RH124-05 管理本地用戶和組
第五章 管理本地用戶和組
學習目標:
理解用戶和組在Linux系統上的工作機制
掌握使用系統管理員的身份執行命令
掌握創建、修改、鎖定、刪除本地用戶
掌握創建、修改、刪除本地用戶組
掌握通過人工或者通過密碼策略自動鎖定指定賬號
5.1 用戶和組的工作機制
相關命令: id、 ls -l 、 ps au
相關文件: /etc/passwd , /etc/group
username:password:UID:GID:GECOS:/home/dir:shell
groupname:password:GID:list,of,users,in,this,group
用戶uid的分類:
0 管理員
1-200 系統用戶,由系統靜態分配給系統進程使用
201-999 系統用戶,這些用戶在系統上一般不會擁有文件,他們是動態地指定給安裝了的軟件作為運行身份。
1000+ 常規用戶
需要了解的一些shell:
/bin/bash 系統默認shell
/sbin/nologin 非交互式shell: 禁止用戶登陸的作用
=
5.2 獲得管理員權限
相關命令:
su [-] <username>
sudo <command>
su 和 sudo的區別
5.3 管理本地賬號
相關命令: useradd ,usermod ,userdel,passwd , groupadd ,groupmod,gpasswd,groupdel
相關文件: /etc/login.defs , /etc/passwd , /etc/shadow , /etc/gpasswd , /etc/gshadow
需要掌握: 創建,修改,刪除用戶、用戶組,修改用戶組身份,設定用戶密碼
添加用戶前需要確定:
確定用戶的默認組是否有特殊要求
確定用戶是否允許登陸
確定用戶的密碼策略
確定用戶的有效期
確定用戶的uid是否有特殊要求
useradd,usermod 的參數:
-u 指定用戶的uid
-c 添加用戶註釋
-g 指定用用戶的默認組
-G 指定用戶的附加組
-a 追加更多的附加組,必須和-G使用: -aG
-d 指定用戶的家目錄
-m 家目錄遷移,必須和-d一起使用
-s 指定用戶默認shell
-L 鎖定用戶
-U 解鎖用戶
groupadd命令的需要掌握的參數:
-g
groupmod命令的需要掌握的參數:
-g
-n
練習: 考試必考知識點
建立用戶juliet, romeo, hamlet,reba, dolly, and elvis
建立用戶組,組ID要求為30000,組名為shakespeare
建立用戶組,組名為artists
要求把shakespeare作為用戶juliet, romeo和 hamlet的附加組
要求把artists作為用戶reba, dolly 和 elvis的附加組
要求artists同時作為用戶romeo的另外一個附加組(之前的附加組還繼續使用)
5.4 管理用戶密碼
相關文件: /etc/passwd,/etc/shadow
相關命令: chage,usermod
chage命令的參數:
-l 顯示帳戶年齡信息
-E # chage -E 2014-12-28 romeo
-d # -d 0 下次登陸系統強制修改密碼
-M 將兩次改變密碼之間相距的最大天數設為“最大天數”
-m 將兩次改變密碼之間相距的最小天數設為“最小天數”
-W 將過期警告天數設為“警告天數”
-I 過期 INACTIVE 天數後,設定密碼為失效狀態
練習: 在server虛擬機上完成。 當romeo用戶第一次登陸系統的時候(默認登陸密碼為romeo),必須要求強制更改密碼。密碼有效期為90天,賬號將在180天後過期
實驗: 重置server虛擬機,然後在上面完成操作
新建用戶sspade, bboop, and dtracy,密碼有效期為30天,默認密碼都為redhat
新建用戶組consultants,組ID必須為40000,並且該組作為上面三個用戶的附加組
把上述三個用戶的賬號有效期設定為90天後
bboop用戶的密碼有效期更改為15天
所有用戶在第一登陸的時候都必須強制修改密碼
實驗完畢,提交# lab localusers grade
======================================================================================================================
上課筆記 :
5.1
[[email protected] kuang]$ id
uid=1000(student) gid=1000(student) groups=1000(student),10(wheel) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
一個用戶可以有多個組
[[email protected] kuang]$ ls -l
total 4
-rw-rw-r--. 1 student student 51 May 20 11:58 date
-rw-rw-r-- 第一個三位,表示這個用戶的權限,第二個三位是這個組,但不是這個文件擁有的用戶的權限,第三個三位是表示如果是其他用戶是什麽 權限 。
顯示瞬間進程
[[email protected] kuang]$ ps au
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1005 0.9 4.6 219292 46376 tty1 Ssl+ 11:52 0:11 /usr/bin/Xorg
root 1480 0.0 0.0 110004 860 ttyS0 Ss+ 11:52 0:00 /sbin/agetty -
student 2596 0.0 0.2 116260 2912 pts/0 Ss 11:53 0:00 /bin/bash
student 3476 0.0 0.1 123356 1384 pts/0 R+ 12:12 0:00 ps au
vim /etc/passwd
username:password:UID:GID:GECOS:/home/dir:shell
root:x:0:0:root:/root:/bin/bash
student:x:1000:1000:Student User:/home/student:/bin/bash
