金鱼哥戏说RHCSA认证:九、管理本地用户和组
🎹 个人简介:大家好,我是 金鱼哥,CSDN运维领域新星创作者,华为云·云享专家,阿里云社区·专家博主
📚个人资质:CCNA、HCNP、CSNA(网络分析师),软考初级、中级网络工程师、RHCSA、RHCE、RHCA、RHCI、ITIL😜
💬格言:努力不一定成功,但要想成功就必须努力🔥🎈支持我:可点赞👍、可收藏⭐️、可留言📝
本章节介绍如何管理本地用户和组。都是基础中必须要掌握的技能,需要多理解和实操。
📜9.1 Linux 安全模型
📑9.1.1 用户
Linux中每个用户是通过User Id (UID)来唯一标识的
- 管理员:root, 0
- 普通用户:1-60000 自动分配
- 系统用户:1-499 (rhel 6以前), 1-999 (rhel 7以后)
对守护进程获取资源进行权限分配 - 登录用户:500+ (rhel6 以前), 1000+(rhel7以后)
给用户进行交互式登录使用
- 系统用户:1-499 (rhel 6以前), 1-999 (rhel 7以后)
📑9.1.2 用户组
Linux中可以将一个或多个用户加入用户组中,用户组是通过Group ID(GID) 来唯一标识的。
- 管理员组:root, 0
- 普通组:
- 系统组:1-499(rhel 6以前), 1-999(rhel7以后), 对守护进程获取资源进行权限分
配 - 普通组:500+(rhel 6以前), 1000+(rhel7以后), 给用户使用
- 系统组:1-499(rhel 6以前), 1-999(rhel7以后), 对守护进程获取资源进行权限分
📑9.1.3 用户和组的关系
- 用户的主要组(primary group):用户必须属于一个且只有一个主组,默认创建用户时会自动创建
和用户名同名的组,做为用户的主要组,由于此组中只有一个用户,又称为私有组 - 用户的附加组(supplementary group): 一个用户可以属于零个或多个辅助组,附属组
范例:
[root@servera ~]# id mysql
uid=27(mysql) gid=27(mysql) groups=27(mysql)
[root@servera ~]# id student
Linux安全上下文Context:运行中的程序,即进程 (process),以进程发起者的身份运行,进程所能够
访问资源的权限取决于进程的运行者的身份
比如:分别以root 和普通用户的身份运行/bin/cat /etc/shadow ,得到的结果是不同的,资源能否能
被访问,是由运行者的身份决定,非程序本身
范例:
[student@servera ~]$ cat /etc/shadow
cat: /etc/shadow: Permission denied
[root@servera ~]# cat /etc/shadow
root:$6$dV.Vb.MYhHB82gJz$FnOeixf0W.UgV.Vd4xx8yWuJT.fSJbGTXpdpQ0K9BwWzI5hWeG4lWQYisFNz.LReR5rcz6QFg9sc9SBZxYXhP0::0:99999:7:::
bin:*:18199:0:99999:7:::
daemon:*:18199:0:99999:7:::
adm:*:18199:0:99999:7:::
📜9.2 用户和组的配置文件
📑9.2.1 用户和组的主要配置文件
- /etc/passwd:用户及其属性信息(名称、UID、主组ID等)
- /etc/shadow:用户密码及其相关属性
- /etc/group:组及其属性信息
- /etc/gshadow:组密码及其相关属性
📑9.2.2 passwd文件格式
student:x:1000:1000:student:/home/student:/bin/bash
- login name:登录用名(student)
- passwd:密码 (x)
- UID:用户身份编号 (1000)
- GID:登录默认所在组编号 (1000)
- GECOS:用户全名或注释
- home directory:用户主目录 (/home/student)
- shell:用户默认使用shell (/bin/bash)
📑9.2.3 shadow文件格式
student:$6$4NaBMjQ...::0:99999:7:::
- 登录用名
- 用户密码:一般用sha512加密
- 从1970年1月1日起到密码最近一次被更改的时间
- 密码再过几天可以被变更(0表示随时可被变更)
- 密码再过几天必须被变更(99999表示永不过期)
- 密码过期前几天系统提醒用户(默认为一周)
- 密码过期几天后帐号会被锁定
- 从1970年1月1日算起,多少天后帐号失效
- 字段保留
更改密码加密算法:
authconfig --passalgo=sha256 --update
密码的安全策略
- 足够长
- 使用数字、大写字母、小写字母及特殊字符中至少3种
- 使用随机密码
- 定期更换,不要使用最近曾经使用过的密码
范例:生成随机密码
[root@servera ~]# openssl rand -base64 9
JcEFSIbX3xGl
生成随机密码:https://suijimimashengcheng.51240.com/
📑9.2.4 group文件格式
student:x:1000:
mail:x:12:postfix
群组名称:就是群组名称
群组密码:通常不需要设定,密码是被记录在 /etc/gshadow
