Linux運維六：用戶管理及用戶權限設置

Linux 系統是一個多用戶多任務的分時操作系統，任何一個要使用系統資源的用戶，都必須首先向系統管理員申請一個賬號，然后以這個賬號的身份進入系統。用戶的賬號一方面可以幫助系統管理員對使用系統的用戶進行跟蹤，並控制他們對系統資源的訪問；另一方面也可以幫助用戶組織文件，並為用戶提供安全性保護。每個用戶賬號都擁有一個惟一的用戶名和各自的口令。用戶在登錄時鍵入正確的用戶名和口令后，就能夠進入系統和自己的主目錄。

實現用戶賬號的管理，要完成的工作主要有如下幾個方面：

· 用戶賬號的添加、刪除與修改。

· 用戶口令的管理。

· 用戶組的管理。

注：此說明適用於Debian、Redhat、suse、Ubuntu、Fedora等眾多linux系統，並對多少位沒有區別。

用戶分類：

• 超級用戶 UID=0 root
• 普通用戶 UID500起。由超級用戶或者具有超級用戶權限的用戶創建的用戶
• 虛擬用戶 UID 1-499 存在滿足文件或服務啟動的需要。一般不能登錄系統，只是傀儡

用戶關聯的四個文件：/etc/passwd /etc/shadow /etc/group /etc/gshadow

一、管理用戶命令匯總：

命令	注釋說明
useradd	同adduser命令，執行此命令可在系統中添加用戶
userdel	刪除用戶及相關用戶的配置文件
passwd	為用戶設置密碼。更改/etc/shadow
chage	修改用戶密碼有效期限。管理/etc/shadow
usermod	修改用戶命令，可以通過usermod來修改登錄名，用戶的家目錄等等
id	查看用戶的UID , GID及所歸屬的用戶組
su	用戶角色切換命令
sudo	sudo是通過另一個用戶來執行命令，su是用戶來切換用戶，然后通過切換到的用戶來完成相應的任務，但sudo能在命令后面直接接命令執行，如：sudo ls /root，不需要root密碼就可以執行只有root才能執行相應的命令或具備的目錄權限；這個權限需要通過visudo命令或編輯/etc/sudoers來實現
visudo	visudo配置sudo權限的編輯命令；也可以不用這個命令，直接用vi來編輯/etc/sudoers實現。但推薦用visudo來操作（會自動檢查語法）

其它與用戶管理相關的命令，可了解，但不要深入研究！掌握重點即可！

二、 /etc/skel 目錄

[root@gin ~]# ll -a /etc/skel
total 20
drwxr-xr-x.  2 root root 4096 May 25 02:54 .
drwxr-xr-x. 81 root root 4096 Oct  9 09:07 ..
-rw-r--r--.  1 root root   18 Oct 16  2014 .bash_logout
-rw-r--r--.  1 root root  176 Oct 16  2014 .bash_profile
-rw-r--r--.  1 root root  124 Oct 16  2014 .bashrc

作用：/etc/skel 目錄是用來存放新用戶配置文件的目錄，當我們添加新用戶時，這個目錄下的所有文件會自動被復制到新添加的用戶的家目錄下；默認情況下/etc/skel 目錄下的所有文件都是隱藏文件（以點開頭的文件）；通過修改，添加，刪除/etc/skel目錄下的文件，我們可為新創建的用戶提供統一的，標准的，初始化用戶環境。

企業面試題：當新建了一個用戶，該用戶登錄時出現如下提示：請問是什么原因？如何解決？

[root@gin ~]# su - gin
-bash-4.1$ 
-bash-4.1$ 

解答：出現這種情況的原因是環境變量有問題，解決方案就是拷貝/etc/skel目錄下以bash開頭的文件到當前用戶的家目錄即可！

[root@centos home]# mkdir /home/gin
[root@centos home]# cp -a /etc/skel/.bash* ./gin
[root@centos home]# chmod -R 700 gin
[root@centos home]# chown gin:gin -R gin

三、/etc/login.defs配置文件

/etc/login.defs 是設置用戶帳號限制的文件。該文件里的配置對root用戶無效。

如果/etc/shadow文件里有相同的選項，則以/etc/shadow里的設置為准，也就是說/etc/shadow的配置優先級高於/etc/login.defs

# *REQUIRED* required
#  Directory where mailboxes reside, _or_ name of file, relative to the
#   home directory.  If you _do_ define both, MAIL_DIR takes precedence.
#   QMAIL_DIR is for Qmail
#
#QMAIL_DIR      Maildir
MAIL_DIR        /var/spool/mail
#創建用戶時，要在目錄/var/spool/mail中創建一個用戶mail文件
#MAIL_FILE      .mail

# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   99999
#密碼最大有效期
PASS_MIN_DAYS   0
#兩次修改密碼的最小間隔時間
PASS_MIN_LEN    5
#密碼最小長度，對於root無效
PASS_WARN_AGE   7
#密碼過期前多少天開始提示
#
# Min/max values for automatic uid selection in useradd
#創建用戶時不指定UID的話自動UID的范圍
UID_MIN                   500
#用戶ID的最小值
UID_MAX                 60000
#用戶ID的最大值
#
# Min/max values for automatic gid selection in groupadd
#自動組ID的范圍
GID_MIN                   500
#組ID的最小值
GID_MAX                 60000
#組ID的最大值

#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD    /usr/sbin/userdel_local
#當刪除用戶的時候執行的腳本

#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is overridden with the -m flag on
# useradd command line.
#
CREATE_HOME     yes
#使用useradd的時候是夠創建用戶目錄

# The permission mask is initialized to this value. If not specified,
# the permission mask will be initialized to 022.
UMASK           077

# This enables userdel to remove user groups if no members exist.
#
USERGROUPS_ENAB yes
#用MD5加密密碼

 為什么新建用戶時會從該目錄下拷貝文件到用戶家目錄呢？因為有/etc/default/useradd文件的存在！~

四、/etc/default/useradd 文件

/etc/default/useradd 文件是在使用useradd添加用戶時的一個需要調用的一個默認的配置文件，可以使用“useradd -D”參數，這樣的命令格式來修改文件里的內容。該文件的內容如下：

[root@gin gin]# cat /etc/default/useradd
# useradd defaults file
GROUP=100					## 表示 用戶組ID （依賴於/etc/login.defs的USERGROUPS_ENAB參數，如果為no，則由此處控制）
HOME=/home					## 把用戶家目錄建在/home中
INACTIVE=-1					## 是否啟用賬號過期停權，-1表示不啟用
EXPIRE=						## 賬號是否啟用過期設置    無表示不啟用
SHELL=/bin/bash					## 賬號使用shell種類
SKEL=/etc/skel					## 配置新用戶目錄的默認文件存放路徑
CREATE_MAIL_SPOOL=yes				## 是否創建郵箱緩存  yes表示創建

