Linux运维六:用户管理及用户权限设置

时间:2021-02-14 05:07:36

Linux 系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。每个用户账号都拥有一个惟一的用户名和各自的口令。用户在登录时键入正确的用户名和口令后,就能够进入系统和自己的主目录。

实现用户账号的管理,要完成的工作主要有如下几个方面:

· 用户账号的添加、删除与修改。

· 用户口令的管理。

· 用户组的管理。

注:此说明适用于Debian、Redhat、suse、Ubuntu、Fedora等众多linux系统,并对多少位没有区别。

用户分类:

  • 超级用户 UID=0 root
  • 普通用户 UID500起。由超级用户或者具有超级用户权限的用户创建的用户
  • 虚拟用户 UID 1-499 存在满足文件或服务启动的需要。一般不能登录系统,只是傀儡

用户关联的四个文件:/etc/passwd /etc/shadow /etc/group /etc/gshadow

一、管理用户命令汇总:

命令

注释说明

useradd

同adduser命令,执行此命令可在系统中添加用户

userdel

删除用户及相关用户的配置文件

passwd

为用户设置密码。更改/etc/shadow

chage

修改用户密码有效期限。管理/etc/shadow

usermod

修改用户命令,可以通过usermod来修改登录名,用户的家目录等等

id

查看用户的UID , GID及所归属的用户组

su

用户角色切换命令

sudo

sudo是通过另一个用户来执行命令,su是用户来切换用户,然后通过切换到的用户来完成相应的任务,但sudo能在命令后面直接接命令执行,如:sudo ls /root,不需要root密码就可以执行只有root才能执行相应的命令或具备的目录权限;这个权限需要通过visudo命令或编辑/etc/sudoers来实现

visudo

visudo配置sudo权限的编辑命令;也可以不用这个命令,直接用vi来编辑/etc/sudoers实现。但推荐用visudo来操作(会自动检查语法)

其它与用户管理相关的命令,可了解,但不要深入研究!掌握重点即可!

二、/etc/skel 目录

[root@gin ~]# ll -a /etc/skel
total 20
drwxr-xr-x. 2 root root 4096 May 25 02:54 .
drwxr-xr-x. 81 root root 4096 Oct 9 09:07 ..
-rw-r--r--. 1 root root 18 Oct 16 2014 .bash_logout
-rw-r--r--. 1 root root 176 Oct 16 2014 .bash_profile
-rw-r--r--. 1 root root 124 Oct 16 2014 .bashrc

作用:/etc/skel 目录是用来存放新用户配置文件的目录,当我们添加新用户时,这个目录下的所有文件会自动被复制到新添加的用户的家目录下;默认情况下/etc/skel 目录下的所有文件都是隐藏文件(以点开头的文件);通过修改,添加,删除/etc/skel目录下的文件,我们可为新创建的用户提供统一的,标准的,初始化用户环境。

企业面试题:当新建了一个用户,该用户登录时出现如下提示:请问是什么原因?如何解决?

[root@gin ~]# su - gin
-bash-4.1$
-bash-4.1$

解答:出现这种情况的原因是环境变量有问题,解决方案就是拷贝/etc/skel目录下以bash开头的文件到当前用户的家目录即可!

[root@centos home]# mkdir /home/gin
[root@centos home]# cp -a /etc/skel/.bash* ./gin
[root@centos home]# chmod -R 700 gin
[root@centos home]# chown gin:gin -R gin

三、/etc/login.defs配置文件

/etc/login.defs 是设置用户帐号限制的文件。该文件里的配置对root用户无效。

如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs

# *REQUIRED* required
# Directory where mailboxes reside, _or_ name of file, relative to the
# home directory. If you _do_ define both, MAIL_DIR takes precedence.
# QMAIL_DIR is for Qmail
#
#QMAIL_DIR Maildir
MAIL_DIR /var/spool/mail
#创建用户时,要在目录/var/spool/mail中创建一个用户mail文件
#MAIL_FILE .mail # Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 99999
#密码最大有效期
PASS_MIN_DAYS 0
#两次修改密码的最小间隔时间
PASS_MIN_LEN 5
#密码最小长度,对于root无效
PASS_WARN_AGE 7
#密码过期前多少天开始提示
#
# Min/max values for automatic uid selection in useradd
#创建用户时不指定UID的话自动UID的范围
UID_MIN 500
#用户ID的最小值
UID_MAX 60000
#用户ID的最大值
#
# Min/max values for automatic gid selection in groupadd
#自动组ID的范围
GID_MIN 500
#组ID的最小值
GID_MAX 60000
#组ID的最大值 #
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD /usr/sbin/userdel_local
#当删除用户的时候执行的脚本 #
# If useradd should create home directories for users by default
# On RH systems, we do. This option is overridden with the -m flag on
# useradd command line.
#
CREATE_HOME yes
#使用useradd的时候是够创建用户目录 # The permission mask is initialized to this value. If not specified,
# the permission mask will be initialized to 022.
UMASK 077 # This enables userdel to remove user groups if no members exist.
#
USERGROUPS_ENAB yes
#用MD5加密密码

为什么新建用户时会从该目录下拷贝文件到用户家目录呢?因为有/etc/default/useradd文件的存在!~

四、/etc/default/useradd 文件

/etc/default/useradd 文件是在使用useradd添加用户时的一个需要调用的一个默认的配置文件,可以使用“useradd -D”参数,这样的命令格式来修改文件里的内容。该文件的内容如下:

[root@gin gin]# cat /etc/default/useradd
# useradd defaults file
GROUP=100 ## 表示 用户组ID (依赖于/etc/login.defs的USERGROUPS_ENAB参数,如果为no,则由此处控制)
HOME=/home ## 把用户家目录建在/home中
INACTIVE=-1 ## 是否启用账号过期停权,-1表示不启用
EXPIRE= ## 账号是否启用过期设置 无表示不启用
SHELL=/bin/bash ## 账号使用shell种类
SKEL=/etc/skel ## 配置新用户目录的默认文件存放路径
CREATE_MAIL_SPOOL=yes ## 是否创建邮箱缓存 yes表示创建

如:修改EXPIRE的值为2015/06/10:

[root@Gin scripts]# useradd -D -e 2015/06/10
[root@Gin scripts]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=2015/06/10
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

、Linux系统用户账号的管理

用户账号的管理工作主要涉及到用户账号的添加、修改和删除。添加用户账号就是在系统中创建一个新账号,然后为新账号分配用户号、用户组、主目录和登录Shell等资源。刚添加的账号是被锁定的,无法使用。

useradd命令修改的文件:/etc/passwd , /etc/shadow , /etc/group , /etc/gshadow

控制useradd命令默认行为的文件:/etc/default/useradd , /etc/login.defs

1、添加新的用户账号

当使用useradd命令不加参数选项,后面直接跟所添加的用户名时,系统首先会读取配置文件/etc/login.defs and /etc/default/useradd中的定义的参数或规则,根据设置的规则添加用户,同时会向/etc/passwd and /etc/group文件添加新建用户和用户组记录。

