用户信息的更改
方式:
usermod 参数 用户
-l 新用户名 原用户名 更改用户名
-u 更改用户uid
-g 更改用户gid
-G 更改用户附加组
-aG 添加多个用户附加组(系统默认只能有一个附加组)
-c 更改用户说明
-d 更改用户家目录
-s 更改用户shell
-L 冻结帐号(冻结后其他用户不能切换到被冻结的帐号)
-U 解锁帐号
实践:
新建用户userli
将用户名userli修改为studnet
[root@foundation74 kiosk]# usermod -l student userli
//在/etc/passwd下查看用户信息
student:x:1001:1001::/home/userli:/bin/bash ##用户名被修改
将用户id改为1002
[root@foundation74 kiosk]# usermod -u 1002 student
//在/etc/passwd下查看用户信息
student:x:1002:1001::/home/userli:/bin/bash ##用户id被修改
将用户组id修改为1000
[root@foundation74 kiosk]# usermod -g 1000 student
//在/etc/passwd下查看用户信息
student:x:1002:1000::/home/userli:/bin/bash ##用户组id被修改
修改附加组id为1234
[root@foundation74 kiosk]# usermod -G 1234 student
//在/etc/group下查看用户组信息
groupli:x:1234:student ##在1234的附加组下看到了student
为用户体添加多个附加组
[root@foundation74 kiosk]# usermod -G 1001 student ##直接使用-g命令,会覆盖前面的附加组
[root@foundation74 kiosk]# id student
uid=1002(student) gid=1000(kiosk) groups=1000(kiosk),1001(userli) ##1234被覆盖
使用 -aG 命令
[root@foundation74 kiosk]# usermod -aG 1234 student
[root@foundation74 kiosk]# id student
uid=1002(student) gid=1000(kiosk) groups=1000(kiosk),1234(groupli),1001(userli) ##添加多个附加组成功
更改用户说明
[root@foundation74 kiosk]# usermod -c "hello world" student
//在/etc/passwd下查看用户信息
student:x:1002:1000:hello world:/home/userli:/bin/bash
修改用户家目录
[root@foundation74 kiosk]# usermod -d /home/userlee student
//在/etc/passwd下查看用户信息
student:x:1002:1000:hello world:/home/userlee:/bin/bash
修改用户shell
[root@foundation74 kiosk]# cat /etc/shells ##首先查看用户shell
/bin/sh
/bin/bash
/sbin/nologin
/usr/bin/sh
/usr/bin/bash
/usr/sbin/nologin
/bin/tcsh
/bin/csh
修改shell
[root@foundation74 kiosk]# usermod -s /bin/sh student
student:x:1002:1000:hello world:/home/userlee:/bin/sh
2.给用户授权
意义:管理员作为特权用户,很容易误操作造成不必要的损失。所以健康的管理方法是在Linux服务架构好后,可授权普通用户协助完成日常管理。
过程:
1.以useradd命令为例,首先找到which useradd 命令在系统中的位置
2.在系统中超级用户可以下放给普通用户不能执行的操作给普通用户
下放权力的配置文件:/etc/sudoers
3.超级用户执行visudo进入编辑/etc/sudoers模式
## Allow root to run any commands anywhere
root ALL=(ALL) ALL ##找到root这一行
## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS
//在root ALL=(ALL) ALL 后添加
kiosk foundation74.ilt.example.com = (root) NOPASSWD: /usr/sbin/useradd
1 2 3 4
字段1:获得权限的用户
字段2: 主机名= (获得到的用户身份)命名
字段3:NOPASSWD表示用户调用sudo命令是不需要自己的密码
字段4:赋予给用户的命令(命令的绝对路径)
配置完毕后,如果想知道哪些命令是你当前用户能够执行或禁止的,可以切换至该用户身份,然后通过sudo -l查看,切换到kiosk用户
[kiosk@foundation74 ~]$ sudo -l
Matching Defaults entries for kiosk on this host:
...
User kiosk may run the following commands on this host:
(root) NOPASSWD: /usr/sbin/useradd ##可以使用useradd命令
...