如：修改EXPIRE的值為2015/06/10：

[root@Gin scripts]# useradd -D -e 2015/06/10
[root@Gin scripts]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=2015/06/10
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

五、Linux系統用戶賬號的管理

用戶賬號的管理工作主要涉及到用戶賬號的添加、修改和刪除。添加用戶賬號就是在系統中創建一個新賬號，然后為新賬號分配用戶號、用戶組、主目錄和登錄Shell等資源。剛添加的賬號是被鎖定的，無法使用。

useradd命令修改的文件：/etc/passwd , /etc/shadow , /etc/group , /etc/gshadow

控制useradd命令默認行為的文件：/etc/default/useradd , /etc/login.defs

1、添加新的用戶賬號

當使用useradd命令不加參數選項，后面直接跟所添加的用戶名時，系統首先會讀取配置文件/etc/login.defs and /etc/default/useradd中的定義的參數或規則，根據設置的規則添加用戶，同時會向/etc/passwd and /etc/group文件添加新建用戶和用戶組記錄。

當然/etc/passwd and /etc/group的加密資訊文件/etc/shadow and /etc/gshadow也會同步生成記錄，同時系統還會根據/etc/default/useradd文件中所配置的信息建立用戶的家目錄，並復制/etc/skel中的所有文件（包括隱藏的環境配置文件）到新用戶的家目錄中。

添加新用戶帳號使用useradd命令，其語法及選項如下：

useradd 選項 用戶名

-c comment 指定一段注釋性描述。
-d 目錄 指定用戶主目錄，如果此目錄不存在，則同時使用-m選項，可以創建主目錄。
-g 用戶組 指定用戶所屬的用戶組。
-G 用戶組，用戶組 指定用戶所屬的附加組。
-s Shell文件 指定用戶的登錄Shell。
-u 用戶號 指定用戶的用戶號，如果同時有-o選項，則可以重復使用其他用戶的標識號。
-e expire_date 賬號終止日期，日期的指定格式為 MM/DD/YY
-f inactive_days 賬號過期幾日后永久停權。當值為0時賬號則立刻停權。為-1時則關閉此功能，預設值為-1
-m 自動建立用戶的登入目錄。
-M 不要自動建立用戶的登入目錄。
-n 取消建立以用戶名稱為名的群組。
-r 創建系統賬戶

例1：-d , -m參數的使用

# useradd –d /home/olcs -m sam
此命令創建了一個用戶sam，
其中-d和-m選項用來為登錄名sam產生一個主目錄/home/olcs（/home為默認的用戶主目錄所在的父目錄）。

例2：-s , -G參數的使用

# useradd -s /bin/bash -g olcs –G olcs,root gem
此命令新建了一個用戶gem，該用戶的登錄Shell是/bin/bash，它屬於olcs用戶組，同時又屬於root用戶組，其中olcs用戶組是其主組。

例3：-e參數的使用 （指定賬戶什么時候過期）

[root@Andy andy]# date -s 01/18/2012			#修改系統時間
[root@Andy andy]# useradd tmpuser1 -e 01/19/12		#增加一個tmpuser1用戶，並指定2012年1月19號過期
[root@Andy andy]# date -s 01/21/12
Sat Jan 21 00:00:00 CST 2012
#系統更改時間為2012年1月21號，而上面建立的用戶過期時間是2012年1月19號，此時切換到tmpuser1用戶，發現還是可以登錄
[root@Andy andy]# chage -l tmpuser1
Last password change                                    : Jan 17, 2012
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : Jan 19, 2012   #過期時間的確是19號，設置沒錯
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7
為什么還是可以切換到tmpuser1用戶呢？
1）通過-e設置后無法遠程SSH連接，但是可以用 su 切換，賬戶並未被鎖定
2）賬戶過期時間和系統時間，需要相差2天(該測試是在CentOS5.x版本，CentOS6版本不相差2天)
再次測試：
[root@Andy andy]# useradd tmpuser2 -e 01/22/12
[root@Andy andy]# passwd tmpuser2
我們在SSH客戶端用tmpuser2登錄，不要用su進行切換！為了讓賬戶過期，我們再次修改系統時間
[root@Andy andy]# date -s 01/23/12
[root@Andy andy]# clock -w			#重新讀取系統時間
[root@Andy andy]# date +%F
2012-01-23
當tmpuser2賬戶退出登錄后，再次登錄時，就會提示：
Your account has expired; please contact your system administrator
用戶的過期時間當然也可以使用usermod命令來修改：
[root@gin gin]# usermod -e "216/10/10" xiao5
指定用戶過期時間

例4：useradd -c -u -G -s -d 多個參數組合例子

自定義用戶的家目錄，shell類型，所歸屬的用戶組等：添加用戶poe6，並設置其用戶注釋信息為HandsomeBoy，UID指定為806，歸屬為用戶組root , poe , sa成員，其shell類型為/bin/sh，設置家目錄為/poe6

[root@gin gin]# useradd -c "HandsomeBoy" -u 806 -G root,poe,sa -s /bin/sh -d /poe6 poe6
## 這三個組必須要先存在

增加用戶賬號就是在/etc/passwd文件中為新用戶增加一條記錄，同時更新其他系統文件如/etc/shadow, /etc/group等。

Linux提供了集成的系統管理工具userconf，它可以用來對用戶賬號進行統一管理。

生產場景中創建用戶的完整命令：

[root@Andy andy]# groupadd -g 801 sa
[root@Andy andy]# useradd -g sa -u 901 ett
[root@Andy andy]# echo "who123"|passwd --stdin ett
Changing password for user ett.
passwd: all authentication tokens updated successfully.
[root@Andy andy]# visudo -c
[root@Andy andy]# history -c