当然/etc/passwd and /etc/group的加密资讯文件/etc/shadow and /etc/gshadow也会同步生成记录,同时系统还会根据/etc/default/useradd文件中所配置的信息建立用户的家目录,并复制/etc/skel中的所有文件(包括隐藏的环境配置文件)到新用户的家目录中。

添加新用户帐号使用useradd命令,其语法及选项如下:

useradd 选项 用户名

-c comment 指定一段注释性描述。
-d 目录 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。
-g 用户组 指定用户所属的用户组。
-G 用户组,用户组 指定用户所属的附加组。
-s Shell文件 指定用户的登录Shell。
-u 用户号 指定用户的用户号,如果同时有-o选项,则可以重复使用其他用户的标识号。
-e expire_date 账号终止日期,日期的指定格式为 MM/DD/YY
-f inactive_days 账号过期几日后永久停权。当值为0时账号则立刻停权。为-1时则关闭此功能,预设值为-1
-m 自动建立用户的登入目录。
-M 不要自动建立用户的登入目录。
-n 取消建立以用户名称为名的群组。
-r 创建系统账户

例1:-d , -m参数的使用

# useradd –d /home/olcs -m sam
此命令创建了一个用户sam,
其中-d和-m选项用来为登录名sam产生一个主目录/home/olcs(/home为默认的用户主目录所在的父目录)。

例2:-s , -G参数的使用

# useradd -s /bin/bash -g olcs –G olcs,root gem
此命令新建了一个用户gem,该用户的登录Shell是/bin/bash,它属于olcs用户组,同时又属于root用户组,其中olcs用户组是其主组。

例3:-e参数的使用 (指定账户什么时候过期)

[root@Andy andy]# date -s 01/18/2012			#修改系统时间
[root@Andy andy]# useradd tmpuser1 -e 01/19/12 #增加一个tmpuser1用户,并指定2012年1月19号过期
[root@Andy andy]# date -s 01/21/12
Sat Jan 21 00:00:00 CST 2012
#系统更改时间为2012年1月21号,而上面建立的用户过期时间是2012年1月19号,此时切换到tmpuser1用户,发现还是可以登录
[root@Andy andy]# chage -l tmpuser1
Last password change : Jan 17, 2012
Password expires : never
Password inactive : never
Account expires : Jan 19, 2012 #过期时间的确是19号,设置没错
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
为什么还是可以切换到tmpuser1用户呢?
1)通过-e设置后无法远程SSH连接,但是可以用 su 切换,账户并未被锁定
2)账户过期时间和系统时间,需要相差2天(该测试是在CentOS5.x版本,CentOS6版本不相差2天)
再次测试:
[root@Andy andy]# useradd tmpuser2 -e 01/22/12
[root@Andy andy]# passwd tmpuser2
我们在SSH客户端用tmpuser2登录,不要用su进行切换!为了让账户过期,我们再次修改系统时间
[root@Andy andy]# date -s 01/23/12
[root@Andy andy]# clock -w #重新读取系统时间
[root@Andy andy]# date +%F
2012-01-23
当tmpuser2账户退出登录后,再次登录时,就会提示:
Your account has expired; please contact your system administrator
用户的过期时间当然也可以使用usermod命令来修改:
[root@gin gin]# usermod -e "216/10/10" xiao5
指定用户过期时间

例4:useradd -c -u -G -s -d 多个参数组合例子

自定义用户的家目录,shell类型,所归属的用户组等:添加用户poe6,并设置其用户注释信息为HandsomeBoy,UID指定为806,归属为用户组root , poe , sa成员,其shell类型为/bin/sh,设置家目录为/poe6

[root@gin gin]# useradd -c "HandsomeBoy" -u 806 -G root,poe,sa -s /bin/sh -d /poe6 poe6
## 这三个组必须要先存在

增加用户账号就是在/etc/passwd文件中为新用户增加一条记录,同时更新其他系统文件如/etc/shadow, /etc/group等。

Linux提供了集成的系统管理工具userconf,它可以用来对用户账号进行统一管理。

生产场景中创建用户的完整命令:

[root@Andy andy]# groupadd -g 801 sa
[root@Andy andy]# useradd -g sa -u 901 ett
[root@Andy andy]# echo "who123"|passwd --stdin ett
Changing password for user ett.
passwd: all authentication tokens updated successfully.
[root@Andy andy]# visudo -c
[root@Andy andy]# history -c

#--->对于不同的业务,环境需求,上面的命令内容可根据不同的需求适当修改之

2、删除帐号

如果一个用户的账号不再使用,可以从系统中删除。删除用户账号就是要将/etc/passwd等系统文件中的该用户记录删除,必要时还删除用户的主目录。删除一个已有的用户账号使用userdel命令,其格式如下:

userdel 选项 用户名

常用的选项是-r,它的作用是把用户的主目录一起删除。

例如:

# userdel -r olcs
此命令删除用户olcs在系统文件中(主要是/etc/passwd, /etc/shadow, /etc/group等)的记录,同时删除用户的主目录。

3、修改帐号

修改用户账号就是根据实际情况更改用户的有关属性,如用户号、主目录、用户组、登录Shell等。

修改已有用户的信息使用usermod命令,其格式如下:

usermod 选项 用户名

常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等,这些选项的意义与useradd命令中的选项一样,可以为用户指定新的资源值。另外,有些系统可以使用如下选项:

usermod参数选项

注释说明

-c  comment

增加用户账号/etc/passwd中的注解说明栏(第5栏)

-d  home_dir

更新用户新的家目录,组合-m选项,用户旧的家目录会搬到新的家目录去,如旧的家目录不存在则创建新的家目录

-e  expire_date

加上用户账号停止日期。格式为MM/DD/YY

-f  inactive_days

账号过期几日后永久停权。当值为0时账号则立刻被停权。而当值为-1时则关闭此功能。预设值为-1

-g  initial_group

更新用户的起始登入用户组。用户组名须已存在。用户组ID必须参照既有的用户组,用户组ID预设值为1

-G  group.[..]

