5.组命令管理**
组账户信息保存在/etc/group和/etc/gshadow两个文件中
/etc/group 组账户信息
[root@localhost ~]# head -2 /etc/group
root:x:0:
bin:x:1:
// /etc/group由“:”分割成4个字段,每个字段具体含义如下
字段名称 注释说明
1.组账户名称 //组的名称
2.密码占位符 //组的密码(存在/etc/gshadow)
3.组GID //组GID的信息
4.组成员 //这里仅显示附加成员,基本成员不显示
/etc/gshadow 组密码信息
[root@localhost ~]# head -2 /etc/gshadow
root:::
bin:::
// /etc/gshadow由“:”分割成4个字段,每个字段具体含义如下
字段名称 注释说明
1.组账户名称 //组的名称
2.密码占位符 //组密码
3.组GID //组管理员
4.组成员 //这里仅显示附加成员,基本成员不显示
使用groupadd命令新增组
语法:groupadd [-g GID] groupname
//不指定gid默认从1000开始
[root@localhost ~]# groupadd gtest
[root@localhost ~]# tail -1 /etc/group
gtest:x:5004:
//'-g'指定gid
[root@localhost ~]# groupadd -g 5555 gtest2
[root@localhost ~]# tail -1 /etc/group
gtest2:x:5555:
//'-r'创建系统组,gid从201-999
[root@localhost ~]# groupadd -r test_test
[root@localhost ~]# tail -1 /etc/group
test_test:x:995:
使用groupmod命令修改组信息
//-g 修改组gid
[root@localhost ~]# groupmod -g 5600 gtest2
[root@localhost ~]# tail -5 /etc/group
gtest2:x:5600:
//-n 修改组名称
[root@localhost ~]# groupmod -n gtestx gtest2
[root@localhost ~]# tail -1 /etc/group
gtestx:x:5600:
使用groupdel删除组
//该命令没有特殊选项,如果一个用户有基本组和附加组,只能删除附加组,不能删除基本组
//删除组
[root@localhost ~]# groupdel gtestx
//删除用户附加组
[root@localhost ~]# tail /etc/group
dba:x:1004:oldgirl
students:x:1005:oldgirl
[root@localhost ~]# groupdel students
//无法删除用户基本组
[root@localhost ~]# tail /etc/group
oldboy1:x:1001:
[root@localhost ~]# groupdel oldboy1
groupdel: cannot remove the primary group of user 'oldboy1'
//只有删除用户或者用户变更基本后,方可删除该组
使用gpasswd设置组密码
[root@localhost ~]# gpasswd gtest
Changing the password for group gtest
New Password:
Re-enter new password:
使用newgrp命令切换基本组身份
//检查账户信息
[root@localhost ~]# id dba
uid=998(dba) gid=1004(dba) groups=1004(dba)
//切换普通用户
[root@localhost ~]# su - oldgirl
//创建新文件,并验证权限
[root@localhost ~]# touch group_test
[root@localhost ~]# ll
total 4
-rw-------. 1 root root 1577 Oct 18 18:46 anaconda-ks.cfg
-rw-r--r-- 1 root root 0 Oct 29 21:03 group_test
//切换组信息
[xiao@localhost ~]$ newgrp gtest
Password:
[xiao@localhost ~]$ id
uid=1002(xiao) gid=5004(gtest) groups=5004(gtest),1002(xiao)
//建立文件,检查权限
[xiao@localhost ~]$ touch group_new
[xiao@localhost ~]$ ll
total 0
-rw-rw-r-- 1 xiao xiao 0 Oct 29 21:15 group_new
6.身份切换*****
Linux系统中,有时候普通用户有些事情是没办法操作,除非是root用户才能做到,这时就需要临时切换到root身份来做事了,
那么在学习如何切换用户之前,我们先来了解下用户工作环境
shell分类
交互式shell 等待用户输入执行提交的命令(终端操作),exit退出
非交互式shell 执行shell脚本,脚本执行结束shell自动退出
1.把交互命令换成同等功能非交互命令
2.提前做好应答文件
登陆shell 需要输入用户名和密码才能进入shell,su - oldboy
