjSha7HMbB9.GaeRC.:18263:0:99999:7:::
...
#查看用户相应的字段
> chage -l username
####################
| 字段 | 备注 |
|---|---|
| 字段1 | 用户名称 |
| 字段2 | 加密后的密码 |
| 字段3 | 最近更改密码的日期,以1970.1.1开始算起至今,以天为单位 |
| 字段4 | 密码不可更改的天数,为0就是可随时更改 |
| 字段5 | 密码需要重新更改的天数,99999表示密码不需要重新更改,并不受天数限制 |
| 字段6 | 密码更改期限前的警告期限,当密码快到期时,提前这个数字的天数发出警告 |
| 字段7 | 密码过期的宽限时间,当密码已经过期,在这个天数内,还可以使用这个密码登录 |
| 字段8 | 帐号失效日期,以1970.1.1开始算起至今,以天为单位 |
| 字段9 | 保留字段 |
- 密码(强度)策略文件
在RHEL7当中,密码(强度)策略文件我们需要关注的是/etc/pam.d/passwd和/etc/pam.d/system-auth
- /etc/pam.d/passwd
该文件是密码(强度)策略文件的引导者,把相关项引导到对应的配置文件当中 - /etc/pam.d/system-auth
该文件是密码(强度)策略的配置文件
> vim /etc/pam.d/system-auth
####################
...
#密码设置中,大小写敏感,密码最小长度为10个字符,新旧密码至少要有6个不同,大写字母至少2个
password requisite pam_pwquality.so try_first_pass retry=4 type= minlen=10 difok=6 ucredit=2
...
####################
| 功能字段 | 功能 | 示例 |
|---|---|---|
| minlen | 密码最少长度 | minlen=8(密码长度至少为8) |
| difok | 新旧密码之间字符不相同数 | difok=4(新旧密码至少要有4个不同) |
| ucredit | 密码至少含有大写字母数 | ucredit=2(密码包含的大写字母至少2个) |
| lcredit | 密码至少含有小写字母数 | lcredit=1(密码包含的小写字母至少1个) |
| dcredit | 密码至少含有数字数 | dcredit=3(密码包含的数字至少3个) |
| ocredit | 密码至少含有特殊字符数 | ocredit=1(密码包含的特殊字符至少1个) |
- 注:密码更改时,如果是在root用户下对普通用户进行更新,违反规则的密码设置会被警告,如果是普通用户对自己密码进行更改,则会受此策略限制,更改无法通过
当我们设置了密码(强度)策略后,很多时候会因为设置得太过复杂而导致更改密码时会引起不必要烦恼,我们可以借助密码生成程序来生成一些无序的又符合强度得密码来辅助我们,下面介绍得密码生成程序就是expect(mkpasswd)
#安装mkpasswd命令的包
> yum -y install expect.x86_64
#密码总长度一定要大于或等于所有要求字符的最小值,否则会报错
#生成密码,长度12,数字至少3个,小写字母至少3个,大写字母至少3个,特殊字符至少2个
> mkpasswd -l 12 -d 3 -c 3 -C 4 -s 2
| 参数 | 备注 |
|---|---|
| -l | 定义密码的长度。 默认值为9 |
| -d | 定义密码中必须包含的最少数字位数。 默认值为2 |
| -c | 定义密码中必须包含的最少小写字母字符数。 预设值为2 |
| -C | 定义密码中必须包含的最少大写字母字符数。 预设值为2 |
| -s | 定义密码中必须包含的最少特殊字符数。 预设值为1 |
- passwd
当创建用户后,下一步应该设置的是用户密码
#修改用户密码
> passwd username
#修改当前用户密码
> passwd
#锁定用户
#可通过屏蔽/etc/shadow对应行,实现锁定功能
#当使用usermod锁定用户时,该用户/etc/shadow第二字段会在最前头加上"!"
#当使用passwd锁定用户时,该用户/etc/shadow第二字段会在最前头加上"!!"