定义用户为一堆groups的成员,每个用户组使用逗号分隔

-l  login_name

修改用户login时的名称为login_name,其余信息不变

-s  shell

指定登录shell

-u  uid

指定用户UID值。除非接-o参数(usermode -u 505 -o andy),否则ID值必须是唯一的数字(不能为负数)

-L

冻结用户的密码。实际就是间接修改/etc/shadow的密码栏。在密码栏的开头加上!号,即表示冻结。这个冻结密码的功能和usermod -e , useradd -e , chage -E , passwd -l 等命令参数都有类似的功效,那就是让用户无法正常登陆

-U

取消冻结的密码,使之恢复登陆,实际同样是修改/etc/shadow的密码栏,在密码栏的开头取消“! ”号,即表示恢复

实例1:使用不同的方法修改/etc/passwd中用户的说明栏

[root@bruce bruce]# tail -1 /etc/passwd			#-->为了进行对比,在修改前进行查看
andy:x:802:803::/home/andy:/bin/bash
[root@centos andy]# usermod -c "AndyLaw" andy
[root@bruce bruce]# tail -1 /etc/passwd
andy:x:802:803:AndyLaw:/home/andy:/bin/bash

实例2:测试 -c , -u , -G , -s , -d等参数!要求添加用户andy6,并设置用户注释为HandsomeBoy,UID指定为806,归属为用户组root,andy , sa成员,其shell类型为/bin/sh,设置家目录为/andy6

[root@bruce bruce]# useradd -c HandsomeBoy -u 806 -s /bin/sh -G root,andy,sa -d /andy6 andy6
[root@bruce bruce]# grep andy6 /etc/passwd
andy6:x:806:806:HandsomeBoy:/andy6:/bin/sh
[root@bruce bruce]# id andy6
uid=806(andy6) gid=806(andy6) groups=806(andy6),0(root),803(andy),804(sa)

提示:在添加新用户时,如果不使用-n参数,系统会自动创建一个与用户同名的用户组,如本例就自动生成了一个andy6的用户组

下面使用usermod命令进行修改 : 要求注释改为uptowngirl,UID修改为1806,归属修改为用户组root , sa成员,其shell类型修改为/bin/tcsh,设置家目录为/tmp/andy6:

[root@bruce bruce]# usermod -c uptowngirl -u 1806 -G root,sa -s /bin/tcsh -d /tmp/andy6

实例3:使用户在2016-11-15后过期

[root@bruce bruce]# usermod -e 2016-11-26 andy6
[root@bruce bruce]# chage -l andy6
Last password change : Nov 24, 2016
Password expires : never
Password inactive : never
Account expires : Nov 26, 2016
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7

实例4:冻结andy6用户的密码

[root@bruce bruce]# grep andy6 /etc/shadow
andy6:$6$V/bwRYJd$aUnJt/DUupmwv00G8kCzmqg61Z0GWCU7aNp7rgeA.YFb2PROvqcZM.WVIlqZjesmIfQgoJR/QoL6b.VdrLybd.:17129:0:99999:7::17131:
[root@bruce bruce]# usermod -L andy6
[root@bruce bruce]# grep andy6 /etc/shadow
andy6:!$6$V/bwRYJd$aUnJt/DUupmwv00G8kCzmqg61Z0GWCU7aNp7rgeA.YFb2PROvqcZM.WVIlqZjesmIfQgoJR/QoL6b.VdrLybd.:17129:0:99999:7::17131:
[root@bruce bruce]# usermod -U andy6

4、用户口令的管理

用户管理的一项重要内容是用户口令的管理。用户账号刚创建时没有口令,但是被系统锁定,无法使用,必须为其指定口令后才可以使用,即使是指定空口令。

指定和修改用户口令的Shell命令是passwd。超级用户可以为自己和其他用户指定口令,普通用户只能用它修改自己的口令。命令的格式为:

passwd 选项 用户名

可使用的选项:
-l , --lock 锁定口令,即禁用账号。
-u , --unlock 口令解锁。
-d , --delete 使账号无口令。
-f , --force 强迫用户下次登录时修改口令。
--stdin 从stdin读入密码 (root only) , 如果默认用户名,则修改当前用户的口令。
-n , --minimun=DAYS 两次密码修改的最小天数,后面接数字,仅root权限操作
-x , --maximun=DAYS 两次密码修改的最大天数,后面接数字,仅root权限操作
-w , --warning=DAYS 在距多少天提醒用户修改密码,仅root权限操作
-i ,--inactive=DASY 在密码过期后多少天,用户被禁掉,仅root权限操作
-S , --status 查询用户的密码状态,仅root权限操作

实例1:我们用-l参数来锁定andy用户,使之不能修改密码,然后再用-u参数来解除锁定

[root@bruce bruce]# passwd -S andy				#锁定前查看andy账户的状态
andy PS 2016-11-24 0 99999 7 -1 (Password set, SHA512 crypt.)
[root@bruce bruce]# grep andy /etc/shadow #查看andy账户的密码状态
andy:$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::
[root@bruce bruce]# passwd -l andy
Locking password for user andy.
passwd: Success
[root@bruce bruce]# grep andy /etc/shadow #再次查看密码状态,发现密码前多了两个!!号
andy:!!$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::
#锁定之后,用andy账户登录系统,再修改密码会提示:
[andy@bruce ~]$ passwd
passwd: Authentication token manipulation error
#解除锁定
[root@bruce bruce]# passwd -u andy
Unlocking password for user andy.
passwd: Success
[root@bruce bruce]# grep andy /etc/shadow #解除锁定后,/etc/shadow文件中密码字段前面两个!!号消失
andy:$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::

实例2:举一个组合参数-x -n -w -i控制密码时效的例子。要求andy用户7天内不能更改密码,60天以后必须修改密码,过期前10天通知andy用户,过期后30天后禁止用户登陆

[root@bruce bruce]# passwd -n 7 -x 60 -w 10 -i 30 andy
Adjusting aging data for user andy.
passwd: Success
#当然使用chage命令也可以实现同样的效果只是参数略有不同:chage -m 7 -M 60 -W 10 -I 30 andy
在root账户下修改andy的密码,然后回到andy账户,再次修改密码出现如下提示:
passwd: Authentication token manipulation error

例如,假设当前用户是olcs,则下面的命令修改该用户自己的口令:

$ passwd
Old password:******
New password:*******
Re-enter new password:*******

如果是超级用户,可以用下列形式指定任何用户的口令:

# passwd olcs
New password:*******
Re-enter new password:*******

普通用户修改自己的口令时,passwd命令会先询问原口令,验证后再要求用户输入两遍新口令,如果两次输入的口令一致,则将这个口令指定给用户;而超级用户为用户指定口令时,就不需要知道原口令。

为了系统安全起见,用户应该选择比较复杂的口令,例如最好使用8位长的口令,口令中包含有大写、小写字母和数字,并且应该与姓名、生日等不相同。

为用户指定空口令时,执行下列形式的命令:

# passwd -d sam
此命令将用户sam的口令删除,这样用户sam下一次登录时,系统就不再询问口令。

passwd命令还可以用-l(lock)选项锁定某一用户,使其不能登录,例如:

# passwd -l olcs

--stdin方式修改设置密码:

[root@gin gin]# echo 123456|passwd --stdin gin
Changing password for user gin.
passwd: all authentication tokens updated successfully.
[root@gin gin]# echo 123 > p.log
[root@gin gin]# passwd --stdin gin < p.log
Changing password for user gin.
passwd: all authentication tokens updated successfully.