#--->對於不同的業務，環境需求，上面的命令內容可根據不同的需求適當修改之

2、刪除帳號

如果一個用戶的賬號不再使用，可以從系統中刪除。刪除用戶賬號就是要將/etc/passwd等系統文件中的該用戶記錄刪除，必要時還刪除用戶的主目錄。刪除一個已有的用戶賬號使用userdel命令，其格式如下：

userdel 選項 用戶名

常用的選項是-r，它的作用是把用戶的主目錄一起刪除。

例如：

# userdel -r olcs
此命令刪除用戶olcs在系統文件中（主要是/etc/passwd, /etc/shadow, /etc/group等）的記錄，同時刪除用戶的主目錄。

3、修改帳號

修改用戶賬號就是根據實際情況更改用戶的有關屬性，如用戶號、主目錄、用戶組、登錄Shell等。

修改已有用戶的信息使用usermod命令，其格式如下：

usermod 選項 用戶名

常用的選項包括-c, -d, -m, -g, -G, -s, -u以及-o等，這些選項的意義與useradd命令中的選項一樣，可以為用戶指定新的資源值。另外，有些系統可以使用如下選項：

usermod參數選項	注釋說明
-c  comment	增加用戶賬號/etc/passwd中的注解說明欄（第5欄）
-d  home_dir	更新用戶新的家目錄，組合-m選項，用戶舊的家目錄會搬到新的家目錄去，如舊的家目錄不存在則創建新的家目錄
-e  expire_date	加上用戶賬號停止日期。格式為MM/DD/YY
-f  inactive_days	賬號過期幾日后永久停權。當值為0時賬號則立刻被停權。而當值為-1時則關閉此功能。預設值為-1
-g  initial_group	更新用戶的起始登入用戶組。用戶組名須已存在。用戶組ID必須參照既有的用戶組，用戶組ID預設值為1
-G  group.[..]	定義用戶為一堆groups的成員，每個用戶組使用逗號分隔
-l  login_name	修改用戶login時的名稱為login_name，其余信息不變
-s  shell	指定登錄shell
-u  uid	指定用戶UID值。除非接-o參數（usermode -u 505 -o andy），否則ID值必須是唯一的數字（不能為負數）
-L	凍結用戶的密碼。實際就是間接修改/etc/shadow的密碼欄。在密碼欄的開頭加上！號，即表示凍結。這個凍結密碼的功能和usermod -e , useradd -e , chage -E , passwd -l 等命令參數都有類似的功效，那就是讓用戶無法正常登陸
-U	取消凍結的密碼，使之恢復登陸，實際同樣是修改/etc/shadow的密碼欄，在密碼欄的開頭取消“！ ”號，即表示恢復

實例1：使用不同的方法修改/etc/passwd中用戶的說明欄

[root@bruce bruce]# tail -1 /etc/passwd			#-->為了進行對比，在修改前進行查看
andy:x:802:803::/home/andy:/bin/bash
[root@centos andy]# usermod -c "AndyLaw" andy
[root@bruce bruce]# tail -1 /etc/passwd
andy:x:802:803:AndyLaw:/home/andy:/bin/bash

實例2：測試 -c , -u , -G , -s , -d等參數！要求添加用戶andy6，並設置用戶注釋為HandsomeBoy，UID指定為806，歸屬為用戶組root，andy , sa成員，其shell類型為/bin/sh，設置家目錄為/andy6

[root@bruce bruce]# useradd -c HandsomeBoy -u 806 -s /bin/sh -G root,andy,sa -d /andy6 andy6
[root@bruce bruce]# grep andy6 /etc/passwd
andy6:x:806:806:HandsomeBoy:/andy6:/bin/sh
[root@bruce bruce]# id andy6
uid=806(andy6) gid=806(andy6) groups=806(andy6),0(root),803(andy),804(sa)

提示：在添加新用戶時，如果不使用-n參數，系統會自動創建一個與用戶同名的用戶組，如本例就自動生成了一個andy6的用戶組

下面使用usermod命令進行修改 : 要求注釋改為uptowngirl，UID修改為1806，歸屬修改為用戶組root , sa成員，其shell類型修改為/bin/tcsh，設置家目錄為/tmp/andy6：

[root@bruce bruce]# usermod -c uptowngirl -u 1806 -G root,sa -s /bin/tcsh -d /tmp/andy6

實例3：使用戶在2016-11-15后過期

[root@bruce bruce]# usermod -e 2016-11-26 andy6
[root@bruce bruce]# chage -l andy6
Last password change                                    : Nov 24, 2016
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : Nov 26, 2016
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

實例4：凍結andy6用戶的密碼

[root@bruce bruce]# grep andy6 /etc/shadow
andy6:$6$V/bwRYJd$aUnJt/DUupmwv00G8kCzmqg61Z0GWCU7aNp7rgeA.YFb2PROvqcZM.WVIlqZjesmIfQgoJR/QoL6b.VdrLybd.:17129:0:99999:7::17131:
[root@bruce bruce]# usermod -L andy6
[root@bruce bruce]# grep andy6 /etc/shadow
andy6:!$6$V/bwRYJd$aUnJt/DUupmwv00G8kCzmqg61Z0GWCU7aNp7rgeA.YFb2PROvqcZM.WVIlqZjesmIfQgoJR/QoL6b.VdrLybd.:17129:0:99999:7::17131:
[root@bruce bruce]# usermod -U andy6

4、用戶口令的管理

用戶管理的一項重要內容是用戶口令的管理。用戶賬號剛創建時沒有口令，但是被系統鎖定，無法使用，必須為其指定口令后才可以使用，即使是指定空口令。

指定和修改用戶口令的Shell命令是passwd。超級用戶可以為自己和其他用戶指定口令，普通用戶只能用它修改自己的口令。命令的格式為：

passwd 選項 用戶名

可使用的選項：
-l , --lock 鎖定口令，即禁用賬號。
-u , --unlock 口令解鎖。
-d , --delete 使賬號無口令。
-f , --force 強迫用戶下次登錄時修改口令。
--stdin	從stdin讀入密碼 (root only) , 如果默認用戶名，則修改當前用戶的口令。
-n , --minimun=DAYS	兩次密碼修改的最小天數，后面接數字，僅root權限操作
-x , --maximun=DAYS		兩次密碼修改的最大天數，后面接數字，僅root權限操作
-w , --warning=DAYS		在距多少天提醒用戶修改密碼，僅root權限操作
-i ，--inactive=DASY	在密碼過期后多少天，用戶被禁掉，僅root權限操作
-S , --status				查詢用戶的密碼狀態，僅root權限操作

實例1：我們用-l參數來鎖定andy用戶，使之不能修改密碼，然后再用-u參數來解除鎖定

[root@bruce bruce]# passwd -S andy				#鎖定前查看andy賬戶的狀態
andy PS 2016-11-24 0 99999 7 -1 (Password set, SHA512 crypt.)
[root@bruce bruce]# grep andy /etc/shadow		#查看andy賬戶的密碼狀態
andy:$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::
[root@bruce bruce]# passwd -l andy
Locking password for user andy.
passwd: Success
[root@bruce bruce]# grep andy /etc/shadow		#再次查看密碼狀態，發現密碼前多了兩個!!號
andy:!!$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::
#鎖定之后，用andy賬戶登錄系統，再修改密碼會提示：
[andy@bruce ~]$ passwd
passwd: Authentication token manipulation error
#解除鎖定
[root@bruce bruce]# passwd -u andy
Unlocking password for user andy.
passwd: Success
[root@bruce bruce]# grep andy /etc/shadow		#解除鎖定后，/etc/shadow文件中密碼字段前面兩個！！號消失
andy:$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::

