码迷,mamicode.com
首页 > 系统相关 > 详细

linux温故知新五

时间:2016-11-03 03:18:32      阅读:367      评论:0      收藏:0      [点我收藏+]

标签:linux

Linux批量创建用户、passwd、shadow、组管理、group、gshadow、默认配置文件login.defs、切换用户su、提升权限


在Linux中用户运行某个程序时,该程序的权限属于当前用户,进程所能够访问资源的权限取决于进程的运行者的身份。如果用户的id号为0,即使不叫root,他也是管理员;就算名字叫root它也可能是普通用户。当有多个不同名字的管理员时他们的id号都是0,不同名字管理员的操作也会分开记录,便于查阅。设置id号的另一便捷之处在于用户文件的交接,即管理员删除原用户名并且创建一个id号相同的新用户,原用户的文件就属于新用户了。在工作中时常要管理用户信息与部门信息,如批量创建用户,批量修改密码等,如果直接修改配置文件则有可能出错,因为配置文件都有相应的格式,许多配置文件必须Tab键打头才能被识别,因此最好使用专属命令修改配置文件。



用户组合权限管理


资源分配的安全3A 

Authentication:认证

Authorization:授权

Accouting|Audition:审计

用户(user) 

令牌token

管理员:root id=0

普通用户:系统用户:1-499(cent6),1-999(守护进程获取资源进行权限分配,是为某些系统服务准备的),nologin的类型

登录用户:(centos6)500+,(centos7)1000+,交互式登录

创建新建用户时,自动建立一个同名的私有组(private group),但必须要加入到一个主组(primary group)中

组(Group) 

管理员组:root,0

id user #查看用户uid与名字、gid与名字与groups与所属组名

groups user #查看用户所属组名,无id号

普通组:-499,1-999;普通组:500+,1000+

Linux组名可与用户名相同,windows不可以#

主组(primary group):一个用户只有一个,并且必须有一个

辅助组(secondary group):一个用户可加入多个

私有组(private group):新建用户自动创建的组

若创建文件的用户被删除了,该文件的拥有者和所属组不显示创建者。如果新建一个同id的用户,则该文件将属于新建用户,所以方便在工作中给新用户交接文件。

Linux中识别文件的归属不是看用户名与组名,识别是否管理员不是依据名字,而是依据id号#

用户信息的配置文件 

whatis passwd | man 5 passwd #一般配置文件的帮助信息都在man 5

/etc/passwd#:是一个有特定格式的用户及其属性信息文件(名字、UID、GID(primary group号)、描述信息、HOME目录、Shell类型)

pwconv:用户密码被转换到了/etc/shadow下,只有superuser才能read

pwunconv:不转换用户密码,直接显示在/etc/passwd的:x:位,此时没有shadow文件

/etc/shadow#:用户密码及其相关属性(名字、(加密算法.salt.密码)、改口令时间(从1970到今的日数,如果设置为0,下次登入时必须改密码)、最短允许用户更改密码时间、最长允许不更改时间(小于最短时间表示永不允许更改密码),宽限期,账户有效期。

不设密码时为!!,此时不允许登录

技术分享



passwd -e fz #马上失效密码,强制用户登录时修改

chage -d0 fz #马上失效密码,强制用户登录时修改

pwck #检查passwd的错误

usermod -U fz #解除:!!:“空密码”,解除两次之后可直接login,无需密码

usermod -L fz #锁定账号,不能登录,root能切换

getent passwd fz #只显示fz用户的信息

getent shadow fz #只显示fz的密码信息

$6:sha-512 最新的sha512加密算法 $1:md5-128 #已经不安全了 $5sha-256 #哈希算法是单向加密的

authconfig --passalgo=md5 --update #更换加密算法,新用户生效

chfn fz #增加第五列的描述信息

finger fz #查看fz用户的信息,包括shell类型和登录信息

echo jasonmc |passwd --stdin fz #设置密码,明文的,在history中有记录

chsh -s /bin/bash fz #更改fz的shell类型

/sbin/nologin #是一个可执行文件,shell类型指定为nologin将不可登录

touch /etc/nologin  #系统维护,普通用户不能登录。在centos7上可 touch /run/nologin

vipw = vi /etc/passwd

组的配置文件 

*/etc/group#:组及其属性信息 

*/etc/gshadow#:组密码及其相关属性 

gpasswd fz #设置组密码,如果组外用户知道密码则可自己加入该组,不安全,一般由root操作

新建文件默认属于当前用户的主组

groups user #查看用户所属的组

newgrp tom #临时切换当前用户的主组,此时新建文件的组属于tom

grpck #检查group文件的错误

vigr = vi /etc/group

创建用户 

useradd fz

useradd -u 503 fz #创建一个指定uid的用户

useradd -u 0 -o fz #忽略检查uid唯一性

useradd -g newgroup fz #指定主组

useradd -G bin,root,ftp #多个辅助组 fz #指定新的辅助组,覆盖

useradd -aG bin,root,ftp fz #追加辅助组,不覆盖

useradd -d /home/newhome fz #指定新的家目录,父目录必须有,子目录必须没有

useradd -c “haha” #添加注释信息

useradd -N fz #不创建同名的主组,加入到id=100的user组

useradd -D 来自于 /etc/default/useradd文件 #创建普通用户时的默认选项,如shell类型,密码期限等,家目录及其一堆的文件,这些文件从/etc/skel拷贝,还会创建邮箱。创建系统用户时默认不会创建家目录与邮箱#。

useradd -r  #创建系统用户

/etc/login.defs# #定义了所有的组与用户默认信息,包括邮箱、家目录、密码有效期、UID、加密算法。实质上通过authconfig –passalgo=sha6 –update修改的密码就是改了这个文件的信息。

cat <<EOF |newusers #用cat命令逐行输入,非常好用,EOF是多行重定向,或者这样:

newusers abc.txt #文件格式fz1:x:3001:3001::/home/fz1:/bin/bash #批量创建用户,注意不要用空行

cat <<EOF |chpasswd #cat多行重定向,逐行输入,非常方便,或者这样:

cat abc_pass.txt |chpasswd #fz1:lanfazong #批量密码,注意不要又空行

cp /etc/skel/.[^.]* /home/fz #复制skel下的文件到手动创建用户的家目录下,否则无法正常登录

usermod -u 20000 -g root -G bin,tom -s /bin/csh -d /home/new1 -m -c “hehe test” -l

newhehe -f 10 hehe #改了id,组,复制新家,新名字,最后期限(失效通牒)

userdel -r fz #删除用户,家目录,邮箱

组管理 

groupmems -l -g root #查看root组的成员

groupmems -a fz -g root #增加fz到root组

groupmems -d fz -g root #删除

groupmod -G “ ” fz #删除所有辅助组

id -u fz #uid

id -g fz #gid

id -G fz #辅助组groups id

groups fz #用户所属的组

su切换用户 

su user #不完全切换,非登录式切换,造成无法访问原来用户目录的情况,who am i显示登录用户,而不是切换用户

su - user #完全切换,登录式切换

su - root -c ‘cat /etc/passwd’ #方便普通用户完成root的命令,不必切换

如果普通用户编程管理员(usermod -og 0 fz)再 改回普通用户就会出错#

安全上下文 

用户运行某个程序时,该程序的权限属于当前用户,进程所能够访问资源的权限取决于进程的运行者的身份。


linux温故知新五

标签:linux

原文地址:http://yisiduoluo.blog.51cto.com/4796141/1868646

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!