备注:/usr/bin/passwd  是修改用户密码的程序 密码记录在 /etc/shadow

/etc/passwd是用户数据库,其中的域给出了用户名、加密口令和用户的其他信息. /etc/shadow是在安装了影子(shadow)口令软件的系统上的影子口令文件。影子口令文件将/etc/passwd 文件中的加密口令移动到/etc/shadow中,而后者只对超级用户( r o o t )可读。

Linux /etc/shadow文件中的记录行与/etc/passwd中的一一对应,它由pwconv命令根据/etc/passwd中的数据自动产生。

5、口令时效

口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上,口令时效是通过chage命令来管理的,格式为:chage [option] username

下面列出了chage命令的选项说明:

-m days: 指定用户必须改变口令所间隔的最少天数。如果值为0,口令就不会过期。
-M days: 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时,用户在使用该帐号前就必须改变口令。
-d days: 指定从1970年1月1日起,口令被改变的天数。
-E date: 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期,也可以使用自1970年1月1日后经过的天数。
-W days: 指定口令过期前要警告用户的天数。
-I --inactive: 在密码过期后多少天,用户被禁掉,仅能以root操作
-l --list :显示账户年龄信息

该命令记住两个参数-E , -l即可,其它的选项可以使用passwd来替代!

例如下面的命令要求用户user1两天内不能更改口令,并且口令最长的存活期为30天,口令过期前5天通知用户

chage -m 2 -M 30 -W 5 user1

可以使用如下命令查看用户user1当前的口令时效信息:chage -l user1

提示:

1)可以使用chage 进入交互模式修改用户的口令时效。

2)修改口令实质上就是修改影子口令文件/etc/shadow中与口令时效相关的字段值。

动态密码:第三方提供也可自己开发 http://wiki.radiowar.org/

、Linux系统用户组的管理

每个用户都有一个用户组,系统可以对一个用户组中的所有用户进行集中管理。不同Linux 系统对用户组的规定有所不同,如Linux下的用户属于与它同名的用户组,这个用户组在创建用户时同时创建。用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。

groupadd参数选项

注释说明

-g

指定用户组GID值。除非接-o参数(如:groupadd -g 1234 -o andy),否则ID值必须是唯一的数字(不能为负数)。如果不指定-g参数,则预设值会从500开始。

-r

建立系统用户组。GID值会比/etc/login.defs中定义的UID_MIN值小。

如:groupadd -r ett;grep ett /etc/group #-->分号分隔两个命令

ett:x:105: #-->GID为105,小于500了

-f

新增一个账户,强制覆盖一个已经存在的用户组账号。

1、增加一个新的用户组

增加一个新的用户组使用groupadd命令,其格式如下:
groupadd 选项 用户组 可以使用的选项有:
-g GID 指定新用户组的组标识号(GID)。
-o 一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。

例1:

# groupadd olcs
此命令向系统中增加了一个新组olcs,新组的组标识号是在当前已有的最大组标识号的基础上加1。

例2:

#groupadd -g 101 group1
此命令向系统中增加了一个新组group2,同时指定新组的组标识号是101。

2、删除已有用户组

如果要删除一个已有的用户组,使用groupdel命令,其格式如下:

groupdel 用户组

例如:
#groupdel group1

此命令从系统中删除组group1。

3、修改用户组的属性

修改用户组的属性使用groupmod命令。其语法如下:

groupmod 选项 用户组

常用的选项有:
-g GID 为用户组指定新的组标识号。
-o 与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。
-n新用户组 将用户组的名字改为新名字

例1:

# groupmod -g 102 group1
此命令将组group1的组标识号修改为102。

例2:

# groupmod –g 10000 -n group2 group1
此命令将组group1的标识号改为10000,组名修改为group2。

4、用户在用户组间切换

如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。例如:

$ newgrp root

这条命令将当前用户切换到root用户组,前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理,用户组的管理也可以通过集成的系统管理工具来完成。让Linux系统中的普通用户也有超级用户的权限

、目录权限管理

1、3种基本权限

在Linux中,将使用系统资源的人员分为4类:超级用户、文件或目录的属主、属主的同组人和其他人员。超级用户拥有对Linux系统一切操作权限,对于其他3类用户都要指定对文件和目录的访问权限。

代表字符

对应数值

权限

对文件的含义

对目录的含义

r

4

可以读文件的内容

可以列出目录中的文件列表

w

2

可以修改该文件

可以在目录中创建删除文件

x

1

可执行

可以执行该文件

可以使用cd命令进入该目录

-

0

2、查看文件和目录的权限

可以使用带l参数的ls命令查看文件或目录的权限

[root@Gin scripts]# ll /gin
total 12
drwxr-xr-x 2 root root 4096 Jan 28 23:15 python
drwxr-xr-x 2 root root 4096 Feb 1 13:11 scripts
drwxr-xr-x 5 root root 4096 Jan 25 18:01 tools

每一行显示一个文件或目录的信息,这些信息包括文件的类型、文件的权限、文件的属主和文件的所属组,还有文件的大小以及创建时间和文件名。输出列表中每 一行第一列的第一个字母指示了该文件的类型。各种文件类型及代表字符如下:

-:普通文件    
 b:块文件设备,是特殊的文件类型
d:目录文件 ,事实上在ext2fs中,目录是一个特殊的文件
c:字符文件设备 ,是特殊的文件类型
l:符号链接文件,实际上它指向另一个文件
s、p:管道文件,这些文件关系到系统的数据结构和管道,通常很少见到

第一列的其余9个字母可分为三组,3个字母一组,这3组分别代表:文件属主的权限、文件所属组的权限和其他用户的权限。每组中的3个栏位分别表示读、 写、执行权限。

第2~10个字符当中的每3个为一组,左边三个字符表示所有者权限,中间3个字符表示与所有者同一组的用户的权限,右边3个字符是其他用户的权限。这三个一组共9个字符,代表的意义如下:

r(Read,读取):对文件而言,具有读取文件内容的权限;对目录来说,具有浏览目录的权限。

w(Write,写入):对文件而言,具有新增、修改文件内容的权限;对目录来说,具有删除、移动目录内文件的权限。

x(eXecute,执行):对文件而言,具有执行文件的权限;对目录了来说该用户具有进入目录的权限。

-:表示不具有该项权限。

3、更改操作权限(chmod/chown

系统管理员和文件属主可以根据需要来设置文件的权限,有两种设置方法:文字设定法和数值设定法。

(1)文字设定法

chomd的文字设定法的格式为:chmod [ugoa][+-=][rwxugo]

第1个选项表示要赋予权限的用户,具体说明如下:   
u:属主      g:所属组用户      o:其他用户      a:所有用户
第2个选项表示要进行的操作,具体说明如下:
+:增加权限      -:删除权限      =:分配权限,同时将原有权限删除
第3个选项是要分配的权限,具体说明如下:
r/x/w:允许读取/写入/执行        u/g/o:和属主/所属组用户/其他用户的权限相同

例如:

chmod go -r users      //取消组用户和其他用户对文件users的读取权限
 chmod u+x users      //对文件users的属主增加招待权限
chmod u+x,go-r users      //对文件users的属主添加执行权限,同时取消组用户和其他用户对文件的读取权限

