Centos7使用者基本許可權輕鬆管理篇

2018年03月27日 16:47:22 網際網路行者 閱讀數：2982

版權宣告：本文為博主原創文章，未經博主允許不得轉載。 https://blog.csdn.net/learner198461/article/details/79714911

一、使用者組分類：管理員組和普通組
         管理員組（root，gid為0）
              普通組：gid範圍：1-65535，分為系統組和登入組，
              系統組（gid範圍：1-999）和登入組（gid範圍：6000-10000）
二、使用者的分類：
        使用者分為：管理使用者和普通使用者。

        （1）管理使用者root（uid為0），權利最大的管理員，所有的許可權對它來說幾乎是形同虛設的，它的存在就是為了管理其它使用者的，於是普通使用者都得由它來建立。        （2）普通使用者分為登入使用者和系統使用者。uid的範圍也和group相似，uid範圍：1-65535，登入使用者（uid範圍：1-999）可以用來登入，可以通過不同驗證方式登入，但是對於新手來說，剛開始接觸大多數都是密碼驗證登入。系統使用者（6000-10000）。

三、使用者即使用者組的建立：
    一個使用者從建立到使用，通常經過的流程為：
        建立使用者組——使用者組密碼——建立使用者——設定密碼。
          翻譯成命令，即：
          groupadd——gpasswd——useradd——passwd。

          如果對使用者組沒要求，可以不用建立使用者組的，而直接建立user，會生成相應的組的。一般來說，gpasswd不是必須的，因此最簡單的useradd passwd，這裡操作要在root許可權下。

id 使用者名稱，顯示當前賬號資訊

指定附加組，一個使用者只能擁有一個基本組，也稱之有效組，或者說主組，但是卻可以屬於多個附加組，而一個組可以有多個使用者，是多對多的關係，如果有的命令還沒熟悉，沒關係，可以往下面繼續檢視,如何為使用者指定附加組（useradd -G）,以及後面追加附加組（usermod -aG）

 chage命令：更改密碼的過期資訊，主要是對應修改/etc/shadow裡面的資料
    -l：列出密碼的詳細引數
    -d  ：修改建立密碼的距離19700101那天的秒數，即將最近一次密碼設定時間設為“最近日期”    chage -d "487208" centos
    -E:修改過期時間
    -W：指定警告時間
    -m：密碼最短可修改天數
    -M：密碼最長必須修改天數

    userdel命令：刪除使用者
    userdel [選項] username
    -r：刪除使用者時一併刪除其家目錄

    usermod命令；修改使用者屬性
    usermod [option] username
    -u，--uid UID:指定新的UID
    -g：--gid GROUP:修改使用者所屬的基本組：
    -G,   --groups GROUP1[,GROUP2,...[,GROUPN]]]修改附加組，原來的附加組會被覆蓋
    -a：--append，與-G一同使用，用於為使用者追加新的附加組
    -c, --comment  COMMENT ：指明註釋資訊-d，--home HOME_DIR:修改使用者的家目錄，使用者原有的檔案不會被移置新位置   預設修改是不建立新的檔案位置的
    -m，--move-home，只能與-d選項一同使用，用於將原來的家目錄移動為新的家目錄
    -l，--login NEW_LOGIN:修改使用者名稱
    -s，--shell SHELL:修改使用者預設的shell
    -L；--lock 鎖定使用者密碼
    -U，--unlock；解鎖使用者的密碼
 

    eg2：修改使用者名稱(usermod -l)以及修改使用者家目錄並移除原來目錄(usermod -md)如下

 2.使用者組的建立
        涉及命令：groupadd，groupdel，groupmod，gpasswd
             groupadd命令：新增組
        groupadd [option] group_name
        -g GID:指定GID,預設是上一個組的GID+1
        -r：建立系統組

        groupmod命令：修改組屬性
        groupmod [option] groupname
        -g GID:修改gid
        -n newname：修改groupname
groupdel命令：
        groupdel [option] group

        gpasswd：修改組密碼，並且設定user
        gpasswd [option] group
        -a USERNAME:向組中新增使用者
        -d USERNAME:從組中移除使用者

    3.檢驗以及檢視使用者即使用者組
     系統關機後，記憶體裡面的資料是不會存在的，而且像賬號密碼這麼重要的資料當然是需要寫到磁碟上面去了，而且應該是寫到某個固定的文件中去了，對吧。下面我想介紹兩種檢視使用者及使用者組方法：通過命令檢視和通過文件檢視
   （1）通過命令檢視：id     
     id命令:顯示使用者的真實和有效ID
        id [option]... [user]
        -u:僅顯示有效的UID
        -g：僅顯示使用者的基本組
        -G：僅顯示使用者所有的組
        -n：顯示名字而非ID,和上面的引數可以搭配使用
   （2）通過文件檢視：tail -n /etc/passwd | /etc/shadow | /etc/group
       這仨文件有什麼關係呢：當我們登入到系統時，輸入賬號密碼後，系統會根據你輸入到賬戶到/etc/passwd搜尋看有沒有這個賬戶，即/etc/passwd裡面的name，沒有則退出，有的話，再去/etc/shadow裡面去核對密碼，當所有都無誤了
       /etc/passwd:主要是存放user資訊的庫
        name:password:UID:GID:GECOS:directory:shell
       /etc/shadow：單獨存放user的密碼
       使用者名稱：加密的密碼：最近一次修改密碼的時間：最短使用期限：最長使用期限：警告期限：過期期限：保留欄位
       /etc/group：存放group資訊的庫

       group_name:password:GID:user_list

    1.檢視系統支援的shells：  cat /etc/shells
    2.使用者新增附加組有三種方法：第一：usermod -aG  username ，第二： gpassword -a username groupname，第三：vi /etc/group,在最後一項新增username
    刪除附加組： gpasswd  -d  USERNANME，vi /etc/group
    3./etc/passwd,/etc/shadow,/etc/group的預設設定是在 /etc/login.defs
    4.passwd的加密究竟用的哪種加密演算法，在/etc/shadow裡面的第二欄位就有據可查，總共由3個$符隔開，第一和第二個$之間表示加密的演算法，為6表示sha512，第二個$和第三個$之間表示的是salt，最後一段就是真正的加密資料了。
        passwd --status  USERNAME ,或者 passwd -S USERNAME 可以也可以檢視賬戶的屬性以及使用的什麼加密演算法
            加密演算法 對稱和非對稱
                公式：s={p,c,k,e,d}, p=Ek(c),c=Dk(p)
                對稱 DES，3DES，RC2 RC4
                非對稱 RSA DSA
                單向加密 md5 sha base64 hmac
        加密演算法代號：   
            1  md5:message digest,128bits  訊息摘要
            2  sha：secure hash algorithm   安全的雜湊演算法，160bits
            3  sha224
            4  sha256
            5  sha384
            6  sha512

設定普通使用者也能執行yum等命令，等於root許可權。

1、開啟visudo檔案，設定 serverdevops     ALL=(ALL)     ALL