/usr/local/bin/rht-vmctl, /usr/local/bin/rht-vmsetkeyboard
下面以kiosk身份执行useradd
[kiosk@foundation74 ~]$ sudo useradd newli ##以kiosk的身份执行useradd
[kiosk@foundation74 ~]$ tail -n 1 /etc/passwd
newli:x:1006:1006::/home/newli:/bin/bash ##成功,Amazing!
3.用户认证信息的控制
1.查看用户认证信息:
cat /etc/shadow
2./etc/shadow 的内容分析:
以我的一个kiosk用户为例:
kiosk:$6$muzBVJVz$F8SHsxbuBAtgywfyrxyLogLzl9xeEc7v4GQvc6.WtjWv0/tuRpiHUBd6s9axR/FdZiWvC5oW0PwI2cR8KHwym.:17888:0:99999:7:::
/etc/shadow 文件的内容包括9个段位,每个段位之间用:号分割;我们以如下的例子说明:
第一字段:用户名(也被称为登录名),在/etc/shadow中,用户名和/etc/passwd 是相同的,这样就把passwd 和shadow中用的用户记录联系在一起;这个字段是非空的;
第二字段:密码(已被加密),如果是有些用户在这段是x,表示这个用户不能登录到系统;这个字段是非空的;
第三字段:上次修改口令的时间;这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔(天数),您可以通过passwd 来修改用户的密码,然后查看/etc/shadow中此字段的变化;
第四字段:两次修改口令间隔最少的天数;如果设置为0,则禁用此功能;也就是说用户必须经过多少天才能修改其口令;此项功能用处不是太大;默认值是通过/etc/login.defs文件定义中获取,PASS_MIN_DAYS 中有定义;
第五字段:两次修改口令间隔最多的天数;这个能增强管理员管理用户口令的时效性,应该说在增强了系统的安全性;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_MAX_DAYS 中定义;
第六字段:提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_WARN_AGE 中定义;
第七字段:在口令过期之后多少天禁用此用户;此字段表示用户口令作废多少天后,系统会禁用此用户,也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用;
第八字段:用户过期日期;此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,帐号永久可用;
第九字段:保留字段,目前为空,以备将来Linux发展之用;
3.修改/etc/shadow的信息
方式:通过 chage 命令可以查看和修改 /etc/shadow 文件的第三个字段到第八个字段的密码状态
chage -m 6 username 最短有效期
chage -M 10 username 最长有效期
chage -W 2 username 警告期
chage -I 3 username 非活跃天数
chage -E '2018-1-1' username 帐号到期日期
chage -d 0 username 最后一次密码修改的时间
实践:
分别执行以下命令,并查看/etc/shadow文件
175 cat /etc/shadow
176 chage -m 6 studnet ## 修改最短有效期为6
177 chage -m 6 student
178 chage -M 10000 student ##修改最长有效期为10000
179 chage -W 10 student ##修改警告期为10天
180 chage -I 3 student ##修改非活跃天数为3天
181 chage -E '2019-12-30' student ##修改帐号到期日期为2019-12-30
182 chage -d 0 student ##修改最后一次密码修改的时间
//查看/etc/shadow文件
student:$6$N.Z7zZ10$BtzsxNmtPcw4mGf3keoybZYToqE/x3BGH9g1Gn5zqJGgR780OPbI/a.dSsF/
TAjFo.J0oGsx86x0l8Ww1z3MC1:17900:6:10000:10:3:18260: ##对应信息都被改变
1 2 3 4 5 6
标注字段说明:
标注字段1(17900):从1970年01月01日算起至修改的天数间隔
标注字段2(6):修改最短有效期为6
标注字段3(10000):改最长有效期为10000
标注字段4(10):修改警告期为10天
标注字段5(3):修改非活跃天数为3天
标注字段6(18260):从1970年的1月1日开始至2019-12-30的天数
重点注意:chage -d 0 student 命令
##这个命令主要用于强制用户在第一次登录时必须修改密码。
从普通用户登陆该用户时,先输入之前的密码,系统在提示要修改密码,修改8为位密码,再次输入
[kiosk@foundation74 ~]$ su - student
Password:
You are required to change your password immediately (root enforced) ##强制修改密码
Changing password for student.
(current) UNIX password: ##输入之前的密码
New password: ##输入新密码
Retype new password:
Last login: Fri Jan 4 11:13:36 CST 2019 on pts/3
[student@foundation74 ~]$ ##切换成功
网友评论