> usermod -L username
> passwd -l username
#解锁用户
> usermod -U username
> passwd -u username
设置密码前,在/etc/shadow显示
####################
...
username:!!:18283:0:99999:7:::
...
####################
设置密码后,在/etc/shadow显示
####################
...
username:$6$D2H6...:18283:0:99999:7:::
...
####################
当编写脚本时需要使用无交互式的密码修改方式,命令如下
> echo "redhat" | passwd --stdin username
- userdel
当需要删除用户时,应该使用以下命令
#删除用户,只会删除/etc/passwd和/etc/shadow中的相关信息,/home下的家目录并不会删除
> userdel username
#删除用户,连家目录一起删除,但/var/spool/cron和/var/spool/mail并不会删除,需要手动删除
> userdel -r username
- /etc/group
#查看用户组信息,groups排在第一个的是初始组,后面的是附属组
> id username
uid=1002(username) gid=1002(username) groups=1002(username),1001(test)
#添加GID为10000的用户组groupname
> groupadd -g 10000 groupname
#打开用户组的配置文件,可以在最底部看到刚添加的组信息
> vim /etc/group
####################
...
#组内用户都会显示在字段4,创建用户默认添加的组一开始是没有显示的,-G后会显示
test:x:1001:username
username:x:1002:
groupname:x:10000:
...
####################
#替换/etc/passwd字段4,初始用户组
> usermod -g groupname username
#修改/etc/group第4字段,将会以累加的方式进行添加
> usermod -G groupname username
> usermod -G groupname1,groupname2 username
#除了以上用命令修改用户所属组外,还可以直接修改/etc/group文件来进行配置
| 字段 | 备注 |
|---|---|
| 字段1 | 组名,创建用户时会默认创建与用户名相同的组 |
| 字段2 | 组密码,通常情况下没有需要 |
| 字段3 | GID,GID会根据/etc/group字段3当中的最大GID进行累加 |
| 字段4 | 组包含的用户,当用户名与组名相同时默认不显示,当使用-G添加时,即使是同名用户也会显示在/etc/group当中 |
- 用户切换
用户之间的切换多使用su来进行切换,除此之外还可以使用ssh来进行切换
语法:
#允许用户临时的改变帐号
#默认用户是root,当使用“ - ”选项产生新的登录shell
> su [-] [user]
#不切换终端用户界面就可以在指定用户下使用命令
> su [-] [user] -c command
示例:
#切换到root用户下
> su -
#切换到userame用户下
> su - username
#退出用户
> exit
注-1:su -和su的区别,建议使用 “-”,使用“-”就要考虑,是否读入想切换的身份者的环境参数文件,“-”彻底转换,未加“-”,会保留之前的(PATH和pwd),家目录下的.bash_profile文件
在切换用户时还会涉及到PS1的设定,PS1是命令行头信息的配置,默认的配置是“[\u@\h \W]$ ”,当然我们也能按照我们自己的习惯进行修改,首先要用默认配置和效果进行对比,对比出是哪里对应哪里,如下图所示:
[\u=root @=@ \h=localhost \W=当前所在目录]$=提示字符
当需要对PS1进行更改时可以用以下命令进行修改
#显示当前的PS1配置
> echo $PS1
#修改PS1配置,显示完整的主机名
> PS1="[\u@\H \W]$"
下表为一些常用的字符
| 字符 | 备注 |
|---|---|
| \d | 日期,星期 月 日 |
| \H | 显示完整的主机名 |
| \h | 显示首段主机名 |
| \t | 显示24小时制的时间,HH:MM:SS |
| \T | 显示12小时制的时间,HH:MM:SS |
| \A | 显示24小时制的时间,HH:MM |
| \u | 显示当前用户ID |
| \v | 显示BASH的版本信息 |
| \w | 显示完整的工作目录,家目录会以~代替 |
| \W | 显示当前所在工作目录,家目录会以~代替 |
| # | 显示已下达了第几个命令 |
| $ | 提示符,如果是特权用户或者取得root权限的用户则为#,普通用户则为$ |
- chown和chgrp
chown:改变文件或目录的文件所有者
#改变文件或目录的所有者和组
> chown -R username.groupname directoryname