GID:就是群组的 ID
以当前组为附加组的用户列表(分隔符为逗号)
📑9.2.5 gshdow文件格式
student:!::
群组名称:就是群的名称
群组密码:
组管理员列表:组管理员的列表,更改组密码和成员
以当前组为附加组的用户列表:多个用户间用逗号分隔
📑9.2.6 文件操作
- vipw和vigr
- pwck和grpck
📜9.3 用户和组管理命令
用户管理命令
- useradd 创建用户
- usermod 修改用户属性
- userdel 删除用户
组帐号维护命令
- groupadd 创建组
- groupmod 修改属性
- groupdel 删除组
📑9.3.1 用户创建
useradd 命令可以创建新的Linux用户
格式:
useradd [options] LOGIN
常见选项:
-u UID
-e 设定用户什么时候失效
-o 配合-u 选项,不检查UID的唯一性
-g GID 指明用户所属基本组,可为组名,也可以GID
-c "COMMENT“ 用户的注释信息
-d HOME_DIR 以指定的路径(不存在)为家目录
-s SHELL 指明用户的默认shell程序,可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,...] 为用户指明附加组,组须事先存在
-N 不创建私用组做主组,使用users组做主组
-r 创建系统用户 rhel 6之前: ID<500,rhel 7以后: ID<1000
-m 创建家目录,用于系统用户
-M 不创建家目录,用于非系统用户
范例:
useradd -r -u 48 -g apache -s /sbin/nologin -d /var/www -c "Apache" apache
📑9.3.2 用户属性修改
usermod 命令可以修改用户属性
格式:
usermod [OPTION] login
常见选项:
-u UID: 新UID
-g GID: 新主组
-G GROUP1[,GROUP2,...[,GROUPN]]]:新附加组,原来的附加组将会被覆盖;若保留原有,则要同时使
用-a选项
-s SHELL:新的默认SHELL
-c 'COMMENT':新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,同时使用-m选项
-l login_name: 新的名字
-L: lock指定用户,在/etc/shadow 密码栏的增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限,即宽限期
📑9.3.3 删除用户
userdel 可删除Linux 用户
格式:
userdel [OPTION]... Login
常见选项:
-f, --force 强制
-r, --remove 删除用户家目录和邮箱
📑9.3.4 查看用户相关的ID信息
id 命令可以查看用户的UID,GID等信息
id [OPTION]... [USER]
常见选项:
-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称,需配合ugG使用
📑9.3.5 切换用户或以其他用户身份执行命令
su: 即 switch user,命令可以切换用户身份,并且以指定用户的身份执行命令
格式:
su [options...] [-] [user [args...]]
常见选项:
-l --login su -l UserName 相当于 su - UserName
-c, --command <command> pass a single command to the shell with -c
切换用户的方式:
- su UserName:非登录式切换,即不会读取目标用户的配置文件,不改变当前工作目录,即不完
全切换 - su - UserName:登录式切换,会读取目标用户的配置文件,切换至自已的家目录,即完全切换
说明:root su至其他用户无须密码;非root用户切换时需要密码
注意:su 切换新用户后,使用 exit 退回至旧的用户,而不要再用 su 切换至旧用户,否则会生成很多的
bash子进程,环境可能会混乱。
换个身份执行命令:
su [-] UserName -c 'COMMAND'
范例:
[root@servera hao]# su - hao -c "touch hao.txt"
[root@servera hao]# ll ~hao
total 0
-rw-rw-r--. 1 hao hao 0 Mar 26 22:07 hao.txt
📑9.3.6 设置密码
格式:
passwd [OPTIONS] UserName
常用选项:
-d:删除指定用户密码
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-f:强制操作
-n mindays:指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
--stdin:从标准输入接收用户密码,Ubuntu无此选项
范例:非交互式修改用户密码
[root@servera ~]# echo 'redhat' | passwd --stdin redhat
Changing password for user redhat.
passwd: all authentication tokens updated successfully.