非登陆shell 不需要输入用户和密码就能进入,比如执行,sh,bash
//查看登陆shell
yum install -y psmisc
[root@localhost ~]# pstree
//临时设置,永久设置需要写配置文件
[root@localhost ~]# export PS1='[\h@\u \t]#'
[localhost@root 21:36:33]#
bash配置文件
Bash的配置文件保存用户的工作环境
个人配置文件:~/.bash_profile ~/.bashrc
全局配置文件:/etc/profile /etc/profile.d/*.sh /etc/bashrc
profile类文件,设定环境变量,登陆前运行的脚本和命令
bashrc类文件,设定本地变量,定义命令别名
字符串环境变量文件:/etc/locale.conf(centOS7)
全局配置和个人配置设置冲突,以个人设置为准
shell配置文件顺序
//登录式shell配置文件执行顺序
/etc/profile-->/etc/profile.d/*.sh-->.bash_profile-->~/.bashrc-->/etc/bashrc
//非登陆式shell配置文件执行顺序
~/.bashrc-->/etc/bashrc-->/etc/profile.d/*d.sh
//如何验证登录shell和非登陆shell,配置文件执行顺序,只需要在每个配置文件加入一段'echo'即可
注意:添加的echo字段必须放置在第二行
//最后通过登录shell和非登陆shell方式登录linux,即可验证执行顺序。
如果全局配置和个人配置出现冲突,那么如何验证呢
编辑全局变量 /etc/profile 新增一行:PS1='[\h@\u \t]#'
[localhost@root 22:10:43]# //当前shell终端环境
编辑个人配置/home/xiao/.bash_profile 新增一行:PS1='\u@\H#'
[localhost@root 22:19:37]#su xiao
[xiao@localhost root]$
[localhost@root 22:20:28]#su - xiao
[xiao@localhost.localdomain]#
创建用户,并登录系统
[localhost@root 22:23:10]#useradd xiao1
[localhost@root 22:23:23]#echo '123'|passwd --stdin xiao1
Changing password for user xiao1.
passwd: all authentication tokens updated successfully.
//使用xiao1用户登录linux
ssh xiao1@10.0.1.31
[localhost@xiao1 20:27:43]#
//使用使用whoami查看当前登录用户
[xiao1@localhost ~]$ whoami
xiao1
切换用户,使用命令su [-] username
su命令后面-代表进入登陆式shell 否则代表进入非登陆式shell 只不过他们所执行的环境配置文件不一样。
普通用户su- 不加username时可以切换root用户,但需要输入密码。
超级管理员root用户使用su -切换普通用户不需要密码。
[xiao1@localhost ~]$ pwd
/home/xiao1
//不加'-'切换到root账户下时,当前目录没有变化
[xiao1@localhost ~]$ su
Password:
[root@localhost xiao1]# pwd
/home/xiao1
以某个用户的身份执行某个服务,使用命令su -c username
[root@localhost ~]# su - xiao -c 'ifconfig'
[root@localhost ~]# su - xiao -c 'ls ~'
hello profile
hello .bash_profile
group_new
7.sudo提升权限*****
su切换用户身份,如果每个普通用户都能切换到root身份,如果某个用户不小心泄露root的密码,那么系统会变得非常不安全
为了改进这个问题,从而产生了sudo这个命令。使用sudo执行一个root才能执行的命令是可以办到的,但是需要输入密码,这个密码
并不是root的密码而是用户自身的密码
默认只有root用户才能使用sudo命令,普通用户想要使用sudo,是需要root预先设定的,即,使用visudo命令去编辑相关的配置
文件/etc/sudoers
//CentOS7提权方法,授权用户具有管理员所有的权限
[root@localhost ~]# usermod -G wheel xiao
//日志审计
[root@localhost tmp]# sudo tail -f /var/log/secure
系统安装后就有sudo命令,如果没有sudo命令,可通过如下方式安装
[root@localhost tmp]# yum install -y sudo
使用visudo命令编辑/etc/sudoers配置文件
//执行visudo,等于使用vi编辑sudoers配置文件
[root@localhost tmp]# visudo
//默认
root ALL=(ALL) ALL
//新增
oldboy ALL=(ALL) /bin/rm,/bin/cp
//root默认就拥有sudo最高权限,我们在改行下新增oldboy用户,让此用户拥有sudo权限
案例需求:
要求xiao用户能够添加删除修改所有用户属性(包括密码),但不包括root
visudo