> chown -R username:groupname directoryname
> chown username.groupname filename
> chown username:groupname filename
#只改变文件或目录的所有者
> chown -R username directoryname
> chown username filename
chgrp:改变文件或目录的所有组
#改变文件或目录的所有组
> chgrp groupname directoryname
- 用户查询
| 命令 | 备注 | 示例 |
|---|---|---|
| w | 用于显示目前登入系统的用户信息 | w [options] user |
| who | 用于显示系统中有哪些使用者正在上面,显示的资料包含了使用者 ID、使用的终端机、从哪边连上来的、上线时间、呆滞时间、CPU 使用量、动作等等 | who [options] [FILE|ARG1 ARG2] |
| last | 用于显示用户最近登录信息 | last [-R] [-num] [ -n num ] [-adFiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name…] [tty…] |
| lastlog | 用于报告所有用户或给定用户的最新登录信息 | lastlog [options] |
| whoami | 用于显示当前用户 | whoami [options] |
| wall | 用于向每个终端发送消息 | wall [-n] [ message ] |
权限
在RHEL7当中权限主要分为两种,一是DAC,另外一种为ACL,DAC权限则为ls -l可以看到的权限内容,权限分为三部分,分别为所有者、所有组和其他用户权限,当使用ls -la来查看文件或者目录权限时,所显示的信息解析如下:
- 第一列(属性)
a :第一个表示文件类型
- d:目录
- -:文件
- l:链接文件
- b:块设备(硬盘)
- c:字符设备 (鼠标键盘)
- s:套接字(sockets)
- p: 管道文件(FIFO,pipo)s 和p进程间的信息共享与通信
b:除第一个外后,后面都是以三个为一组
- r:可读
- w:可写
- x:可执行
- 可以使用数字对应 r=4 w=2 x=1
c:最后一位则是ACL的标志位
- .:没有ACL策略
- +:有ACL策略
- getfacl /etc可以查看/etc的ACL策略
注:linux下文件是否可执行与文件名后缀无关,与x权限有关
- 第二列(连接数)
#查看/etc下的连接数总和
> ls -la /etc/ | grep "^d" | wc -l
#在目录下使用ls -l,可以查看该目录下文件的连接数
> cd /;ls -l
> ls -lad /etc
注:对于目录来讲,该列显示的就是其下的目录数(包含.和…)
- 第三列(文件所有者)
- 第四列(文件的所有组)
注:第三和第四列之间没有关系,owner 不一定在第四列的group内
- 第五列(文件大小)
- 第六列(文件的创建日期或最近的文件内容修改日期)
修改文件属性和文件属主(组)等属性时,不能改变这个时间,查看文件内容也不能。但是修改这个文件内容时,即便内容无变化,保存退出则会发生变化
- 第七列(文件名)
上面讲述的是如何查看文件与目录的权限配置,而下面要介绍的是如何修改文件或目录的权限配置
改变文件或目录权限配置使用chmod,除此之外chown与chgrp也可以改变文件或目录的所有者和所有组,由于上面已经讲述过,所以就不重复了
#770的计算方法为
#第一个7代表的是owner=rwx=4+2+1=7
#第二个7代表的是group=rwx=4+2+1=7
#第三个0代表的是others=---=0+0+0=0
> chmod 770 filename
另外一种修改权限配置的方式
| 命令 | 参数 | 修改位 | 权限位 | 修改目标 |
|---|---|---|---|---|
| chmod | u g o a | +(加入) -(减去) =(等于) | r w x | 文件或目录 |
#owner的权限设置为rwx,group的权限设置为rwx
> chmod u=rwx,g=rwx filename
#在owner,group,others的权限加上x(执行位)
> chmod a+x filename
#在others的权限减去r(可读位)
> chmod o-r filename
权限的配置除了上面所说的还有一个重要的内容,那就是umask,它规定了当一个文件新创建出来时权限为是怎样的。目录的默认权限是777扣除umask,文件的默认权限是目录的默认权限减去执行权限。
#查看当前系统umask
> umask
#umask使用umask命令来设置
> umask 0077
root用户的umask是022,而不具备特权的用户的umask是002,文件的特权将是664,目录的特权将是775。上面提到设置umask是可以通过umask命令来进行设置的,但是这种设置方法只是临时性的设置,当重启机器或者退出用户后就无效了,下面通过配置文件来进行设置,这样的设置就是永久生效的
#单用户永久umask设置
> su - user
> vim ~/.bashrc
####################
...
