初级3 2管理和用户组

章节内容：Linux系统具有多用户、多任务的特点，因此也迫使其具有了很好的Linux系统中文件的所有者、所有组以及其他人所对应的读(r)写(w)执行(x)学习会添加、删除、修改用户帐户信息用su命令与sudo服务来让普通用户既能够使用到超级管理员的权限来满一、用户与能Linux系统的设计初衷之一就是为了满足让多用户同时工作的需求，因此也Linux系统必备具备很好的安全性，在第一章安装红帽RHEL7操作系统时特别要求“设置root用户”，这个所说的root用户就是存在于所有类UNIX虽然使用root用户工作时不会受到系统的种种限制，但老话讲“能力越大，责任就越大”，一旦我们使用这个高能的root用户执行了错误令也有可能会码——UID(UserIDentification)的0LinuxUID就相当于我们人类社会中的号码一样唯一性因此我们是通过用户的UID的值来判断用户，RHEL7系统中的用户包括有UID0:普通用户UID1000~:即管理员创建的用于日常工作而不能管理系统的普通注意UID一定是不能的管理员创建的普通用户UID从1000开（即为了方便管理同一组的用户还有用户组的概念，用户组号码即于某个人，例如只有属于技术部分组的人才可以公司的数据库信息等等。在Linux系统中每个用户在建立时也会自动创建一个与其同名的基本用户useradd格式为：“useradd[选项 用户名 默认的S 指定用户的 （默认为指定该用户的默认UID指定一个初始的用户基本组（必须已存在useGROUPasnewprimarynewlistofsupplementary(补充当、追加的 指定创建一个普通用户并指定家路径UID用户号码以及S解释器，其中/sbin/nologinbash有天壤之别，因为一旦用户的解释器被设置成了nologin，那么则代表该用户不能够登录到系统：[root@rhce~]#useradd-d/home/linux-u8888[root@rhce~]#useradd-d/home/linux-u8888-s/sbin/nologin [root@rhce~]#idrhceuid=8888(rhce)gid=8888(rhce)groupadd命令用于创建群组，格式为："groupadd选项]群组名"[root@rhce~]#groupadd[root@rhce~]#groupaddusermod命令用于修改用户的属性，格式为“usermod选项]用户名”Linux用户的信息被保存到了/etc/passwdusermod来修改已经创建的用户信息项目，诸如用户号码、基本/扩展用户组、默认终端等等：-d--m与-d连用，可重新指定用户的家锁定[root@rhce[root@rhce~]#iduid=1000(rhce)gid=1000(rhce)[root@rhce~]#usermod-G[root@rhce~]#usermod-Groot[root@rhce~]#iduid=1000(rhce)gid=1000(rhce)[root@node1~]#usermod-grootrhce[root@node1~]#idrhceuid=1000(rhce)gid=0(root)[root@rhce[root@rhce~]#usermod-u8888rhce[root@rhce~]#idrhceuid=8888(rhce)gid=1000(rhce)gpasswd-M：指定组成员和-A-M：指定组成员和-A -Rnewgrp需要输入即可，gpasswd让使用者暂时加入成为该组成员，之后jerry建立的文件，所属组也会是newgroupjerryjerry所以使用gpasswdnewgroup设定，就是让知道该群组的人可以暂时切换具备newgroup群组功能的gpasswd-Atomgpasswdaandy //marygpasswdaandy //marynewgroupgpasswdabob //bobnewgroup注意：usermod-Ggroup_nameuser_name这个gpasswd-auser_name[root@server[root@server~]#iduid=1002(andy)gid=1002(andy)groups=1002(andy)[root@server~]#idbobuid=1003(bob)gid=1003(bob)[root@server[root@server~]#groupadd[root@server~]#gpasswd-aandywheelAddinguserandytogroupwheel[root@server~]#gpasswd-abobAddingAddinguserbobtogroup[root@server[root@server~]#id[root@server~]#iduid=1003(bob)gid=1003(bob)[root@server~]usermod[root@server~]usermodGrhca //bobrhca[root@server~]#iduid=1003(bob)gid=1003(bob)//bobrhca[root@server~]gpasswdabob //bobrhce[root@server~]#iduid=1003(bob)gid=1003(bob)//bobrhce、wheel