xiao ALL=(ALL) /usr/sbin/user*,/usr/bin/passwd,!/usr/sbin/usermod * root,!/usr/bin/passwd * root,
!/usr/bin/passwd root
别名:
100 User_Alias USER=oldboy,xiao,%dba
101 Cmnd_Alias SU = /usr/sbin/user*,/usr/bin/passwd,!/usr/sbin/usermod * root,!/usr/bin/passwd * root,
!/usr/bin/passwd root
103 USER ALL=(ALL) SU
//使用visudo -c检查配置文件
[root@localhost tmp]# visudo -c
/etc/sudoers: parsed OK
sudo配置选项详解
//下面解释如上每行代表含义
用户名 主机名 角色名 命令名
root ALL= (ALL) ALL
oldboy ALL 使用最高角色执行 /bin/rm,/bin/cp
oldboy ALL=(ALL) NOPASSWD:/bin/rm,/bin/cp
普通用户验证sudo权限
//切换普通用户
[root@localhost ~]# su - xiao
//检查普通用户sudo权限明细
[xiao@localhost ~]$ sudo -l
....省略部分
User xiao may run the following commands on localhost:
(ALL) /usr/sbin/user*, /usr/bin/passwd, !/usr/sbin/usermod * root, !/usr/bin/passwd * root,
!/usr/bin/passwd root
//普通用户删除opt目录,删除失败
[xiao@localhost ~]$ rm -rf /opt/
rm: cannot remove ‘/opt/’: Permission denied
//使用sudo提权,验证用户权限是否可用,需要输入普通用户的密码
[xiao@localhost ~]$ sudo rm -rf /var/opt
sudo免密码配置选项
//普通用户执行sudo不需要输入密码配置
//修改前
oldboy ALL=(ALL) /bin/rm,/bin/cp
//修改后
oldboy ALL=(ALL) NOPASSWD:/bin/rm,/bin/cp
//默认普通用户无法删除
[xiao@localhost ~]$ rm -f /root/002
rm: cannot remove ‘/root/002’: Permission denied
//验证sudo免密码执行权限
[xiao@localhost ~]$ sudo rm -f /root/002
sudo配置组
//如果每增加一个用户需要配置一行sudo,这样设置太麻烦了,所以可以进行如下设置
//新增组
%oldboy ALL=(ALL) bin/rm,bin/cp
/group1这个组的所有用户都拥有sudo的权利,接下来只需要将用户加入该组即可
//创建用户加入该组
[root@localhost ~]# groupadd oldboy
[root@localhost ~]# useradd oldboy -g oldboy
[root@localhost ~]# useradd oldgirl -g oldboy
//root用户建立目录
[root@localhost ~]# mkdir /root/oldboy_sudo
//切换用户并删除测试
[root@localhost ~]# su - oldboy -c 'rm -rf /root/oldboy_sudo'
rm: cannot remove ‘/root/oldboy_sudo’: Permission denied
//使用sudo
[oldboy@localhost ~]$ sudo rm -rf /root/oldboy_sudo
当然配置文件/etc/sudoers包含了诸多配置项,可以使用命令man sudoers 来获得帮助信息
下面介绍一个很实用的案例,我们的需求是把linux服务器设置成这个样子,只允许使用普通账户登录Linux服务器,但可以让普通用户不输入密码就能
sudo su -切换到root账户。
//禁止root用户登录
[root@localhost ~]# sed -i 's@#PermitRootLogin yes@PermitRootLogin no@g' /etc/ssh/sshd_config
[root@localhost ~]# systemctl restart sshd
//配置sudo权限
[root@localhost ~]# visudo
User_Alias USER=oldboy,xiao,%dba
Cmnd_Alias SU = /usr/sbin/user*
USER ALL=(ALL) SU
sudo日志审计
通过sudo和syslog配合实现对所有用户进行权限的日志审计并记录日志集中管理,实施后让所有运维和开发执行的sudo命令都有记录可查,
杜绝了内部人员的操作安全隐患
sudo日志审计,专门针对sudo命令的系统用户记录其执行命令的相关信息,所谓sudo命令日志审计,并不记录普通用户的操作,而是记录执行
sudo命令的用户操作。
/var/log/message 公共日志
时间 地点(主机名) 人物(进程) 信息
/var/log/secure 安全日志
安装sudo、rsyslog
yum install -y sudo rsyslog