(2)数值设定法

chmod的数值设定法的格式为:chmod n1n2n3
其中n1、n2、n3分别代表属主的权限、组用户的权限和其他用户的权限,这三个选项都是八进制数字。

例如:

chmod 755 adduser      //对文件adduser的属设置可读、写和执行的权限,所属组和其他用户只设置读和执行权限,没有写权限
chmod 600 user1         //取消组用户和其他用户对文件user1的一切权限(原权限为-rw-rCrC)

备注:如想一次修改某个目录下所有文件的权限,包括子目录中的文件权限也要修改,要使用参数-R表示启动递归处理。

4、更改属组或同组人

改变文件的属主和组可以用chown命令,命令格式为:chown [-R] 。

例如:

chmod osmond user1      //将文件user1的属主改为osmond
chmod osmond.osmond user1      //将文件user1的属主和组都改成osmond
chmod -R osmond.osmond mydir      //将mydir目录及其子目录下的所有文件或目录的属主和组都改成osmond

5、设置文件和目录的生成掩码

用户可以使用umask命令设置文件夹的默认生成掩码。默认的生成掩码告诉系统当创建一个文件或目录时不应该赋予哪些权限。如果用户将umask命令放在环境文件(.bash_profile)中,就可以控制所有的新建文件或目录的访问权限。其命令格式为:umask [u1u2u3]其中,u1、u2、u3分别表示的是不允许属主有的权限、不允许同组人有的权限和不允许其他人有的权限。

例如:

umask 022      //设置不允许同组用户和其他用户有写权限 umask            //显示当前的默认生成掩码

用法非常简单,只需执行umask 777 命令,便代表屏蔽所有的权限,因而之后建立的文件或目录,其权限都变成000,依次类推。通常root帐号搭配umask命令的数值为022、027和077,普通用户则是采用002,这样所产生的权限依次为755、750、700、775。

用户登录系统时,用户环境就会自动执行rmask命令来决定文件、目录的默认权限。

6、特殊权限设置

(1)SUID、SGID和sticky-bit

除了上述的基本权限之外,还有所谓的特殊权限存在。由于特殊权限会拥有一些“特权”,因而用户若无特殊需要,不应该去打开这些权限,避免安全方面出现严重漏洞,甚至摧毁系统。下面列出了3个特殊权限的说明:

SUID:当一个设置了SUID位的可执行文件被执行时,该文件以所有者的身份运行,也就是说无论谁来执行这个文件,他都拥有文件所有者的特权,可以任意存取该文件拥有者能使用的全部系统资源。如果所有者是root,那么执行人就有超级用户的特权了。

SGID:当一个设置了SGID位的可执行文件被执行时,该文件将具有所属组的特权,任意存取整个组所能使用的系统资源;若一个目录设置了SGID,则所有被复制到这个目录下的文件,其所属的组都会被重设为和这个目录一样,除非在复制文件时加上-p(preserve,保留文件属性)参数,才能保留原来 所属的群组设置。

sticky-bit:对一个文件设置了sticky-bit之后,尽管其他用户有写权限,也必须由属主执行删除、移动等操作,对一个目录设置了 sticky-bit之后,存放在该目录下的文件仅允许其属主执行删除、移动等操作。

一个设置了SUID的典型例子是passwd程序,它允许普通用户改变自己的口令,这是通过改变/etc/shadow文件的口令字段来实现的。然而系 统管理员决不允许普通用户拥有直接改变/etc/shadow文件的权限。解决方法是将passwd程序设置SUID,当passwd被执行时将拥有超级用户的权限,而passwd程序运行结束又回到普通用户的权限,下面是显示passwd程序的权限:

[root@Gin scripts]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 30768 Feb 22 2012 /usr/bin/passwd

一个设置了sticky-bit的典型例子是系统临时文件目录/tmp,这避免了不守法的用户存心搞鬼,恣意乱删其他用户存放的文件。下面显示/tmp 目录的权限:

[root@Gin scripts]# ll -d /tmp
drwxrwxrwt. 8 root root 4096 Feb 1 18:04 /tmp

(2)SUID、SGID和sticky-bit的表示

从上面的显示可以看出,SUID是占用属主的x位置为表示的;SGID是占用组的x位置来表示的;sticky-bit是占用其他人的x位置来表示 的。在表示上有大小定之分,假若同时设置执行权限和SUID、SGID和sticky-bit,权限标识字符是小写的;倘若关闭执行权限,则标识字符会变成大写。

(3)设置特殊权限

使用chmod命令设置特殊权限,仍然有字符设定法和数值设定法之分。使用字符设定法时,可以使用s和t权限字符,

例如:

chmod u+s /usr/bin/myapp      //为程序/usr/bin/myapp添加SUID权限
chmod g+s /home/groupspace      //为目录/home/groupspace添加SGID权限
chmod o+t /home/share      //为目录/home/share添加sticky-bit权限

使用chmod的数值设定法时,要使用4位八进制数值,其中第一位八进制数用于设置特殊权限,后三位八进制数用于设置基本权限。

例如:

chmod 4755 /usr/bin/myapp      //设置SUID
chmod 2755 /home/groupspace      //设置SGID
chmod 1755 /home/share     //设置sticky-bit

八、用户身份切换

1、su命令

[root@linux ~] # su [-lcm] [username]

参数:

- :如果执行su -时,表示该用户想要变换身份成为root,且使用root的环境设置参数文件,如/root/.bash_profile等。
-l:后面可以接用户,例如su -l dmtsai,这个-l的好处是,可使用变换身份者的所有相关环境设置文件。
-m:-m与-p是一样的,表示“使用当前环境设置,而不重新读取新用户的设置文件“。
-c:仅进行一次命令,所以-c后面可以加上命令。

注意:建议如果切换成为某个身份,使用su -或者su - username。否则,容易造成环境变量的差异。

例:以某个用户的身份去执行某个命令

[root@gin poe]# su - poe -c "touch a.txt"

思考题:linux root密码忘记了,如何找回?

2、sudo命令

sudo是什么?

sudo就是让某个用户能够以另外任意一个用户的身份通过某些主机执行某些任务。记住了,是以另外一个身份来执行命令,而不是切换到另一个用户上!

但是要想让某个用户能够使用sudo来执行命令的话,必须要在sudo的配置文件定义才可以,只有在/etc/sudoers中定义过的用户才可以执行相应的命令,这些命令也必须要在sudo的配置文件/etc/sudoers中定义才可以,默认情况下,只有root用户才可以使用sudo执行命令。

visudo管理sudo的配置文件

一般情况下,我们要想编辑某个配置文件,直接使用vim命令即可,但是由于使用vim编辑的配置文件无法检查增减条目的语法,因此我们一般不建议使用vim直接编辑。而是使用另外一种命令来编辑/etc/sudoers文件。

visudo:该命令默认情况下就是用来编辑/etc/sudoers文件的,该命令可以检查这个文件的语法错误,因此,如果要想修改/etc/sudors文件时,使用visudo来编辑更好,这样就不会出现什么问题了。

visudo -f filename:也可以用来编辑其他配置文件的,只要加上-f和指定文件即可。

sudo条目格式

who

which_host=(runas)

command

who表示使用者账号

which_host:表示登入者来源主机。ALL表示所有主机

runas:表示以哪一个用户身份来执行,默认情况下,不加用户,表示以root身份来执行。

command: 规范这个用户可以使用sudo执行哪些命令(这些命令要使用绝对路径)。ALL表示所有命令。

情景模拟一:要想让hadoop这个用户能够以root的身份来执行useradd,usermod命令,该如何实现?