umask 0022
####################
> . ~/.bashrc
#验证
> umask
#全局永久umask设置
#在这里可以选择这两个文件来进行编辑,分别是/etc/profile和/etc/bashrc
#但是这两个文件有读取顺序的先后,是先读取/etc/profile后读取/etc/bashrc
#在文件当中可以看到有以下的脚本代码,我们直接对脚本代码进行修改就好了
> vim /etc/bashrc
####################
...
if [ $UID -gt 199 ] && [ "`/usr/bin/id -gn`" = "`/usr/bin/id -un`" ]; then
#不具备特权的用户
umask 002
else
#具备特权的用户
umask 022
fi
...
#也可以在末尾加上,那样无论是什么用户最后umask都会变成022,不推荐
umask 022
####################
> . /etc/bashrc
#测试
> umask
> su - user
> umask
在生产环境中为了保证系统的安全性,通常会把root账户给藏起来,让人无法登录或者使用,但是某些命令需要使用root权限才能进行使用,这个时候就可以使用sudo命令来临时获得root用户的权限来执行原本不能执行的命令了。sudo可以通过visudo和vim /etc/sudoers来查看其当前配置,visudo最终指向的文件其实都是/etc/sudoers,当用户使用sudo时会先去读取/etc/sudoers来查看用户是否有sudo权限,下面我们将来解析/etc/sudoers
- 使用方法
sudo command
- /etc/sudoers配置格式
用户或组 登录的主机 = (可切换的身份) 可执行的命令
| 字段 | 备注 |
|---|---|
| 用户或组或别名 | user %group |
| 登录的主机 | hostname |
| 可切换的身份 | 系统上的用户,如果没有指定,默认是进行root的身份切换 。如果是ALL,就是说可以切换成任何Linux本机上的帐号 |
| 可执行的命令 | NOPASSWD: ALL无需输入当前用户的密码,所有命令都可执行,只有ALL的话,就需输入当前用户的密码后,什么命令都可执行,也可以使用命令集组成的命令别名 |
> vim /etc/sudoers
####################
...
#系统默认
root ALL=(ALL) ALL
#有密码获取最高权限
user ALL=(ALL) ALL
#无密码获取最高权限
user ALL=(ALL) NOPASSWD:ALL
#组有密码获取最高权限
%group ALL=(ALL) ALL
#组无密码获取最高权限
%group ALL=(ALL) NOPASSWD:ALL
#用户别名
User_Alias ADMINS = user1,user2
#主机别名
Host_Alias HOST = hostname1,hostname2
#命令别名
Cmnd_Alias CMND = command1,command2
#执行身份别名,如root,oracle
Runas_Alias RUNAS = operator1, operator2, operator3
#使用别名的配置为,别名一定要写在该命令前,不然无法读出别名
ADMINS HOST=(RUNAS) CMND
#无密码获取最高权限,除修改root密码与切换至root用户的命令外
ADMINS ALL=NOPASSWD:ALL,!/usr/bin/passwd root,!/usr/bin/su -
...
####################
#使用修改root密码的命令来进行测试
> su - user
> sudo passwd root
2064
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
