二.給普通使用者提權
命令用法
passwd (選項)(使用者名稱)
功能
可用於修改使用者密碼資訊
選項說明
-l:鎖定使用者
-u:解鎖使用者
-e:密碼過期期限
-i:非活動期限
-n:密碼最短有效期
-x:密碼最長有效期
-w:警告期限
–stdin
可用echo 「pasword」 | passwd --stdin username為使用者設定新密碼
命令用法
gpasswd(選項 使用者名稱)(組名)
功能
用於對使用者組的管理
選項說明
-a:向組中新增使用者
-d:從組中移除使用者
命令用法
newgrp(-)(指定組)
-:會模擬使用者重新登入以實現重新初始化其工作環境
功能
切換使用者原有的組為指定組(用id命令可查到使用者gid從原組gid變為指定組gid)。
必須登入使用者後才能使用此命令,使用者必須在指定組裡。
切換指定組後使用者可以擁有此組的許可權。
命令用法
chage(選項)(使用者名稱)
功能
更改使用者密碼過期資訊(與passwd命令功能相似)
選項說明
-d:指定密碼最後修改日期
-e:指定密碼到期日期,到期後賬號不可用,0表示馬上過期,-1表示永不過期
-w:密碼過期前,提前收到警告資訊的天數
-m:密碼可以更改的最小天數,為0代表任何時候都可更改
-m:密碼最大有效期
命令用法
id (選項)(使用者名稱)
功能
顯示使用者的有效id
選項說明
-u:顯示使用者uid
-g:顯示使用者基本組id
-g:顯示使用者所屬所有組的id
-n:顯示使用者名稱
1.用途和方法
用途:切換使用者
格式:su - 目標使用者
2.密碼驗證
由root切換到其他任意使用者,不需要輸入密碼驗證。
由普通使用者切換到其他任意使用者,需要輸入目標使用者密碼驗證。
3.su優缺點
優點:管理方便。
缺點:不安全,如果某些使用者不知道其他使用者密碼,而用su命令頻繁嘗試其他使用者密碼(如root),一旦矇對,後果嚴重。
所以為了增強普通使用者對su命令的使用限制,我們可以借助pam_wheel認證模組,只允許極個別使用者能使用su命令切換(此操作不會影響root使用者,root使用者仍然可以切換任意使用者)。
4.實現過程
原理:/etc/pam.d/su檔案啟用某行後,除root使用者外其他使用者無權su;只要把使用者加入wheel組,使用者就可以su。
(1)「vim /etc/pam.d/su」進入/etc/pam.d/su檔案,然後刪掉標註的第一行的注釋(即刪掉行首#)。
完成此步驟後,除root使用者外其他使用者則不能切換任意使用者。
(2)「usermod -ag wheel 指定使用者 」(或「gpasswd -a 指定使用者 wheel」) 可以把指定使用者加入wheel組。(/etc/group檔案裡預設有wheel組)
完成此步驟,指定使用者(已在wheel組內)和root使用者可以切換任意使用者,其他使用者依舊不能切換。
1.背景
通過su命令可以方便切換使用者,但必須知道root密碼,但是特權密碼知道的越多就越不安全。所以我們可以用sudo命令來增加普通使用者的執行許可權,即讓普通使用者擁有部分管理許可權,而又不用告訴其特權密碼。
此操作需要由管理員預先授權,指定允許哪些使用者能以超級使用者身份來執行哪些命令。
2.分析sudo配置檔案/etc/sudoers
(1)別名規則
alias_type name=item1,item2,或
alias_type name=item1,item2:name=item3,item4
***注:name命名規則是包含大寫字母,數字及下劃線,而且必須以大寫字母開頭。
其中,alias_type是指別名型別,有以下幾種:
①host_alias主機別名
舉例:host_alias mailservers = smtp, smtp2
mailservers是主機別名,smtp, smtp2是成員
②user_alias使用者別名,別名成員可以是使用者,使用者組(前面要加%)
舉例:user_alias admins = jsmith,
mikem admins是使用者別名,jsmith, mikem是兩個成員(要在系統中存在)
③cmnd_alias(2)授權規則授權規則的定義格式:命令別名,這些命令必須是系統存在的檔案,要用**「絕對路徑」**,檔名可以用萬用字元。
舉例:cmnd_alias software = /bin/rpm, /usr/bin/up2date, /usr/bin/yum
授權使用者 主機=命令動作
或者授權使用者 主機=[(切換到哪些使用者或使用者組)] [是否需要密碼驗證] 命令1,…
使用者,主機,命令三要素缺一不可。可切換使用者用()括起來;不需要密碼直接執行命令的加上nopasswd:引數,這些都可以省略。
①方式1:root all=(all) all
root可以在所有主機切換所有使用者,執行所有命令。
舉例:test 192.168.42.1=(test001) vim,(test002) ifconfig,(test003) ip a
使用者test可以在192.168.42.1主機中切換test001,test002,test003使用者,並分別在其上執行vim,ifconfig,ipa命令。
②方式2:3.舉例(1)使使用者use1能夠有許可權掛載/dev/sr0到/media目錄下(預設mount此操作只用root能執行)。①:建立/etc/sudoers.d/user檔案;舉例:%users localhost=/sbin/shutdown -h now
使用者組users可以在主機localhost上執行關機命令。
②:在user檔案中寫入授權命令;
use1 all=(all) usr/bin/mount /dev/sr0 /media
③:退回use1使用者下,執行此操作;
sudo mount /dev/sr0 /media即可。
(2)使use2使用者能夠有許可權使用/user/sbin下所有命令,除了/usr/sbin/userdel。
①:在/etc/sudoers.d/user檔案中寫入;
use2 all=(root) usr/sbin/,!/usr/sbin/userdel
②:退出後進入use2使用者模式下可執行/usr/sbin/下除過userdel命令的其他命令;
(3)使使用者use2能夠有許可權檢視/var/log/messages後的所有檔案。
①:在/etc/sudoers.d/user檔案中寫入;
use2 all= /usr/bin/cat /vat/log/messages*,!/bin/cat /var/log/messages* *
②:進入use2使用者下輸入命令;
sudo cat /var/log/messages即可。
linux 使用者 組管理
linux 系統是乙個多使用者多工的分時作業系統,任何乙個要使用系統資源的使用者,都必須首先向系統管理員申請乙個賬號,然後以這個賬號的身份進入系統。使用者的賬號 一方面可以幫助系統管理員對使用系統的使用者進行跟蹤,並控制他們對系統資源的訪問 另一方面也可以幫助使用者組織檔案,並為使用者提供安全性保護...
Linux使用者組管理
使用者組資訊存放 etc group 當組內只有乙個使用者,並且使用者名稱和使用者組名一致時預設不顯示 組號1 499是系統預留的使用者組,500的使用者組是管理員手動建立的,組密碼佔位符用x表示 組密碼配置檔案 etc gshadow 也是四段存放的,乙個 代表組密碼為空,比如ssh免密登入後就為...
linux使用者 組管理
linux是乙個可以實現多使用者登陸的作業系統,允許多個使用者同時登陸到系統上使用資源。系統根據賬戶來區分每個使用者的檔案 程序 任務,給每個使用者提供特定的工作環境。使用者組的基本概念 使用者 users 和組 group 系統上的每個程序 執行程式 都作為特定使用者進行。每個檔案都由特定使用者擁...