📑9.3.7 修改用户密码策略
chage 可以修改用户密码策略
格式:
chage [OPTION]... LOGIN
常见选项:
-d LAST_DAY #更改密码的时间
-m --mindays MIN_DAYS
-M --maxdays MAX_DAYS
-W --warndays WARN_DAYS
-I --inactive INACTIVE #密码过期后的宽限期
-E --expiredate EXPIRE_DATE #用户的有效期
-l 显示密码策略
范例:
[root@servera ~]# chage -m 3 -M 30 -W 14 -I 7 -E 2021-03-27 hao
[root@servera ~]# chage -l hao
Last password change : password must be changed
Password expires : password must be changed
Password inactive : password must be changed
Account expires : Mar 27, 2021
Minimum number of days between password change : 3
Maximum number of days between password change : 30
Number of days of warning before password expires : 14
范例:用户下次登录需要更改密码
[root@servera ~]# chage -d 0 hao
📑9.3.8 创建组
groupadd实现创建组
格式
groupadd [OPTION]... group_name
常见选项:
-g GID 指明GID号;[GID_MIN, GID_MAX]
-r 创建系统组,CentOS 6之前: ID<500,CentOS 7以后: ID<1000
范例:
groupadd -g 48 -r apache
groupmod 组属性修改
格式:
groupmod [OPTION]... group
常见选项:
-n group_name: 新名字
-g GID: 新的GID
📑9.3.9 组删除
groupdel 可以删除组
格式
groupdel [options] GROUP
常见选项:
-f, --force 强制删除,即使是用户的主组也强制删除组
📑9.3.10 更改和查看组成员
groupmems 可以管理附加组的成员关系
格式
groupmems [options] [action]
常见选项:
-g, --group groupname #更改为指定组 (只有root)
-a, --add username #指定用户加入组
-d, --delete username #从组中删除用户
-p, --purge #从组中清除所有成员
-l, --list #显示组成员列表
范例:
[root@servera ~]# id student
uid=1000(student) gid=1000(student) groups=1000(student)
[root@servera ~]# groupmems -l -g admins
[root@servera ~]# groupmems -a student -g admins
[root@servera ~]# groupmems -l -g admins
student
[root@servera ~]# id student
uid=1000(student) gid=1000(student) groups=1000(student),1001(admins)
[root@servera ~]# groupmems -a student -g mysql
[root@servera ~]# id student
uid=1000(student) gid=1000(student) groups=1000(student),27(mysql),1001(admins)
groups 可查看用户组关系
格式:
#查看用户所属组列表
groups [OPTION].[USERNAME]...
💡总结
- 介绍Linux 安全模型。
- 介绍如何运用用户和组的配置文件。
- 介绍如何运用用户和组管理命令。
RHCSA认证作为基础认证,涉及的基础内容需要大家好好进行学习并巩固。有良好的基础才能更上一层楼。
好好加油,可以噶🤪。
以上就是【金鱼哥】对 第九章 管理本地用户和组 的简述和讲解。希望能对看到此文章的小伙伴有所帮助。
💾红帽认证专栏系列:
RHCSA专栏:戏说 RHCSA 认证
RHCE专栏:戏说 RHCE 认证
此文章收录在RHCA专栏:RHCA 回忆录
如果这篇【文章】有帮助到你,希望可以给【金鱼哥】点个赞👍,创作不易,相比官方的陈述,我更喜欢用【通俗易懂】的文笔去讲解每一个知识点。
如果有对【运维技术】感兴趣,也欢迎关注❤️❤️❤️ 【金鱼哥】❤️❤️❤️,我将会给你带来巨大的【收获与惊喜】💕💕!
- 点赞
- 收藏
- 关注作者
评论(0)