實例2：舉一個組合參數-x -n -w -i控制密碼時效的例子。要求andy用戶7天內不能更改密碼，60天以后必須修改密碼，過期前10天通知andy用戶，過期后30天后禁止用戶登陸

[root@bruce bruce]# passwd -n 7 -x 60 -w 10 -i 30 andy
Adjusting aging data for user andy.
passwd: Success
#當然使用chage命令也可以實現同樣的效果只是參數略有不同：chage -m 7 -M 60 -W 10 -I 30 andy
在root賬戶下修改andy的密碼，然后回到andy賬戶，再次修改密碼出現如下提示：
passwd: Authentication token manipulation error

例如，假設當前用戶是olcs，則下面的命令修改該用戶自己的口令：

$ passwd
Old password:******
New password:*******
Re-enter new password:*******

如果是超級用戶，可以用下列形式指定任何用戶的口令：

# passwd olcs
New password:*******
Re-enter new password:*******

普通用戶修改自己的口令時，passwd命令會先詢問原口令，驗證后再要求用戶輸入兩遍新口令，如果兩次輸入的口令一致，則將這個口令指定給用戶；而超級用戶為用戶指定口令時，就不需要知道原口令。

為了系統安全起見，用戶應該選擇比較復雜的口令，例如最好使用8位長的口令，口令中包含有大寫、小寫字母和數字，並且應該與姓名、生日等不相同。

為用戶指定空口令時，執行下列形式的命令：

# passwd -d sam
此命令將用戶sam的口令刪除，這樣用戶sam下一次登錄時，系統就不再詢問口令。

passwd命令還可以用-l(lock)選項鎖定某一用戶，使其不能登錄，例如：

# passwd -l olcs

--stdin方式修改設置密碼：

[root@gin gin]# echo 123456|passwd --stdin gin
Changing password for user gin.
passwd: all authentication tokens updated successfully.
[root@gin gin]# echo 123 > p.log
[root@gin gin]# passwd --stdin gin < p.log
Changing password for user gin.
passwd: all authentication tokens updated successfully.

備注：/usr/bin/passwd  是修改用戶密碼的程序 密碼記錄在 /etc/shadow

 /etc/passwd是用戶數據庫，其中的域給出了用戶名、加密口令和用戶的其他信息. /etc/shadow是在安裝了影子(shadow)口令軟件的系統上的影子口令文件。影子口令文件將/etc/passwd 文件中的加密口令移動到/etc/shadow中，而后者只對超級用戶( r o o t )可讀。

 Linux /etc/shadow文件中的記錄行與/etc/passwd中的一一對應,它由pwconv命令根據/etc/passwd中的數據自動產生。

5、口令時效

口令時效是系統管理員用來防止機構內不良口令的一種技術。在Linux系統上，口令時效是通過chage命令來管理的，格式為：chage [option] username 

下面列出了chage命令的選項說明：

-m days： 指定用戶必須改變口令所間隔的最少天數。如果值為0，口令就不會過期。
-M days： 指定口令有效的最多天數。當該選項指定的天數加上-d選項指定的天數小於當前的日期時，用戶在使用該帳號前就必須改變口令。
-d days： 指定從1970年1月1日起，口令被改變的天數。
-E date： 指定帳號被鎖的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后經過的天數。
-W days： 指定口令過期前要警告用戶的天數。
-I --inactive： 在密碼過期后多少天，用戶被禁掉，僅能以root操作
-l --list ：顯示賬戶年齡信息 

該命令記住兩個參數-E , -l即可，其它的選項可以使用passwd來替代！

例如下面的命令要求用戶user1兩天內不能更改口令，並且口令最長的存活期為30天，口令過期前5天通知用戶

chage -m 2 -M 30 -W 5 user1

可以使用如下命令查看用戶user1當前的口令時效信息：chage -l user1

提示：

1）可以使用chage 進入交互模式修改用戶的口令時效。

2）修改口令實質上就是修改影子口令文件/etc/shadow中與口令時效相關的字段值。

動態密碼：第三方提供也可自己開發 http://wiki.radiowar.org/

六、Linux系統用戶組的管理

每個用戶都有一個用戶組，系統可以對一個用戶組中的所有用戶進行集中管理。不同Linux 系統對用戶組的規定有所不同，如Linux下的用戶屬於與它同名的用戶組，這個用戶組在創建用戶時同時創建。用戶組的管理涉及用戶組的添加、刪除和修改。組的增加、刪除和修改實際上就是對/etc/group文件的更新。

groupadd參數選項	注釋說明
-g	指定用戶組GID值。除非接-o參數（如：groupadd -g 1234 -o andy），否則ID值必須是唯一的數字（不能為負數）。如果不指定-g參數，則預設值會從500開始。
-r	建立系統用戶組。GID值會比/etc/login.defs中定義的UID_MIN值小。 如：groupadd -r ett;grep ett /etc/group #-->分號分隔兩個命令 ett:x:105: #-->GID為105，小於500了
-f	新增一個賬戶，強制覆蓋一個已經存在的用戶組賬號。

1、增加一個新的用戶組

增加一個新的用戶組使用groupadd命令，其格式如下：
groupadd 選項 用戶組

可以使用的選項有：
-g GID 指定新用戶組的組標識號（GID）。
-o 一般與-g選項同時使用，表示新用戶組的GID可以與系統已有用戶組的GID相同。

例1：

# groupadd olcs
此命令向系統中增加了一個新組olcs，新組的組標識號是在當前已有的最大組標識號的基礎上加1。

例2：

#groupadd -g 101 group1
此命令向系統中增加了一個新組group2，同時指定新組的組標識號是101。

2、刪除已有用戶組

如果要刪除一個已有的用戶組，使用groupdel命令，其格式如下：

groupdel 用戶組

例如：
#groupdel group1

此命令從系統中刪除組group1。

3、修改用戶組的屬性

修改用戶組的屬性使用groupmod命令。其語法如下：

groupmod 選項 用戶組

常用的選項有：
-g GID 為用戶組指定新的組標識號。
-o 與-g選項同時使用，用戶組的新GID可以與系統已有用戶組的GID相同。
-n新用戶組 將用戶組的名字改為新名字

例1：

# groupmod -g 102 group1
此命令將組group1的組標識號修改為102。

例2：

# groupmod –g 10000 -n group2 group1
此命令將組group1的標識號改為10000，組名修改為group2。

4、用戶在用戶組間切換

如果一個用戶同時屬於多個用戶組，那么用戶可以在用戶組之間切換，以便具有其他用戶組的權限。用戶可以在登錄后，使用命令newgrp切換到其他用戶組，這個命令的參數就是目的用戶組。例如：