1、默认情况下,只有root用户才有权限使用useradd,usermod命令的
[hadoop@gin ~]$ useradd jacky
-bash: /usr/sbin/useradd: Permission denied //没有权限执行useradd命令
2、使用sudo以root身份来使用useradd命令添加用户
[hadoop@gin ~]$ sudo useradd jacky
hadoop is not in the sudoers file. This incident will be reported. //提示hadoop用户不在sudoers的配置文件中
3、在/etc/sudoers中添加一个sudo条目
[root@gin poe]# visudo
//添加下面两行内容,第一行为注释
## Allows members of the hadoop to use useradd and usermod command
hadoop ALL=(root) /usr/sbin/useradd, /usr/sbin/usermod
4、再次使用sudo以root身份来添加用户
[hadoop@gin ~]$ sudo useradd jacky
[hadoop@gin ~]$ id jacky
uid=805(jacky) gid=807(jacky) groups=807(jacky)

注意:在上述这个过程中,每次执行命令时都要输入密码,这是因为如果某个用户有事离开了但是却没有退出当前用户,这时任何一个用户就可以在此主机上执行任何命令,修改root密码,或者删除有关信息等等,这对于系统来说是极不安全的。因此在每次执行命令前,都需要输入当前用户自身的密码,该密码有效期为5分钟(5分钟内执行任何命令不需要输入密码),5分钟过后就要重新输入了。要想在执行某些命令时,不需要输入密码,可以在某些命令前加上"NOPASSWD:"等TAG信息

例如:hadoop        ALL=(root)    NOPASSWD: /usr/sbin/useradd

禁止修改root用户的密码

注意:在增加某个条目时,如果规定了某个用户可以执行修改密码的命令时,也就是该用户可以执行/usr/bin/passwd这个命令,对于root用户来说,其密码是不能随便修改的。要去掉修改root账号密码的命令。使用!来取反。这样一般用户就不能修改root的密码了。

以hadoop这个sudo条目为例:

hadoop        ALL=(root)        /usr/bin/passwd  [A-Za-z]*,!/usr/bin/passwd root
/usr/bin/passwd [A-Za-z]*:表示在执行passwd命令时,需要输入修改的账号名,因为如果不加账号名,默认修改的也是root的密码,因此这也是不可以的。

sudo命令

[root&linux ~]# sudo [-u [username | #uid]] command
参数:
-u:后面可以接用户账号名称,或者UID。例如UID是500的身份,可以:-u #500来作为切换到UID为500的那位用户。
-l :列出用户在主机上可用的和被禁止的命令:当配置好sudo授权规则后,可用这个参数来查看授权情况
-v :验证用户的时间戳:当用户运行sudo,输入用户的密码后,在短时间内可以不用输入口令直接进行sudo操作;
-k :同-K,删除用户时间戳

注意:sudo的执行权限与/etc/sudoers文件有关,如果要修改该文件,建议使用visudo来编辑,而不要直接以vi去编辑它,因前者可以进行文件内部的语法检查。

sudo的工作原理

Linux运维六:用户管理及用户权限设置

注意:上图中的/var/run/sudo目录,应该为:/var/db/sudo目录

前文我们已经讲解过,使用su命令切换用户身份虽然简单,但是也有一些致命的缺点:

1)普通用户必须知道root密码才可以切换到root,这样root密码就泄露了,相当于把“刀把”交给了别人

2)使用su命令切换身份,无法对切换后的身份做精细的控制,拿到超级权限的人可以为所欲为。甚至可以改掉root密码,让真正的管理员无法再拥有root权限。

那么怎么来解决最高管理员不泄露root密码,而又能让普通用户拥有一定的超级权限来管理系统并且能让超级特权可控呢?这就要引出我们本节的主角----sudo命令

通过suod命令,我们可以把某些超级用户权限分类有针对性(精细)授权给指定的普通用户,并且普通用户不需要知道root密码就可以使用得到的授权(管理员真正允许的root权限)。因此,毫不夸张的说,sudo命令相对于su命令来说,在系统用户的分权管理方面进步了很多,使得集权式管理在理论上得到了保证,从而使系统的安全性方面加强了很多。

sudo命令执行的大概流程:

a)当用sudo执行命令时,系统首先会查找/var/run/sudo/%HOME(如果是新用户会先生成此目录)目录中是否有用户时间戳文件,如果时间戳文件过期,则提示用户是否输入自身的密码(注意:这里需要输入当前执行命令用户的密码,不是root或其他要切换的用户的密码)

b)当密码验证成功后,系统会查找/etc/sudoers配置文件,判断用户是否有执行相应sudo命令权限。

c)如果具备执行相应sudo命令权限,就会自动由当前用户切换到root(或其它指定切换的用户),然后以root(或其它指定的切换的用户)身份角色执行该命令。

d)执行完成后,又会自动的直接退回到当前用户shell下

通过这个sudo执行的流程,我们可以看出,在执行sudo的过程中,我们无须知道root的密码就可以执行root权限执行的工作。此外,用户能够执行的命令是可以被sudo配置文件控制的。比如我们可以对某一个用户仅授权reboot的工作。

能够完成上述流程的权限控制,我们完全依赖/etc/sudoers这个配置文件,在默认的情况下,普通用户无法使用sudo,只有编辑/etc/sudoers文件加入用户的授权规则后才可以,这就需要visudo命令(更改/etc/sudoers配置文件的标准工具)。下面我们先来体验下sudo命令的魅力。

与sudoers相关的文件:

[root@bruce bruce]# find /etc/ -name "sudo*"
/etc/sudo-ldap.conf
/etc/sudoers.bak
/etc/sudoers
/etc/sudoers.d
/etc/pam.d/sudo-i
/etc/pam.d/sudo
/etc/sudo.conf

sudo参数选项

注释说明

-l

列出用户在主机上可用的和被禁止的命令;当配置好sudo授权规则后,可用这个参数来查看授权

-v

验证用户的时间戳;当用户运行sudo,输入用户的密码后,在短时间内可以不用输入口令直接进行sudo操作;用-v可以跟踪最新的时间戳

-u

指定以某个用户身份执行特定的命令操作

-k

同-K,删除时间戳,下一个sudo命令要求提供密码。前提是该用户授权中不能有NOPASSWD:参数

提示:sudo命令的参数也很多,但在生产场景中经常使用的比较少,这里我们还是讲解常用的参数,更多详细的参数请执行 man sudo查阅帮助。

sudo命令案例:

实例1:使用andy用户在/root目录下建立文件

[andy@bruce ~]$ whoami
andy
[andy@bruce ~]$ sudo touch /root/ett #--->这个就是生产场景,sudo命令的实际标准用法
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for andy: #这里提示输入andy用户密码
andy is not in the sudoers file. This incident will be reported.
现在配置sudoers文件,对andy用户授权,(root账户下授权):
[root@bruce bruce]# echo "andy ALL=(ALL) ALL" >>/etc/sudoers
[root@bruce bruce]# tail -1 /etc/sudoers
andy ALL=(ALL) ALL
[root@bruce bruce]# visudo -c #-->可以单独使用visudo -c来检查/etc/sudoers配置文件的语法是否正确
/etc/sudoers: parsed OK
#回到andy账户再次创建文件夹
[andy@bruce ~]$ sudo mkdir /root/andy
[andy@bruce ~]$ rm -fr /root/andy
rm: cannot remove `/root/andy': Permission denied

实例2:andy用户通过sudo切换到bruce用户在/home/bruce目录下新建一个目录

[andy@bruce ~]$ sudo -u bruce mkdir /home/bruce/tmpdir
[andy@bruce ~]$ ll /home/bruce/
ls: cannot open directory /home/bruce/: Permission denied
[andy@bruce ~]$ sudo ls /home/bruce/
tmpdir

实例3:使用用户组的方式实现sudo授权

通过授权一个用户组的方式来配置/etc/sudoers,如:授权sa组具备以上所有主机的管理权限,这样以后有增加用户需要相同的授权时,直接将用户加入到sa组就可以享受sa组的sudo授权了!

[root@bruce bruce]# echo "%sa    ALL=(ALL)   ALL" >>/etc/sudoers
[root@bruce bruce]# tail -1 /etc/sudoers
%sa ALL=(ALL) ALL
[andy@bruce ~]$ su - bruce
Password:
[bruce@bruce ~]$ sudo ls /root
..........................
bruce is not in the sudoers file. This incident will be reported. #此时还没有将bruce用户加入到sa组
[root@bruce bruce]# usermod -g sa bruce
[bruce@bruce ~]$ sudo ls /root
[sudo] password for bruce:
anaconda-ks.cfg install.log install.log.syslog

su 与 sudo用户切换原理图

Linux运维六:用户管理及用户权限设置

/etc/sudoers配置文件中别名的知识

有时候如果某些用户需要执行相同的命令,如果一个一个的为他们添加sudo条目时,会比较麻烦。这时我们可以为某些用户或者某些命令创建别名,以别名的方式为他们添加sudo条目,这样就方便多了。

在定义别名时必须别名名称只能是大写英文字母可以为sudo条目中的每一个字段定义一个别名。

用户或组

主机

可以切换的用户角色

命令

root

ALL=

(ALL)

ALL

User_Alias ADMINS=jsmith,mikem,%groupname

Host_Alias

FILESERVERS = fs1,fs2

Runas_Alias     OP = root

Cmnd_Alias SERVERS = /sbin/server, /sbin/chconfig

如何定义别名:

定义用户别名:
格式:User_Alias aliasname=
aliasname可以是用户名、组名(使用%引导)、还可以包含其他的用户别名(嵌套)
定义主机别名
格式:Host_Alias aliasname=
aliasname可以是主机名、ip-addr、网络地址、其他主机别名(嵌套)
定义执行身份别名
格式:Runas_Alias aliasname=
liasname可以是用户名、组名(前面加上%)、其他Runas别名(嵌套)
执行命令别名
格式:Cmnd_Alias aliasname=
aliasname可以是命令路径(绝对路径)、目录(此目录内的所有命令)、其他事先定义过的别名

实例1:定义命令别名

Cmnd_Alias		USERCMD = /usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,/bin/chown,/bin/chmod
Cmnd_Alias DISKCMD = /sbin/fdisk,/sbin/parted
Cmnd_Alias NETMAG = /sbin/ifconfig,/etc/init.d/network
Cmnd_Alias CTRLCMD = /usr/sbin/reboot,/usr/sbin/halt

特别说明:

1)所有的命令别名下的成员必须是文件或目录的绝对路径

2)命令超过一行时,可以通过“\”号换行

3)在定义时,可以使用正则表达式,如/usr/bin/passwd [A-Za-z]*

实例3:定义runas别名

Runas_Alias OP = root,andy

情景模拟二:有3个用户,hadoop、xsl、test都可以执行useradd、passwd命令,该如何操作?

可以在/etc/sudoer中添加如下条目即可:

User_Alias USERALIAS=hadoop,xsl,test
Cmnd_Alias CMDALIAS=/usr/sbin/useradd,!/usr/bin/passwd root,/usr/bin/passwd [A-Za-z]*
USERALIAS ALL=(root) CMDALIAS

sudo配置配置文件/etc/sudoers授权规则注意事项总结:

1)授权规则中所有ALL字符串必须为大写

2)禁止的命令尽量放在后面,如下,但尽量不要使用排除的方式

/usr/sbin/*, /sbin/*, !/usr/sbin/visudo, !/sbin/fdisk

3)一行内容超长可以使用“\”斜线换行

andy	ALL=(ALL)	ALL

#这一行代码的意思是:

授权用户 主机=(指定的可切换的用户) 可以执行的命令动作

因此上面一行授权内容的实际意思是:adny用户可以在所有的主机上,切换到所有的用户,执行所有的命令。如果想要andy这个用户切换到ett用户下执行命令,那么可以写成:

andy		ALL = (ett)		ALL

#---> 注:(ett)段内容省略的话,默认就是root用户,那么andy用户只能切换到root(不能切换到其它用户)执行命令

下面我们结合别名授权和用户授权规则举几个综合应用的例子:

实例1:对andy的授权规则如下:

andy    ALL=/usr/sbin/useradd,/usr/sbin/userdel
#上面这条规则与:andy ALL=(root) /usr/sbin/useradd,/usr/sbin/userdel 是一样,上面是省略的写法

在测试之前,为了防止已有的配置干扰,我们把所有的配置恢复到默认情况,通过visudo命令在/etc/sudoers中添加上面的内容,表示andy用户可以在所有系统中,切换到root用户下以root身份执行/usr/sbin/useradd and /usr/sbin/userdel命令。授权完成后,切换到andy用户下查看授权的结果:(切换到andy用户下)

[andy@bruce ~]$ sudo -l
.........................
User andy may run the following commands on this host:
(root) /usr/sbin/useradd, (root) /usr/sbin/userdel #授权的命令

值得注意的是,本例省略了指定切换到哪个用户下执行命令,根据前文的讲解,默认的情况下是切换到root用户下执行,同时,授权时未加NOPASSWD:配置,因此,第一次执行的时候需要验证密码:

[andy@bruce ~]$ useradd andy2
-bash: /usr/sbin/useradd: Permission denied
[andy@bruce ~]$ sudo useradd andy2
Sorry, user andy is not allowed to execute '/usr/sbin/useradd andy2' as root on bruce.

