項目3 用戶管理

項目3Linux用戶管理任務1用戶與用戶組簡介12用戶與用戶組配置文件3管理用戶與用戶組用戶與用戶組1用戶與用戶組簡介1用戶與用戶組簡介以某個用戶的身份登錄Linux用戶組是用戶的邏輯組合，方便管理有名字也有數(shù)字標識root用戶擁有最高的權限用戶基本概念2用戶與用戶組配置文件2用戶與用戶組配置文件記錄用戶基本信息每行代表一個用戶每一行包含7個字段，用“:”分隔普通用戶有權查看用戶基本信息－/etc/passwd用戶名密碼UIDGID用戶描述信息主目錄默認Shell2用戶與用戶組配置文件記錄用戶密碼相關信息每行代表一個用戶每一行包含9個字段，用“:”分隔只有root用戶有權查看用戶密碼信息－/etc/shadow用戶名密碼最近一次密碼修改日期最小修改時間間隔密碼有效期密碼到期前的警告天數(shù)密碼到期后的寬限天數(shù)賬號失效日期保留使用2用戶與用戶組配置文件每行代表一個用戶組每一行包含4個字段，用“:”分隔用戶組信息－/etc/group組名組密碼GID組內(nèi)用戶3管理用戶與用戶組3管理用戶與用戶組/etc/passwd的第4個字段，指的是指的是用戶主組的GID一對一、一對多、多對一和多對多主組：登錄到系統(tǒng)后自動擁有主組權限附加組：用戶加入的其他組用戶與用戶組的關系3管理用戶與用戶組新建用戶－useradduseradd[-d|-u|-g|-G|-m|-M|-s|-c|-r｜-e|-f][參數(shù)]用戶名選項功能說明-dhomedir指定用戶的主目錄-uuid指定用戶的UID-ggid|gname指定用戶主組的GID或組名-Ggroups指定用戶的附加組-m強制建立用戶的主目錄-M不要建立用戶的主目錄-sshell指定用戶的默認Shell-ccomment關于用戶的簡短描述-r創(chuàng)建一個系統(tǒng)用戶-eexpiredate指定賬號失效日期-finactive用戶密碼到期后的寬限天數(shù)①在/etc/passwd中新增一行用戶基本信息②在/etc/shadow中新增一行用戶密碼信息③在/etc/group中新增一行用戶組基本信息④在/home目錄下創(chuàng)建用戶同名主目錄useradd會做哪些事？3管理用戶與用戶組useradd示例[root@centos8~]#useraddshaw //創(chuàng)建新用戶shaw[root@centos8~]#grepshaw/etc/passwd //新增用戶基本信息shaw:x:1001:1001::/home/shaw:/bin/bash[root@centos8~]#grepshaw/etc/shadow //新增用戶密碼信息shaw:!!:19775:0:99999:7:::[root@centos8~]#grepshaw/etc/group //創(chuàng)建同名用戶組shaw:x:1001:[root@centos8~]#ls-ld/home/shaw //新建同名主目錄drwx------.3shawshaw782月2219:13/home/shaw[root@centos8~]#useradd-u1234-gzystong //手動指定用戶的UID和主組[root@centos8~]#greptong/etc/passwdtong:x:1234:1000::/home/tong:/bin/bash <==1000是用戶組zys的GID[root@centos8~]#greptong/etc/group //未創(chuàng)建同名用戶組[root@centos8~]#3管理用戶與用戶組修改用戶密碼－passwd普通用戶只能修改自己的密碼必須輸入原密碼必須滿足密碼復雜性要求root用戶可以修改普通用戶密碼不用輸入原密碼復雜的密碼雖然麻煩，但是保證系統(tǒng)安全是最重要的3管理用戶與用戶組passwd示例[zys@centos8~]$passwd //修改用戶自己的密碼，無須輸入用戶名更改用戶zys的密碼。Currentpassword: <==在這里輸入原密碼新的密碼： <==在這里輸入新密碼重新輸入新的密碼： <==確認新密碼passwd：所有的身份驗證令牌已經(jīng)成功更新。[root@centos8~]#passwdzys //以root用戶身份修改zys用戶的密碼更改用戶zys的密碼。新的密碼： <==輸入一個復雜的密碼重新輸入新的密碼： <==再次輸入passwd：所有的身份驗證令牌已經(jīng)成功更新。3管理用戶與用戶組修改用戶信息－usermod修改已有用戶信息和useradd命令參數(shù)基本相同[root@centos8~]#grepshaw/etc/passwdshaw:x:1001:1001::/home/shaw:/bin/bash <==修改前的用戶信息[root@centos8~]#usermod-u1111-g1000shaw[root@centos8~]#grepshaw/etc/passwdshaw:x:1111:1000::/home/shaw:/bin/bash <==注意UID和GID的變化如果主目錄當前不存在，操作能成功嗎？3管理用戶與用戶組刪除用戶－userdel刪除已有用戶，和useradd相反默認刪除同名用戶組默認不刪除主目錄[root@centos8~]#userdel-rshaw //刪除用戶shaw信息及主目錄[root@centos8~]#grepshaw/etc/passwd //userdel執(zhí)行之后的文件信息[root@centos8~]#grepshaw/etc/shadow[root@centos8~]#grepshaw/etc/group[root@centos8~]#ls-ld/home/shaw

3管理用戶與用戶組新建用戶組－groupadd新建一個用戶組，后跟組名稱[root@centos8~]#groupaddsie //新增用戶組[root@centos8~]#grepsie/etc/groupsie:x:1002: <==在文件/etc/group中添加相應用戶組信息[root@centos8~]#groupadd-g1008ict //添加用戶組時指定GID[root@centos8~]#grepict/etc/groupict:x:1008:grupadd[-g][參數(shù)]用戶組名稱3管理用戶與用戶組修改用戶組－groupmodgroupmod[-g|-n][參數(shù)]用戶組名稱[root@centos8~]#grepict/etc/groupict:x:1008:[root@centos8~]#groupmod-g1100ict //修改GID為1100[root@centos8~]#grepict/etc/groupict:x:1100:[root@centos8~]#groupmod-nnewictict //修改組名[root@centos8~]#grepnewict

