标签:linux
Linux批量创建用户、passwd、shadow、组管理、group、gshadow、默认配置文件login.defs、切换用户su、提升权限
在Linux中用户运行某个程序时,该程序的权限属于当前用户,进程所能够访问资源的权限取决于进程的运行者的身份。如果用户的id号为0,即使不叫root,他也是管理员;就算名字叫root它也可能是普通用户。当有多个不同名字的管理员时他们的id号都是0,不同名字管理员的操作也会分开记录,便于查阅。设置id号的另一便捷之处在于用户文件的交接,即管理员删除原用户名并且创建一个id号相同的新用户,原用户的文件就属于新用户了。在工作中时常要管理用户信息与部门信息,如批量创建用户,批量修改密码等,如果直接修改配置文件则有可能出错,因为配置文件都有相应的格式,许多配置文件必须Tab键打头才能被识别,因此最好使用专属命令修改配置文件。
用户组合权限管理
资源分配的安全3A
Authentication:认证
Authorization:授权
Accouting|Audition:审计
用户(user)
令牌token
管理员:root id=0
普通用户:系统用户:1-499(cent6),1-999(守护进程获取资源进行权限分配,是为某些系统服务准备的),nologin的类型
登录用户:(centos6)500+,(centos7)1000+,交互式登录
创建新建用户时,自动建立一个同名的私有组(private group),但必须要加入到一个主组(primary group)中
组(Group)
管理员组:root,0
id user #查看用户uid与名字、gid与名字与groups与所属组名
groups user #查看用户所属组名,无id号
普通组:-499,1-999;普通组:500+,1000+
Linux组名可与用户名相同,windows不可以#
主组(primary group):一个用户只有一个,并且必须有一个
辅助组(secondary group):一个用户可加入多个
私有组(private group):新建用户自动创建的组
若创建文件的用户被删除了,该文件的拥有者和所属组不显示创建者。如果新建一个同id的用户,则该文件将属于新建用户,所以方便在工作中给新用户交接文件。
Linux中识别文件的归属不是看用户名与组名,识别是否管理员不是依据名字,而是依据id号#
用户信息的配置文件
whatis passwd | man 5 passwd #一般配置文件的帮助信息都在man 5
/etc/passwd#:是一个有特定格式的用户及其属性信息文件(名字、UID、GID(primary group号)、描述信息、HOME目录、Shell类型)
pwconv:用户密码被转换到了/etc/shadow下,只有superuser才能read
pwunconv:不转换用户密码,直接显示在/etc/passwd的:x:位,此时没有shadow文件
/etc/shadow#:用户密码及其相关属性(名字、(加密算法.salt.密码)、改口令时间(从1970到今的日数,如果设置为0,下次登入时必须改密码)、最短允许用户更改密码时间、最长允许不更改时间(小于最短时间表示永不允许更改密码),宽限期,账户有效期。
不设密码时为!!,此时不允许登录
passwd -e fz #马上失效密码,强制用户登录时修改
chage -d0 fz #马上失效密码,强制用户登录时修改
pwck #检查passwd的错误
usermod -U fz #解除:!!:“空密码”,解除两次之后可直接login,无需密码
usermod -L fz #锁定账号,不能登录,root能切换
getent passwd fz #只显示fz用户的信息
getent shadow fz #只显示fz的密码信息
$6:sha-512 最新的sha512加密算法 $1:md5-128 #已经不安全了 $5sha-256 #哈希算法是单向加密的
authconfig --passalgo=md5 --update #更换加密算法,新用户生效
chfn fz #增加第五列的描述信息
finger fz #查看fz用户的信息,包括shell类型和登录信息
echo jasonmc |passwd --stdin fz #设置密码,明文的,在history中有记录
chsh -s /bin/bash fz #更改fz的shell类型
/sbin/nologin #是一个可执行文件,shell类型指定为nologin将不可登录
touch /etc/nologin #系统维护,普通用户不能登录。在centos7上可 touch /run/nologin
vipw = vi /etc/passwd
组的配置文件
*/etc/group#:组及其属性信息
*/etc/gshadow#:组密码及其相关属性
gpasswd fz #设置组密码,如果组外用户知道密码则可自己加入该组,不安全,一般由root操作
新建文件默认属于当前用户的主组
groups user #查看用户所属的组
newgrp tom #临时切换当前用户的主组,此时新建文件的组属于tom
grpck #检查group文件的错误
vigr = vi /etc/group
创建用户
useradd fz
useradd -u 503 fz #创建一个指定uid的用户
useradd -u 0 -o fz #忽略检查uid唯一性
useradd -g newgroup fz #指定主组
useradd -G bin,root,ftp #多个辅助组 fz #指定新的辅助组,覆盖
useradd -aG bin,root,ftp fz #追加辅助组,不覆盖
useradd -d /home/newhome fz #指定新的家目录,父目录必须有,子目录必须没有
useradd -c “haha” #添加注释信息
useradd -N fz #不创建同名的主组,加入到id=100的user组
useradd -D 来自于 /etc/default/useradd文件 #创建普通用户时的默认选项,如shell类型,密码期限等,家目录及其一堆的文件,这些文件从/etc/skel拷贝,还会创建邮箱。创建系统用户时默认不会创建家目录与邮箱#。
useradd -r #创建系统用户
/etc/login.defs# #定义了所有的组与用户默认信息,包括邮箱、家目录、密码有效期、UID、加密算法。实质上通过authconfig –passalgo=sha6 –update修改的密码就是改了这个文件的信息。
cat <<EOF |newusers #用cat命令逐行输入,非常好用,EOF是多行重定向,或者这样:
newusers abc.txt #文件格式fz1:x:3001:3001::/home/fz1:/bin/bash #批量创建用户,注意不要用空行
cat <<EOF |chpasswd #cat多行重定向,逐行输入,非常方便,或者这样:
cat abc_pass.txt |chpasswd #fz1:lanfazong #批量密码,注意不要又空行
cp /etc/skel/.[^.]* /home/fz #复制skel下的文件到手动创建用户的家目录下,否则无法正常登录
usermod -u 20000 -g root -G bin,tom -s /bin/csh -d /home/new1 -m -c “hehe test” -l
newhehe -f 10 hehe #改了id,组,复制新家,新名字,最后期限(失效通牒)
userdel -r fz #删除用户,家目录,邮箱
组管理
groupmems -l -g root #查看root组的成员
groupmems -a fz -g root #增加fz到root组
groupmems -d fz -g root #删除
groupmod -G “ ” fz #删除所有辅助组
id -u fz #uid
id -g fz #gid
id -G fz #辅助组groups id
groups fz #用户所属的组
su切换用户
su user #不完全切换,非登录式切换,造成无法访问原来用户目录的情况,who am i显示登录用户,而不是切换用户
su - user #完全切换,登录式切换
su - root -c ‘cat /etc/passwd’ #方便普通用户完成root的命令,不必切换
如果普通用户编程管理员(usermod -og 0 fz)再 改回普通用户就会出错#
安全上下文
用户运行某个程序时,该程序的权限属于当前用户,进程所能够访问资源的权限取决于进程的运行者的身份。
标签:linux
原文地址:http://yisiduoluo.blog.51cto.com/4796141/1868646