但此时执行sudo useradd andy2命令时,还是提示andy用户不允许执行上面的两个命令,这是因为普通用户PATH路径问题,可以临时执行全路径来添加用户,当然也可以在andy用户下配置好环境变量。

[andy@bruce ~]$ sudo /usr/sbin/useradd tmpuser1
[andy@bruce ~]$ grep tmpuser1 /etc/passwd #grep 命令不需要授权,普通用户就可以使用
tmpuser1:x:807:807::/home/tmpuser1:/bin/bash
[andy@bruce ~]$ sudo su - root #无法切换到root用户下
Sorry, user andy is not allowed to execute '/bin/su - root' as root on bruce.

特别提示:有关上面普通用户下执行命令提示找不到的问题实际解决操作方法为:

在andy用户下编辑隐藏文件.bash_profile,修改成如下内容后保存:

# User specific environment and startup programs
PATH=$PATH:$HOME/bin:/usr/local/sbin:/usr/local/bin:/sbin:/usr/sbin:/usr/bin:/root/bin
[andy@bruce ~]$ source .bash_profile
#此时就不需要使用全路径执行useradd等命令了

可以加上NOPASSWD:规则,执行命令时不需要输入密码:

andy    ALL=(root)  NOPASSWD: /usr/sbin/useradd,/usr/sbin/userdel

实例:用户组的配置例子

%andy    ALL=/usr/sbin/*,/sbin/*

表示andy用户组下所有成员,在所有的主机下,可切换到root用户下运行/usr/sbin and /sbin目录下的所有命令,*为正则表达式的写法,表示所有

实例:练习禁止某个命令的执行:

禁止某个命令的执行,要在命令前加上!号

andy    ALL=/usr/sbin/*,/sbin/*,!/sbin/fdisk

这条规则表示andy用户在所有主机上可运行/usr/bin和/sbin下所有的命令,但fdisk命令除外

[andy@bruce ~]$ sudo fdisk
Sorry, user andy is not allowed to execute '/sbin/fdisk' as root on bruce.

远程执行sudo命令

默认情况下,我们是无法通过ssh远程执行sudo命令的,可是在实际生产场景中我们经常有这样的需求,那怎么解决呢?

在/etc/sudoers中有这样的配置:

[root@bruce bruce]# grep requiretty /etc/sudoers
Defaults requiretty
# changed in order to be able to use sudo without a tty. See requiretty above.

“Defaults requiretty”就是禁止通过ssh远程执行sudo命令的配置,禁止的原因是因为会显示明文密码。但是我们可以通过“ssh -t hostname sudo <cmd>”的方式来执行,也就是加个-t的参数,这是一个可以强制ssh远程执行本来需要屏幕的程序,会强制配置终端tty,即使本地没有。

测试:通过10.0.0.144机器终端使用ssh的方式以andy身份连接10.0.0.143机器然后执行相关sudo命令

ssh andy@10.0.0.143 ls /root			#常规的远程连接执行命令
ssu -t andy@10.0.0.143 sudo ls /root #加上-t参数后就可以执行成功

附录:

1、用户和组状态命令

whoami: 用于显示当前用户的名称
groups []: 用于显示指定用户所属的组,若未指定用户,则显示当前用户所属的组

id: 用于显示用户当前的UID、GID和用户所属的组列表

su [-][]: 用于转换当前用户到指定的用户帐号,若不指定用户名则转换当前用户到root;若使用参数“-”,则在转换当前用户的同时转换用户工作环境。

newgrp []: 用于转换用户的当前组到指定的附加组,用户必须属于该组才可以进行。

2、Chmod命令详解

指令名称 : chmod

使用权限 : 所有使用者

使用方式 : chmod [-cfvR] [--help] [--version] mode file...

说明 : Linux/Unix 的档案存取权限分为三级 : 档案拥有者、群组、其他。利用 chmod 可以藉

以控制档案如何被他人所存取。

mode : 权限设定字串,格式如下 : [ugoa...][[+-=][rwxX]...][,...],其中u 表示该档案的拥有者,g 表示与该档案的拥有者属于同一个群体(group)者,o 表示其他以外的人,a 表示这三者皆是。

+ 表示增加权限、- 表示取消权限、= 表示唯一设定权限。
r 表示可读取,w 表示可写入,x 表示可执行,X 表示只有当该档案是个子目录或者该档案已经被
设定过为可执行。
-c : 若该档案权限确实已经更改,才显示其更改动作
-f : 若该档案权限无法被更改也不要显示错误讯息
-v : 显示权限变更的详细资料
-R : 对目前目录下的所有档案与子目录进行相同的权限变更(即以递回的方式逐个变更)
--help : 显示辅助说明
--version : 显示版本

范例 :将档案 file1.txt 设为所有人皆可读取 :

chmod ugo+r file1.txt

4、Chown命令详解

指令名称 : chown

使用权限 : root

使用方式 : chown [-cfhvR] [--help] [--version] user[:group] file...

说明 : Linux/Unix 是多人多工作业系统,所有的档案皆有拥有者。利用 chown 可以将档案的拥有者加以改变。一般来说,这个指令只有是由系统管理者(root)所使用,一般使用者没有权限可以改变别人的档案拥有者,也没有权限可以自己的档案拥有者改设为别人。只有系统管理者(root)才有这样的权限。

user : 新的档案拥有者的使用者
IDgroup : 新的档案拥有者的使用者群体(group)
-c : 若该档案拥有者确实已经更改,才显示其更改动作
-f : 若该档案拥有者无法被更改也不要显示错误讯息
-h : 只对于连结(link)进行变更,而非该 link 真正指向的档案
-v : 显示拥有者变更的详细资料
-R : 对目前目录下的所有档案与子目录进行相同的拥有者变更(即以递回的方式逐个变更)
--help : 显示辅助说明
--version : 显示版本

范例 :将档案 file1.txt 的拥有者设为 users 群体的使用者 jessie :

chown jessie:users file1.txt

考试题

批量创建10个用户stu01-stu10,并且设置随机8位密码,要求不能用shell循环(如:for,while等),只能用命令及管道实现

方法一:

[root@oldboy /]# echo stu{01..10}|tr " " "\n"|sed -r 's#(.*)#useradd \1 ; pass=$((RANDOM+10000000)); echo "$pass"|passwd --stdin \1; echo -e "\1 \t `echo "$pass"`">>/tmp/oldboy.log#g'|bash

上述命令实际就是再拼N条下面的命令的组合,举一条命令stu01用户的过程拆解如下:

useradd stu01 ;
pass=$((RANDOM+10000000));
echo "$pass"|passwd --stdin stu01;
echo -e "stu01 `echo "$pass"`">>/tmp/oldboy.log

方法二:

echo stu{11..12}|xargs -n1 useradd ;echo stu{11..12}:`cat /dev/urandom|tr -dc 0-9|fold -w8|head -1`|xargs -n1|tee -a pass.txt|chpasswd

方法三:

echo stu{01..10} |tr ' ' '\n'|sed -rn 's@^(.*)$@useradd \1 ; echo $RANDOM|md5sum|cut -c 1-8 >/data/\1;cat /data/\1|passwd --stdin \1@gp'|bash