$ newgrp root

這條命令將當前用戶切換到root用戶組，前提條件是root用戶組確實是該用戶的主組或附加組。類似於用戶賬號的管理，用戶組的管理也可以通過集成的系統管理工具來完成。讓Linux系統中的普通用戶也有超級用戶的權限

七、目錄權限管理

1、3種基本權限

在Linux中，將使用系統資源的人員分為4類：超級用戶、文件或目錄的屬主、屬主的同組人和其他人員。超級用戶擁有對Linux系統一切操作權限，對於其他3類用戶都要指定對文件和目錄的訪問權限。

代表字符	對應數值	權限	對文件的含義	對目錄的含義
r	4	讀	可以讀文件的內容	可以列出目錄中的文件列表
w	2	寫	可以修改該文件	可以在目錄中創建刪除文件
x	1	可執行	可以執行該文件	可以使用cd命令進入該目錄
-	0	無

2、查看文件和目錄的權限

可以使用帶l參數的ls命令查看文件或目錄的權限

[root@Gin scripts]# ll /gin
total 12
drwxr-xr-x 2 root root 4096 Jan 28 23:15 python
drwxr-xr-x 2 root root 4096 Feb  1 13:11 scripts
drwxr-xr-x 5 root root 4096 Jan 25 18:01 tools

每一行顯示一個文件或目錄的信息，這些信息包括文件的類型、文件的權限、文件的屬主和文件的所屬組，還有文件的大小以及創建時間和文件名。輸出列表中每 一行第一列的第一個字母指示了該文件的類型。各種文件類型及代表字符如下：

 

-：普通文件     
 b：塊文件設備，是特殊的文件類型
d：目錄文件 ，事實上在ext2fs中，目錄是一個特殊的文件
c：字符文件設備 ，是特殊的文件類型
l：符號鏈接文件，實際上它指向另一個文件
s、p：管道文件，這些文件關系到系統的數據結構和管道，通常很少見到

 

第一列的其余9個字母可分為三組，3個字母一組，這3組分別代表：文件屬主的權限、文件所屬組的權限和其他用戶的權限。每組中的3個欄位分別表示讀、 寫、執行權限。

第2～10個字符當中的每3個為一組，左邊三個字符表示所有者權限，中間3個字符表示與所有者同一組的用戶的權限，右邊3個字符是其他用戶的權限。這三個一組共9個字符，代表的意義如下：

r(Read，讀取)：對文件而言，具有讀取文件內容的權限；對目錄來說，具有瀏覽目錄的權限。

w(Write,寫入)：對文件而言，具有新增、修改文件內容的權限；對目錄來說，具有刪除、移動目錄內文件的權限。

x(eXecute，執行)：對文件而言，具有執行文件的權限；對目錄了來說該用戶具有進入目錄的權限。

－：表示不具有該項權限。

3、更改操作權限（chmod/chown）

系統管理員和文件屬主可以根據需要來設置文件的權限，有兩種設置方法：文字設定法和數值設定法。

（1）文字設定法

chomd的文字設定法的格式為：chmod [ugoa][+-=][rwxugo] 

第1個選項表示要賦予權限的用戶，具體說明如下：    
    u：屬主      g：所屬組用戶      o：其他用戶      a：所有用戶
第2個選項表示要進行的操作，具體說明如下：
    +：增加權限      -：刪除權限      =：分配權限，同時將原有權限刪除
第3個選項是要分配的權限，具體說明如下：
    r/x/w：允許讀取/寫入/執行        u/g/o：和屬主/所屬組用戶/其他用戶的權限相同

例如：

chmod go -r users      //取消組用戶和其他用戶對文件users的讀取權限
 chmod u+x users      //對文件users的屬主增加招待權限
chmod u+x,go-r users      //對文件users的屬主添加執行權限，同時取消組用戶和其他用戶對文件的讀取權限

（2）數值設定法

chmod的數值設定法的格式為：chmod n1n2n3
其中n1、n2、n3分別代表屬主的權限、組用戶的權限和其他用戶的權限，這三個選項都是八進制數字。

例如：

chmod 755 adduser      //對文件adduser的屬設置可讀、寫和執行的權限，所屬組和其他用戶只設置讀和執行權限，沒有寫權限
chmod 600 user1         //取消組用戶和其他用戶對文件user1的一切權限（原權限為-rw-rCrC）

備注：如想一次修改某個目錄下所有文件的權限，包括子目錄中的文件權限也要修改，要使用參數－R表示啟動遞歸處理。

4、更改屬組或同組人

改變文件的屬主和組可以用chown命令，命令格式為：chown [-R] 。

例如：

chmod osmond user1      //將文件user1的屬主改為osmond
chmod osmond.osmond user1      //將文件user1的屬主和組都改成osmond
chmod -R osmond.osmond mydir      //將mydir目錄及其子目錄下的所有文件或目錄的屬主和組都改成osmond

5、設置文件和目錄的生成掩碼

用戶可以使用umask命令設置文件夾的默認生成掩碼。默認的生成掩碼告訴系統當創建一個文件或目錄時不應該賦予哪些權限。如果用戶將umask命令放在環境文件（.bash_profile）中，就可以控制所有的新建文件或目錄的訪問權限。其命令格式為：umask [u1u2u3]其中，u1、u2、u3分別表示的是不允許屬主有的權限、不允許同組人有的權限和不允許其他人有的權限。

例如：

umask 022      //設置不允許同組用戶和其他用戶有寫權限 umask            //顯示當前的默認生成掩碼

用法非常簡單，只需執行umask 777 命令，便代表屏蔽所有的權限，因而之后建立的文件或目錄，其權限都變成000，依次類推。通常root帳號搭配umask命令的數值為022、027和077，普通用戶則是采用002，這樣所產生的權限依次為755、750、700、775。

用戶登錄系統時，用戶環境就會自動執行rmask命令來決定文件、目錄的默認權限。

6、特殊權限設置

（1）SUID、SGID和sticky-bit

除了上述的基本權限之外，還有所謂的特殊權限存在。由於特殊權限會擁有一些“特權”，因而用戶若無特殊需要，不應該去打開這些權限，避免安全方面出現嚴重漏洞，甚至摧毀系統。下面列出了3個特殊權限的說明：

SUID：當一個設置了SUID位的可執行文件被執行時，該文件以所有者的身份運行，也就是說無論誰來執行這個文件，他都擁有文件所有者的特權，可以任意存取該文件擁有者能使用的全部系統資源。如果所有者是root，那么執行人就有超級用戶的特權了。