的区别newgrp[root@server~]groupadd[root@server~]groupadd //newgroup[root@server~]#grepnewgroup[root@server~]#useradd[root@server~]#useradd[root@server~]gpasswdatom //tomnewgroupAddingusertomtogroup[root@server~]#grepnewgroup[root@server~]gpasswddtom //tomnewgroupRemovingusertomfromgroupnewgroup[root@serverRemovingusertomfromgroupnewgroup[root@server~]#grepnewgroup/etc/group[root@server[root@server~]gpasswdAtom //tomnewgroup[root@server~]#grepnewgroupnewgroup[root@server~]gpasswd //newgroupChangingthepasswordforgroupnewgroupNewPassword:Re-enternew[root@server[root@server~]#su-[jerry@server~]$newgrpnewgroup [jerry@server~]$touchjerry.txt[jerry@server~]$lltotal-rw-rw-r1jerryjerry0Apr2816:18jerry.txtjerry.txt[root@server~]#useraddjerry [root@server~]#su-jerry[jerry@server~]$newgrp //jerrynewgroup[jerry@server~]$touchjerry1.txt[jerry@server~]$lltotal-rw-r--r--.-rw-r--r--.1jerrynewgroup0Apr2816:19//jerry1.txt-rw-rw-r--.1jerryjerry 0Apr2816:18jerry.txt[jerry@server~]$gpasswd-aandynewgroup//jerrynewgroupnewgroupgpasswd:Permission[jerry@server~]$[root@server~]#su-[tom@server~]$gpasswd-aandynewgroup //[root@server~]#su-[tom@server~]$gpasswd-aandynewgroup //andynewgroupAddinguserandytogroupnewgroup[tom@server~]$idandypasswd命令用于修改用户的格式为：“passwd[选项][用户名]”。修改自身的系统，而超级用户则有权限来修改其他所有人的。root管理员修改自己或他人的是不需要验证旧的，这点特别的方便，既然root用户都有权限修改或登录了该用户，则代表已经对该用户有完全的管理权限了因此尝试修改该用户时不再重复要求验证旧其实也并不锁定锁定解除锁--stdin允许从标准输入修改用 如如(echossWord"|passwd--stdin[root@rhce~]#Changingpasswordforuser[root@rhce~]#Changingpasswordforuserroot.Newpassword:Retypenewpasswd:allauthenticationtokensupdated[root@rhce[root@rhce~]#passwdChangingpasswordforuserrhce.Newpassword:Retypenewpasswd:allauthenticationtokensupdated[root@rhce~]#passwd-lrhce Lockingpasswordforuserrhce.passwd:[root@rhce~]#passwd-lrhce Lockingpasswordforuserrhce.passwd:[root@rhce~]#passwd-S 状rhceLK2016-12-260999997-1(Password[root@rhce~]passwdu Unlockingpasswordforuserrhce.passwd:Success[root@rhce~]#passwd-SrhcePS2016-12-260999997-1(Passwordset,SHA512userdel命令用于删除用户，格式为：“userdel选项]用户名”如果我们确认以后不需要某个用户登录到本地系统中，则可以通过userdel命令来删除有关该用户的所有信息，默认该用户的家数据会被保留下来，而如果想要一起删除的话可以加上-r或-f参数即可：参 作 强制删除用户， 与其相关文 同时删除用户， 与其相关文[root@rhce~]#iduid=8888(rhce)gid=1000(rhce)groups=1000(rhce),0(root)[root@rhce~]#userdel-rrhce[root@rhce~]#idrhceid:rhce:nosuchuser二、susudo工作生产环境中，不要用root超级用户去做一切的事情，因为一旦执行了错误命令后可能会直接导致系统Linuxroot超级su命令便是为了解决切换用户的需求而设计的功能，使用su命令可以[root@rhce~]#uid=0(root)[root@rhce~]#uid=0(root)gid=0(root)groups=0(root)[root@rhce~]#su-rhceLastlogin:WedJan401:17:25EST2017onpts/0[rhce@rhce~]$iduid=1000(rhce)gid=1000(rhce)~]#echo ~]#su-rhce~]#echo ~]#su-rhceLastlogin:FriApr2110:42:40CST2017onpts/0 ~]$echo$PATH//使用-rhce~]$surhce]#echo//不使用-，rootrhce~]$echo ~]$su-rootLastlogin:FriApr2110:43:59CST2017onpts/0 ~]#echo$PATH//使用-root当超级用户切换到普通用户时是不需要验证的而普通用户切换成超级 [rhce@rhce[rhce@rhceroot]$suroot[root@rhce~]#su-Lastlogin:MonAug2419:27:09CST2015onpts/0[rhce@rhce~]$exit上面使用su命令允许普通用户完全变更为root用户来完成工作，但这样会了root超级管理员的，使得系统被获取的几率也大大提sudo程序来将特定命令的执行权限赋予给指定的用户，这样即可保证了正常工作的同时也避免了root超级用户，平时只要合理的配置sudo服务便可以合理的兼顾系统的安全性和用户便捷性，配置的原则也很简单验证 后5分钟(默认值)内无须再让用户验。列出当前用户可执行令列出当前用户可执行令-uUID以指定的用户执行命令清空安全时间，下次执行sudo时需要再次验证在执行指定令更改询问的提示语sudovisudo命令来配置用户权限，这条命令在配置用户权限时可以避免多个只用超级用户才可以使用visudo命令编辑sudo程序的配置文件（/etc/sudoersvisudo:>>>/etc/sudoers:syntaxerrornearline111<<<Whatnow?Options(e)ditsudoersfile(x)itwithoutsavingchangestosudoers(Q)uitandsavechangestosudoersfile1sudo时，系统会主动寻找1sudo时，系统会主动寻找/etc/sudoers文件，判断该用户是否有执行sudo的权限2，确认用户具有可执行sudo的权限后，让用户输入用户自己 确3， 输入成功，则开始执行sudo后 4root (eudoers文件中有配置rootALL=(ALL)这样一条规则5，若欲切换 与执行者 相同，也不需要输使用visudo命令配置sudo服务的服务文件，操作的方法与vim编辑器是的第99行按照我们下面的格式填写上制定的信息即可：sudo命令的主机=（以谁的执行命令 [root@rhce[root@rhce~]###AllowroottorunanycommandsrootALL=(ALL)rhceALL=(ALL)[root@rhce~]#su-Lastlogin:ThuSep315:12:57CST[root@rhce~]#su-Lastlogin:ThuSep315:12:57CST2015on[rhce@rhce[rhce@rhce~]$sudo-[sudo]passwordfor令MatchingDefaultsentriesforrhceonthisrequiretty,!visiblepw,always_set_home,env_reset,MAILYHOSTNAMEHISTSIZEINPUTRCKDEDIRLS_COLORS",PS2QTDIRUSERNAMELANGLC_ADDRESSLC_CTYPE",env_keep+="LC_COLLC_IDENTIFICATIONLC_MEASUREMENTLC_MESSAGES",env_keep+="LC_MOLC_NAMELC_NUMERICLC_PAPERLC_ EPHONE",env_keep+="LC_TIMELLANGUAGELINGUAS_XKB_CHARSETUserrhcemayrunthefollowingcommandsonthishost:(ALL)ALL因为作为一名普通用户是肯定不能查看到root超级用户 文件信息的文件信息的但我们只需要在想执 令前面加上sudo命令就变得有权限了[rhce@rhce~]$lsls:cannotopendirectory/root:Permission[rhce@rhce~]$sudols sinitial-setup-ks.cfgPictures DesktopDesktopDownloadsMusic [rhce@localhost~]$exit[root@localhost~]#whereiscat:/usr/bin/cat/usr/share/man/man1/cat.1.gz/usr/share/man/man1p/ca[root@rhce~]#[rhce@localhost~]$exit[root@localhost~]#whereiscat:/usr/bin/cat/usr/share/man/man1/cat.1.gz/usr/share/man/man1p/ca[root@rhce~]###AllowroottorunanycommandsrootALL=(ALL)rhceALL=(ALL) [root@rhce~]#su-[root@rhce~]#su-Lastlogin:ThuSep315:51:01CST2015onpts/1[rhce@rhce~]$cat/etc/shadowcat:/etc/shadow:Permission[rhce@rhce~]$sudocat[rhce@localhost~]$exit[root@localhost~]#whereispoweroff:/usr/sbin/poweroff/usr/share/man/man8/poweroff.8.gz[root@localhost~]#visudo[rhce@localhost~]$