/etc/groupnewict:x:1100:3管理用戶與用戶組刪除用戶組－groupdelgroupdel用戶組名稱[root@centos8~]#grepzys/etc/passwdzys:x:1000:1000:zhangyunsong:/home/zys:/bin/bash[root@centos8~]#grep-E'zys|newict'/etc/groupzys:x:1000:newict:x:1100:[root@centos8~]#groupdelnewict //刪除用戶組newict[root@centos8~]#grepnewict/etc/group //刪除用戶組newict成功[root@centos8~]#groupdelzys //刪除用戶組zysgroupdel：不能移除用戶“zys”的主組不能刪除用戶主組3管理用戶與用戶組管理組成員－groupmemsgroupmems[-a|-d|-l|-p][參數(shù)]用戶組[root@centos8~]#groupmems-l-gdevteam //查看用戶組內(nèi)有哪些用戶zys[root@centos8~]#groupmems-atong-gdevteam //向devteam組中添加用戶tong[root@centos8~]#groupmems-l-gdevteamzystong[root@centos8~]#groupmems-dtong-gdevteam //從devteam組中移除用戶tong[root@centos8~]#groupmems-l-gdevteamzys把用戶添加到用戶組或從組中移除3管理用戶與用戶組修改有效組－newgrp[zys@centos8~]$groupszys //當前登錄用戶是zyszys:zysdevteam <==主組是zys，同時屬于附加組devteam[zys@centos8~]$touchfile1[zys@centos8~]$newgrpdevteam //將有效組設置為devteam[zys@centos8~]$touchfile2[zys@centos8~]$ls-lfile1file2-rw-rw-r--.1zyszys02月2220:13file1 <==文件file1的屬組是zys-rw-r--r--.1zysdevteam02月2220:14file2 <==file2的屬組為devteam修改用戶的有效組，作為創(chuàng)建文件的屬組任務2切換用戶1su命令2sudo命令1su命令su命令－切換用戶[zys@centos8~]$su–root //從用戶zys切換到root用戶密碼： <==在這里輸入root用戶的密碼[root@centos8~]#su–zys //從root用戶切換到普通用戶時，不需要輸入密碼[zys@centos8~]$exit //退出用戶zys，返回root用戶[root@centos8~]#exit //退出root用戶，返回用戶zys[zys@centos8~]$用戶權限各不相同切換到root用戶需要root密碼root用戶切換普通用戶不需要密碼1su命令su命令－執(zhí)行命令后返回[zys@centos8~]$su--c"grepzys/etc/shadow" //兩個“-”之間有空格密碼： <==在這里輸入root用戶的密碼zys:$6$DL7Lw…BkW3in20:19775:10:30:5::: <==這一行是grep命令的結(jié)果[zys@centos8~]$ //當前用戶仍然是zys暫時借用root用戶身份執(zhí)行特權命令執(zhí)行完恢復普通用戶1su命令2sudo命令sudo命令－sudo的優(yōu)勢使用su命令切換到root用戶需要root用戶的密碼，容易造成泄漏普通用戶使用sudo命令可以在不知道root用戶密碼的情況下執(zhí)行某些特權操作，前提是root用戶授予普通用戶使用sudo命令執(zhí)行這些特權操作的權限，即為普通用戶“提權”默認情況下只有root用戶能夠執(zhí)行sudo命令。要想讓普通用戶也有執(zhí)行sudo命令的權限，root用戶必須正確配置文件/etc/sudoers建議通過visudo命令修改文件/etc/sudoers，退出時會檢查語法是否正確，如果配置錯誤，則會有相應提示2sudo命令sudo命令－為單個用戶提權[root@centos8~]#visudo

zys ALL=(ALL)ALL <==添加這一行內(nèi)容，然后退出visudo[root@centos8~]#exit

[zys@centos8~]$sudogrepzys/etc/shadow

[sudo]zys的密碼： <==注意，這里輸入的是用戶zys的密碼zys:$6$DL7LwhUUxxxkW3in20:19775:10:30:5:::[zys@centos8~]$sudo-uxftouch/tmp/sudo_test //獲取用戶xf的權限第1部分是一個用戶名，表示允許哪個用戶使用sudo命令第2部分表示允許用戶通過哪臺主機登錄本系統(tǒng)。ALL表示任意主機第3部分表示允許使用sudo命令切換到哪個用戶。ALL表示任意用戶第4部分是可以執(zhí)行的實際命令，用絕對路徑表示。ALL表示任意命令2sudo命令sudo命令－為用戶組提權[root@centos8~]#visudo%svistALL=(ALL)NOPASSWD:ALL[root@centos8~]#groupaddsvist[root@centos8~]#groupmems-azys-gsvist //將用戶zys加入svist組[root@centos8~]#exit[zys@centos8~]$idzysuid=1000(zys)gid=1000(zys)組=1000(zys),1003(devteam),1238(svist)[zys@centos8~]$sudogrepzys/etc/shadow //不用輸入密碼zys:$6$DL7LwhUU4m…qBkW3in20:19775:10:30:5:::[zys@centos8~]$把第一部分改為“%組名”即可2sudo命令sudo命令－限制特權命令[root@centos8~]#visudozysALL=(root)/usr/bin/passwd[A-Za-z]*,!/usr/bin/passwdroot[root@centos8~]#exit[zys@centos8~]$sudopasswd /