使用者管理與提權
阿新 • • 發佈:2022-04-09
使用者組管理與使用者提權
1.使用者組管理
相關檔案:
/etc/group:使用者組資訊配置檔案
內容:
root:x:0:
第一行:
組名字
第二行:
密碼佔位符
第三行:
使用者組的gid
第四行:
該組的附加成員
/etc/gshadow:使用者組密碼儲存檔案
內容:
root:::
第一行:
使用者組名字
第二行:
使用者組加密密碼(空和‘!’為沒有密碼)
第三行:
使用者組的管理員
第四行:
該組的附加成員
1.1 新增使用者組
groupadd:新增使用者組 語法: groupadd [選項] 使用者組名 選項: -g:指定組的gid -r:指定該使用者組為系統組
1.2 刪除使用者組
groupdel:刪除使用者組
語法:
groupdel 組名
1.3 修改使用者組
groupmod:修改使用者組資訊
語法:
groupmod [選項] 組名
選項:
-g:修改使用者組的gid
-n:修改組的名字
2.使用者身份切換
su:切換使用者,使用普通使用者登入後可以使用su切換到root使用者下,也可以在普通使用者互相切換,不加使用者名稱預設切換到root下 優點:簡單,可以快速切換 缺點:需要知道root使用者的密碼,切換到root下沒有日誌審計功能 語法: su [-] 使用者名稱 ## 如果不加 ‘-’ 的話會少兩個環境變數檔案,分別是/etc/profile,~/.bash_prodile
3.su命令的需要了解的內容
shell的種類:
1.互動式shell:
需要等待使用者輸入東西的介面
2.非互動式shell:
不需要等待使用者輸入
3.登入式shell:
需要使用者輸入使用者名稱和密碼,才可以登入
4.非登入shell:
不需要輸入使用者名稱和密碼,就可以登入
4.系統環境變數檔案
全域性環境變數檔案:
/etc/bashrc
/etc/profile
/etc/profile.d/*.sh
區域性環境變數檔案:
~/.bashrc
~/.bash_profile
環境變數的載入順序: 1./etc/profile 2./etc/profile.d/*.sh 3.~/.bash_profile 4.~/.bashrc 5./etc/bashrc
5.使用者身份提權
sudo:提權,要使用root才可以使用的許可權時可以進行提權,不用切換到root使用者下,但是要在root配置檔案里加入當前使用者
優點:不需要知道root密碼,安全,方便
缺點:複雜,需要在root下進行配置檔案
5.1 sudo的使用
1.在root使用者下進行sudo的配置
2.在普通使用者下輸入待執行的命令前輸入sudo即可
5.2 sudo的配置
安裝sudo:
yum install -y sudo
修改sudo的方式:
1.vim /etc/sudoers
2.visudo(推薦使用這個,這個在裡面語法錯誤會提示)
5.3 visudo
進入sudoers後,找到:
# 使用者名稱 # 所有的主機=(所有的角色) # 所有命令的執行許可權
root ALL=(ALL) ALL
在這下面新增你想提權的使用者即可
# 在命令的執行許可權前加入NOPASSWD,普通使用者使用root許可權的命令可以不用輸入自己的密碼
選項:
-c:檢查sudoers檔案的語法是否有錯誤
5.4 sudoers的其他別名配置
1.Host_Alias FILESERVERS = fs1, fs2:
主機的別名
2.Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum:
命令的別名
3.User_Alias ADMINS = jsmith, mikem:
角色的別名
6.給組提權
進入sudoers後,找到:
# 使用者組名 所有主機=(所有角色) # 所有命令
%wheel ALL=(ALL) NOPASSWD: ALL
將使用者加入到已經在sudoers的組裡面:
usermod 使用者名稱 -G 提取組
7.sudo執行流程
8.總結
1.輸入visudo,進入sudoers裡,新增使用者提權
2.給使用者新增免密執行sudo的許可權
3.自定義使用者的執行命令,和不可執行命令
4.給使用者組分配提權的許可權
5.sudoers裡有自帶的wheel組,可以直接將使用者加入到該組即可提權