Linux 管理员 – 用户管理
Linux 管理员 – 用户管理
在讨论用户管理时,我们需要理解三个重要术语 –
- 用户
- 团体
- 权限
我们已经讨论了应用于文件和文件夹的深入权限。在本章中,让我们讨论用户和组。
CentOS 用户
在 CentOS 中,有两种类型的帐户 –
-
系统帐户– 用于守护程序或其他软件。
-
交互式帐户– 通常分配给用户以访问系统资源。
两种用户类型之间的主要区别是 –
-
守护进程使用系统帐户来访问文件和目录。这些通常不允许通过 shell 或物理控制台登录进行交互式登录。
-
最终用户使用交互式帐户从 shell 或物理控制台登录访问计算资源。
有了对用户的基本了解,现在让我们为会计部门的 Bob Jones 创建一个新用户。使用adduser命令添加新用户。
以下是一些adduser常用开关 –
| Switch | 行动 |
|---|---|
| -c | 向用户帐户添加评论 |
| -m | 如果不存在,则在默认位置创建用户主目录 |
| -g | 分配用户的默认组 |
| -n | 不为用户创建私有组,通常是用户名的组 |
| -M | 不创建主目录 |
| -s | 除 /bin/bash 之外的默认 shell |
| -u | 指定 UID(否则由系统分配) |
| -G | 将用户分配到的其他组 |
创建新用户时,请使用-c、-m、-g、-n开关,如下所示 –
[root@localhost Downloads]# useradd -c "Bob Jones Accounting Dept Manager" -m -g accounting -n bjones
现在让我们看看我们的新用户是否已经创建 –
[root@localhost Downloads]# id bjones (bjones) gid = 1001(accounting) groups = 1001(accounting) [root@localhost Downloads]# grep bjones /etc/passwd bjones:x:1001:1001:Bob Jones Accounting Dept Manager:/home/bjones:/bin/bash [root@localhost Downloads]#
现在我们需要使用 passwd 命令启用新帐户 –
[root@localhost Downloads]# passwd bjones Changing password for user bjones. New password: Retype new password: passwd: all authentication tokens updated successfully. [root@localhost Downloads]#
未启用用户帐户,允许用户登录系统。
禁用用户帐户
有多种方法可以禁用系统上的帐户。这些范围包括手动编辑 /etc/passwd 文件。或者甚至使用带有-l开关的passwd命令。这两种方法都有一个很大的缺点:如果用户有ssh访问权限并使用 RSA 密钥进行身份验证,他们仍然可以使用这种方法登录。
现在让我们使用chage命令,将密码到期日期更改为以前的日期。此外,最好在帐户上记下我们禁用它的原因。
[root@localhost Downloads]# chage -E 2005-10-01 bjones [root@localhost Downloads]# usermod -c "Disabled Account while Bob out of the country for five months" bjones [root@localhost Downloads]# grep bjones /etc/passwd bjones:x:1001:1001:Disabled Account while Bob out of the country for four months:/home/bjones:/bin/bash [root@localhost Downloads]#
管理群组
在 Linux 中管理组使管理员可以方便地将容器内的用户组合在一起,应用适用于所有组成员的权限集。例如,Accounting 中的所有用户可能需要访问相同的文件。因此,我们创建了一个会计组,添加了会计用户。
大多数情况下,任何需要特殊权限的事情都应该在一个组中完成。与仅对一个用户应用特殊权限相比,这种方法通常会节省时间。例如,Sally 负责报告,只有 Sally 需要访问某些文件才能进行报告。但是,如果有一天 Sally 生病了而 Bob 报告了呢?或者报告的需求在增长?创建组后,管理员只需执行一次。随着需求的变化或扩展应用添加用户。
以下是用于管理组的一些常用命令 –
- chgrp
- 群组添加
- 团体
- 用户模式
chgrp – 更改文件或目录的组所有权。
让我们为会计组的人创建一个目录来存储文件并为文件创建目录。
[root@localhost Downloads]# mkdir /home/accounting [root@localhost Downloads]# ls -ld /home/accounting drwxr-xr-x. 2 root root 6 Jan 13 10:18 /home/accounting [root@localhost Downloads]#
接下来,让我们将组所有权授予会计组。
[root@localhost Downloads]# chgrp -v accounting /home/accounting/ changed group of ‘/home/accounting/’ from root to accounting [root@localhost Downloads]# ls -ld /home/accounting/ drwxr-xr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/ [root@localhost Downloads]#
现在,accounting 组中的每个人都拥有对/home/accounting 的读取和执行权限。他们也需要写权限。
[root@localhost Downloads]# chmod g+w /home/accounting/ [root@localhost Downloads]# ls -ld /home/accounting/ drwxrwxr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/ [root@localhost Downloads]#
由于会计组可能会处理敏感文件,因此我们需要对other或world应用一些限制性权限。
[root@localhost Downloads]# chmod o-rx /home/accounting/ [root@localhost Downloads]# ls -ld /home/accounting/ drwxrwx---. 2 root accounting 6 Jan 13 10:18 /home/accounting/ [root@localhost Downloads]#
groupadd – 用于创建一个新组。
| Switch | 行动 |
|---|---|
| -g | 指定组的 GID |
| -K | 覆盖 /etc/login.defs 中 GID 的规范 |
| -o | 允许覆盖非唯一组 ID 不允许 |
| -p | 群组密码,允许用户自行激活 |
让我们创建一个名为 secret 的新组。我们将为该组添加密码,允许用户使用已知密码添加自己。
[root@localhost]# groupadd secret [root@localhost]# gpasswd secret Changing the password for group secret New Password: Re-enter new password: [root@localhost]# exit exit [centos@localhost ~]$ newgrp secret Password: [centos@localhost ~]$ groups secret wheel rdc [centos@localhost ~]$
实际上,组的密码并不经常使用。辅助组就足够了,在其他用户之间共享密码并不是一个很好的安全实践。
该组命令用于显示用户属于哪个组。在对当前用户进行一些更改后,我们将使用它。
usermod用于更新帐户属性。
以下是常见的usermod开关。
| Switch | 行动 |
|---|---|
| -a | 附加,将用户添加到补充组,仅使用 -G 选项 |
| -c | Comment,更新用户评论值 |
| -d | 主目录,更新用户的主目录 |
| -G | 分组、添加或删除次要用户组 |
| -g | Group,用户的默认主组 |
[root@localhost]# groups centos centos : accounting secret [root@localhost]# [root@localhost]# usermod -a -G wheel centos [root@localhost]# groups centos centos : accounting wheel secret [root@localhost]#