SGID：當一個設置了SGID位的可執行文件被執行時，該文件將具有所屬組的特權，任意存取整個組所能使用的系統資源；若一個目錄設置了SGID，則所有被復制到這個目錄下的文件，其所屬的組都會被重設為和這個目錄一樣，除非在復制文件時加上-p（preserve，保留文件屬性）參數，才能保留原來 所屬的群組設置。

sticky-bit：對一個文件設置了sticky-bit之后，盡管其他用戶有寫權限，也必須由屬主執行刪除、移動等操作，對一個目錄設置了 sticky-bit之后，存放在該目錄下的文件僅允許其屬主執行刪除、移動等操作。

一個設置了SUID的典型例子是passwd程序，它允許普通用戶改變自己的口令，這是通過改變/etc/shadow文件的口令字段來實現的。然而系 統管理員決不允許普通用戶擁有直接改變/etc/shadow文件的權限。解決方法是將passwd程序設置SUID，當passwd被執行時將擁有超級用戶的權限，而passwd程序運行結束又回到普通用戶的權限，下面是顯示passwd程序的權限：

[root@Gin scripts]# ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 30768 Feb 22  2012 /usr/bin/passwd

一個設置了sticky-bit的典型例子是系統臨時文件目錄/tmp，這避免了不守法的用戶存心搞鬼，恣意亂刪其他用戶存放的文件。下面顯示/tmp 目錄的權限：

[root@Gin scripts]# ll -d /tmp
drwxrwxrwt. 8 root root 4096 Feb  1 18:04 /tmp

（2）SUID、SGID和sticky-bit的表示

從上面的顯示可以看出，SUID是占用屬主的x位置為表示的；SGID是占用組的x位置來表示的；sticky-bit是占用其他人的x位置來表示 的。在表示上有大小定之分，假若同時設置執行權限和SUID、SGID和sticky-bit，權限標識字符是小寫的；倘若關閉執行權限，則標識字符會變成大寫。

（3）設置特殊權限

使用chmod命令設置特殊權限，仍然有字符設定法和數值設定法之分。使用字符設定法時，可以使用s和t權限字符，

例如：

chmod u+s /usr/bin/myapp      //為程序/usr/bin/myapp添加SUID權限
chmod g+s /home/groupspace      //為目錄/home/groupspace添加SGID權限
chmod o+t /home/share      //為目錄/home/share添加sticky-bit權限

使用chmod的數值設定法時，要使用4位八進制數值，其中第一位八進制數用於設置特殊權限，后三位八進制數用於設置基本權限。

例如：

chmod 4755 /usr/bin/myapp      //設置SUID
chmod 2755 /home/groupspace      //設置SGID
chmod 1755 /home/share     //設置sticky-bit

八、用戶身份切換

1、su命令

[root@linux ~] # su [-lcm] [username]

參數：

- ：如果執行su -時，表示該用戶想要變換身份成為root，且使用root的環境設置參數文件，如/root/.bash_profile等。
-l：后面可以接用戶，例如su -l dmtsai，這個-l的好處是，可使用變換身份者的所有相關環境設置文件。
-m：-m與-p是一樣的，表示“使用當前環境設置，而不重新讀取新用戶的設置文件“。
-c：僅進行一次命令，所以-c后面可以加上命令。

注意：建議如果切換成為某個身份，使用su -或者su - username。否則，容易造成環境變量的差異。

例：以某個用戶的身份去執行某個命令

[root@gin poe]# su - poe -c "touch a.txt"

思考題：linux root密碼忘記了，如何找回？

2、sudo命令

sudo是什么？

sudo就是讓某個用戶能夠以另外任意一個用戶的身份通過某些主機執行某些任務。記住了，是以另外一個身份來執行命令，而不是切換到另一個用戶上！

但是要想讓某個用戶能夠使用sudo來執行命令的話，必須要在sudo的配置文件定義才可以，只有在/etc/sudoers中定義過的用戶才可以執行相應的命令，這些命令也必須要在sudo的配置文件/etc/sudoers中定義才可以，默認情況下，只有root用戶才可以使用sudo執行命令。

visudo管理sudo的配置文件

 

一般情況下，我們要想編輯某個配置文件，直接使用vim命令即可，但是由於使用vim編輯的配置文件無法檢查增減條目的語法，因此我們一般不建議使用vim直接編輯。而是使用另外一種命令來編輯/etc/sudoers文件。

 

visudo：該命令默認情況下就是用來編輯/etc/sudoers文件的，該命令可以檢查這個文件的語法錯誤，因此，如果要想修改/etc/sudors文件時，使用visudo來編輯更好，這樣就不會出現什么問題了。

 

visudo -f filename：也可以用來編輯其他配置文件的，只要加上-f和指定文件即可。

sudo條目格式

who	which_host=(runas)	command
who表示使用者賬號	which_host：表示登入者來源主機。ALL表示所有主機 runas：表示以哪一個用戶身份來執行，默認情況下，不加用戶，表示以root身份來執行。	command： 規范這個用戶可以使用sudo執行哪些命令（這些命令要使用絕對路徑）。ALL表示所有命令。

 

情景模擬一：要想讓hadoop這個用戶能夠以root的身份來執行useradd，usermod命令，該如何實現？

1、默認情況下，只有root用戶才有權限使用useradd，usermod命令的
[hadoop@gin ~]$ useradd jacky
-bash: /usr/sbin/useradd: Permission denied			//沒有權限執行useradd命令

2、使用sudo以root身份來使用useradd命令添加用戶
[hadoop@gin ~]$ sudo useradd jacky
hadoop is not in the sudoers file.  This incident will be reported.		//提示hadoop用戶不在sudoers的配置文件中

3、在/etc/sudoers中添加一個sudo條目
[root@gin poe]# visudo
//添加下面兩行內容，第一行為注釋
## Allows members of the hadoop to use useradd and usermod command
hadoop  ALL=(root)  /usr/sbin/useradd, /usr/sbin/usermod

4、再次使用sudo以root身份來添加用戶
[hadoop@gin ~]$ sudo useradd jacky
[hadoop@gin ~]$ id jacky
uid=805(jacky) gid=807(jacky) groups=807(jacky)

注意：在上述這個過程中，每次執行命令時都要輸入密碼，這是因為如果某個用戶有事離開了但是卻沒有退出當前用戶，這時任何一個用戶就可以在此主機上執行任何命令，修改root密碼，或者刪除有關信息等等，這對於系統來說是極不安全的。因此在每次執行命令前，都需要輸入當前用戶自身的密碼，該密碼有效期為5分鍾（5分鍾內執行任何命令不需要輸入密碼），5分鍾過后就要重新輸入了。要想在執行某些命令時，不需要輸入密碼，可以在某些命令前加上"NOPASSWD:"等TAG信息