[[email protected] kuang]$ touch ~/tanpao.txt 家目錄創建一個文件
[[email protected] kuang]$ ls -lh !$ !$表示上一個命令的最後一個段
ls -lh ~/tanpao.txt
-rw-rw-r--. 1 student student 0 May 20 12:21 /home/student/tanpao.txt
[[email protected] kuang]$ pwd
/tmp/kuang
[[email protected] kuang]$ cd cd後不加參數就進入主目錄(家目錄)
[[email protected] ~]$ pwd
/home/student
[[email protected] /]$ ps
PID TTY TIME CMD
2596 pts/0 00:00:00 bash
4878 pts/0 00:00:00 ps
[[email protected] /]
常見shell
[[email protected] etc]$ cat shells
/bin/sh
/bin/bash
/sbin/nologin
/usr/bin/sh
/usr/bin/bash
/usr/sbin/nologin
/bin/tcsh
/bin/csh
組信息放在etc group下
[[email protected] etc]$ ls -lh group
-rw-r--r--. 1 root root 850 Jul 11 2014 group
可以在group中最後加一個名字,他就有了root的權限
root:x:0:student
[[email protected] etc]$ grep student /etc/passwd
student:x:1000:1000:Student User:/home/student:/bin/bash
5.2 切換到管理員root
[[email protected] Desktop]$ cat /etc/shadow
cat: /etc/shadow: Permission denied
[[email protected] Desktop]$ su -
Password:
Last login: Sat Apr 29 14:15:51 CST 2017 on pts/0
[[email protected] ~]#
[[email protected] Desktop]$ su 這種切換沒有完全切,只是一般份,並且目錄沒有變,一般不用這種
Password:
(process:5757): dconf-WARNING **: failed to commit changes to dconf: The connection is closed
[[email protected] Desktop]# pwd
/home/student/Desktop
[[email protected] Desktop]#
切換後去破壞非常不好,而且無法知道是哪個切換過來的,對系統的安全非常不好。
====================================================
普通用戶不用登陸管理員就可以獲得一些管理員操作。
[[email protected] Desktop]$ sudo cat /etc/shadow
[sudo] password for student:
root:$6$UiGI4Tc2$htsXYn5cJnOqv3P1VLcUSgfjDu2pL5yiJBuua6foZAHdwqeuLHfYUfS/vBn27Wjvoel8EJgtdsMjyquqvKAmf1:16261:0:99999:7:::
bin:*:16141:0:99999:7:::
daemon:*:16141:0:99999:7:::
adm:*:16141:0:99999:7:::
lp:*:16141:0:99999:7:::
sync:*:16141:0:99999:7:::
shutdown:*:16141:0:99999:7:::
halt:*:16141:0:99999:7:::
mail:*:16141:0:99999:7:::
operator:*:16141:0:99999:7:::
games:*:16141:0:99999:7:::
ftp:*:16141:0:99999:7:::
nobody:*:16141:0:99999:7:::
dbus:!!:16197::::::
polkitd:!!:16197::::::
avahi:!!:16197::::::
avahi-autoipd:!!:16197::::::
rpc:!!:16197:0:99999:7:::
rpcuser:!!:16197::::::
nfsnobody:!!:16197::::::
ovirtagent:!!:16197::::::
postfix:!!:16197::::::
sshd:!!:16197::::::
chrony:!!:16197::::::
student:$6$8oIjLCsc$/n1iQXYh1E6.uOEuJKgioqAtmqm2TQmkJGF2RwyteIr1tIfrPdiRYgWe6Sjen5/eMij2uHM/a1tue/QRlo3X80:16261:0:99999:7:::
usbmuxd:!!:16261::::::
colord:!!:16261::::::
abrt:!!:16261::::::
libstoragemgmt:!!:16261::::::
unbound:!!:16261::::::
qemu:!!:16261::::::
saslauth:!!:16261::::::
ntp:!!:16261::::::
rtkit:!!:16261::::::
radvd:!!:16261::::::
pulse:!!:16261::::::
gdm:!!:16261::::::
gnome-initial-setup:!!:16261::::::
tcpdump:!!:16261::::::
[[email protected] Desktop]$
以上操作有日誌,比su -要好很多。
本文出自 “IT正能量” 博客,謝絕轉載!
RH124-05 管理本地用戶和組