例如：hadoop        ALL=（root）    NOPASSWD: /usr/sbin/useradd

禁止修改root用戶的密碼

注意：在增加某個條目時，如果規定了某個用戶可以執行修改密碼的命令時，也就是該用戶可以執行/usr/bin/passwd這個命令，對於root用戶來說，其密碼是不能隨便修改的。要去掉修改root賬號密碼的命令。使用!來取反。這樣一般用戶就不能修改root的密碼了。

以hadoop這個sudo條目為例：

hadoop        ALL=（root）        /usr/bin/passwd  [A-Za-z]*,!/usr/bin/passwd root
/usr/bin/passwd  [A-Za-z]*:表示在執行passwd命令時，需要輸入修改的賬號名，因為如果不加賬號名，默認修改的也是root的密碼，因此這也是不可以的。

sudo命令

 

[root&linux ~]# sudo [-u [username | #uid]] command
參數：
-u：后面可以接用戶賬號名稱，或者UID。例如UID是500的身份，可以：-u #500來作為切換到UID為500的那位用戶。
-l ：列出用戶在主機上可用的和被禁止的命令：當配置好sudo授權規則后，可用這個參數來查看授權情況
-v ：驗證用戶的時間戳：當用戶運行sudo，輸入用戶的密碼后，在短時間內可以不用輸入口令直接進行sudo操作；
-k ：同-K，刪除用戶時間戳

 

注意：sudo的執行權限與/etc/sudoers文件有關，如果要修改該文件，建議使用visudo來編輯，而不要直接以vi去編輯它，因前者可以進行文件內部的語法檢查。

sudo的工作原理

注意：上圖中的/var/run/sudo目錄，應該為：/var/db/sudo目錄

前文我們已經講解過，使用su命令切換用戶身份雖然簡單，但是也有一些致命的缺點：

1）普通用戶必須知道root密碼才可以切換到root，這樣root密碼就泄露了，相當於把“刀把”交給了別人

2）使用su命令切換身份，無法對切換后的身份做精細的控制，拿到超級權限的人可以為所欲為。甚至可以改掉root密碼，讓真正的管理員無法再擁有root權限。

那么怎么來解決最高管理員不泄露root密碼，而又能讓普通用戶擁有一定的超級權限來管理系統並且能讓超級特權可控呢？這就要引出我們本節的主角----sudo命令

通過suod命令，我們可以把某些超級用戶權限分類有針對性（精細）授權給指定的普通用戶，並且普通用戶不需要知道root密碼就可以使用得到的授權（管理員真正允許的root權限）。因此，毫不誇張的說，sudo命令相對於su命令來說，在系統用戶的分權管理方面進步了很多，使得集權式管理在理論上得到了保證，從而使系統的安全性方面加強了很多。

sudo命令執行的大概流程：

a）當用sudo執行命令時，系統首先會查找/var/run/sudo/%HOME（如果是新用戶會先生成此目錄）目錄中是否有用戶時間戳文件，如果時間戳文件過期，則提示用戶是否輸入自身的密碼（注意：這里需要輸入當前執行命令用戶的密碼，不是root或其他要切換的用戶的密碼）

b）當密碼驗證成功后，系統會查找/etc/sudoers配置文件，判斷用戶是否有執行相應sudo命令權限。

c）如果具備執行相應sudo命令權限，就會自動由當前用戶切換到root（或其它指定切換的用戶），然后以root（或其它指定的切換的用戶）身份角色執行該命令。

d）執行完成后，又會自動的直接退回到當前用戶shell下

通過這個sudo執行的流程，我們可以看出，在執行sudo的過程中，我們無須知道root的密碼就可以執行root權限執行的工作。此外，用戶能夠執行的命令是可以被sudo配置文件控制的。比如我們可以對某一個用戶僅授權reboot的工作。

能夠完成上述流程的權限控制，我們完全依賴/etc/sudoers這個配置文件，在默認的情況下，普通用戶無法使用sudo，只有編輯/etc/sudoers文件加入用戶的授權規則后才可以，這就需要visudo命令（更改/etc/sudoers配置文件的標准工具）。下面我們先來體驗下sudo命令的魅力。

與sudoers相關的文件：

[root@bruce bruce]# find /etc/ -name "sudo*"
/etc/sudo-ldap.conf
/etc/sudoers.bak
/etc/sudoers
/etc/sudoers.d
/etc/pam.d/sudo-i
/etc/pam.d/sudo
/etc/sudo.conf

 

sudo參數選項	注釋說明
-l	列出用戶在主機上可用的和被禁止的命令；當配置好sudo授權規則后，可用這個參數來查看授權
-v	驗證用戶的時間戳；當用戶運行sudo，輸入用戶的密碼后，在短時間內可以不用輸入口令直接進行sudo操作；用-v可以跟蹤最新的時間戳
-u	指定以某個用戶身份執行特定的命令操作
-k	同-K，刪除時間戳，下一個sudo命令要求提供密碼。前提是該用戶授權中不能有NOPASSWD：參數

提示：sudo命令的參數也很多，但在生產場景中經常使用的比較少，這里我們還是講解常用的參數，更多詳細的參數請執行 man sudo查閱幫助。

sudo命令案例：

實例1：使用andy用戶在/root目錄下建立文件

[andy@bruce ~]$ whoami
andy
[andy@bruce ~]$ sudo touch /root/ett				#--->這個就是生產場景，sudo命令的實際標准用法
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.
[sudo] password for andy: 								#這里提示輸入andy用戶密碼
andy is not in the sudoers file.  This incident will be reported.
現在配置sudoers文件，對andy用戶授權，（root賬戶下授權）：
[root@bruce bruce]# echo "andy    ALL=(ALL)   ALL" >>/etc/sudoers
[root@bruce bruce]# tail -1 /etc/sudoers
andy    ALL=(ALL)   ALL
[root@bruce bruce]# visudo -c				#-->可以單獨使用visudo -c來檢查/etc/sudoers配置文件的語法是否正確
/etc/sudoers: parsed OK
#回到andy賬戶再次創建文件夾
[andy@bruce ~]$ sudo mkdir /root/andy
[andy@bruce ~]$ rm -fr /root/andy
rm: cannot remove `/root/andy': Permission denied

實例2：andy用戶通過sudo切換到bruce用戶在/home/bruce目錄下新建一個目錄

[andy@bruce ~]$ sudo -u bruce mkdir /home/bruce/tmpdir
[andy@bruce ~]$ ll /home/bruce/
ls: cannot open directory /home/bruce/: Permission denied
[andy@bruce ~]$ sudo ls /home/bruce/
tmpdir

實例3：使用用戶組的方式實現sudo授權

通過授權一個用戶組的方式來配置/etc/sudoers，如：授權sa組具備以上所有主機的管理權限，這樣以后有增加用戶需要相同的授權時，直接將用戶加入到sa組就可以享受sa組的sudo授權了！

[root@bruce bruce]# echo "%sa    ALL=(ALL)   ALL" >>/etc/sudoers    
[root@bruce bruce]# tail -1 /etc/sudoers
%sa    ALL=(ALL)   ALL
[andy@bruce ~]$ su - bruce
Password: 
[bruce@bruce ~]$ sudo ls /root
..........................
bruce is not in the sudoers file.  This incident will be reported.			#此時還沒有將bruce用戶加入到sa組
[root@bruce bruce]# usermod -g sa bruce
[bruce@bruce ~]$ sudo ls /root
[sudo] password for bruce: 
anaconda-ks.cfg  install.log  install.log.syslog

su 與 sudo用戶切換原理圖

/etc/sudoers配置文件中別名的知識

有時候如果某些用戶需要執行相同的命令，如果一個一個的為他們添加sudo條目時，會比較麻煩。這時我們可以為某些用戶或者某些命令創建別名，以別名的方式為他們添加sudo條目，這樣就方便多了。

在定義別名時必須別名名稱只能是大寫英文字母可以為sudo條目中的每一個字段定義一個別名。

用戶或組	主機	可以切換的用戶角色	命令
root	ALL=	(ALL)	ALL
User_Alias ADMINS=jsmith,mikem,%groupname	Host_Alias FILESERVERS = fs1,fs2	Runas_Alias     OP = root	Cmnd_Alias SERVERS = /sbin/server, /sbin/chconfig

如何定義別名：

定義用戶別名：
格式：User_Alias   aliasname=
      aliasname可以是用戶名、組名（使用%引導）、還可以包含其他的用戶別名（嵌套）
定義主機別名
格式：Host_Alias    aliasname=
      aliasname可以是主機名、ip-addr、網絡地址、其他主機別名（嵌套）
定義執行身份別名
格式：Runas_Alias  aliasname=
      liasname可以是用戶名、組名（前面加上%）、其他Runas別名（嵌套）
執行命令別名
格式：Cmnd_Alias  aliasname=
      aliasname可以是命令路徑（絕對路徑）、目錄（此目錄內的所有命令）、其他事先定義過的別名

實例1：定義命令別名

Cmnd_Alias		USERCMD = /usr/sbin/useradd,/usr/sbin/userdel,/usr/bin/passwd [A-Za-z]*,/bin/chown,/bin/chmod
Cmnd_Alias		DISKCMD = /sbin/fdisk,/sbin/parted
Cmnd_Alias		NETMAG = /sbin/ifconfig,/etc/init.d/network
Cmnd_Alias		CTRLCMD = /usr/sbin/reboot,/usr/sbin/halt

特別說明：

1）所有的命令別名下的成員必須是文件或目錄的絕對路徑

2）命令超過一行時，可以通過“\”號換行

3）在定義時，可以使用正則表達式，如/usr/bin/passwd [A-Za-z]*

實例3：定義runas別名

Runas_Alias OP = root,andy

情景模擬二：有3個用戶，hadoop、xsl、test都可以執行useradd、passwd命令，該如何操作？

可以在/etc/sudoer中添加如下條目即可：

User_Alias USERALIAS=hadoop,xsl,test
Cmnd_Alias CMDALIAS=/usr/sbin/useradd,!/usr/bin/passwd root,/usr/bin/passwd [A-Za-z]*
USERALIAS   ALL=(root)  CMDALIAS

sudo配置配置文件/etc/sudoers授權規則注意事項總結：

1）授權規則中所有ALL字符串必須為大寫

2）禁止的命令盡量放在后面，如下，但盡量不要使用排除的方式

/usr/sbin/*, /sbin/*, !/usr/sbin/visudo, !/sbin/fdisk

3）一行內容超長可以使用“\”斜線換行

andy	ALL=(ALL)	ALL

#這一行代碼的意思是：

授權用戶 主機=（指定的可切換的用戶） 可以執行的命令動作

因此上面一行授權內容的實際意思是：adny用戶可以在所有的主機上，切換到所有的用戶，執行所有的命令。如果想要andy這個用戶切換到ett用戶下執行命令，那么可以寫成：

andy		ALL = (ett)		ALL

#---> 注：(ett)段內容省略的話，默認就是root用戶，那么andy用戶只能切換到root（不能切換到其它用戶）執行命令

下面我們結合別名授權和用戶授權規則舉幾個綜合應用的例子：

實例1：對andy的授權規則如下：

andy    ALL=/usr/sbin/useradd,/usr/sbin/userdel
#上面這條規則與：andy    ALL=(root)  /usr/sbin/useradd,/usr/sbin/userdel	是一樣，上面是省略的寫法

在測試之前，為了防止已有的配置干擾，我們把所有的配置恢復到默認情況，通過visudo命令在/etc/sudoers中添加上面的內容，表示andy用戶可以在所有系統中，切換到root用戶下以root身份執行/usr/sbin/useradd and /usr/sbin/userdel命令。授權完成后，切換到andy用戶下查看授權的結果：（切換到andy用戶下）

[andy@bruce ~]$ sudo -l
.........................
User andy may run the following commands on this host:
(root) /usr/sbin/useradd, (root) /usr/sbin/userdel				#授權的命令

值得注意的是，本例省略了指定切換到哪個用戶下執行命令，根據前文的講解，默認的情況下是切換到root用戶下執行，同時，授權時未加NOPASSWD:配置，因此，第一次執行的時候需要驗證密碼：

[andy@bruce ~]$ useradd andy2
-bash: /usr/sbin/useradd: Permission denied
[andy@bruce ~]$ sudo useradd andy2
Sorry, user andy is not allowed to execute '/usr/sbin/useradd andy2' as root on bruce.

但此時執行sudo useradd andy2命令時，還是提示andy用戶不允許執行上面的兩個命令，這是因為普通用戶PATH路徑問題，可以臨時執行全路徑來添加用戶，當然也可以在andy用戶下配置好環境變量。

[andy@bruce ~]$ sudo /usr/sbin/useradd tmpuser1
[andy@bruce ~]$ grep tmpuser1 /etc/passwd				#grep 命令不需要授權，普通用戶就可以使用
tmpuser1:x:807:807::/home/tmpuser1:/bin/bash
[andy@bruce ~]$ sudo su - root							#無法切換到root用戶下
Sorry, user andy is not allowed to execute '/bin/su - root' as root on bruce.

特別提示：有關上面普通用戶下執行命令提示找不到的問題實際解決操作方法為：

在andy用戶下編輯隱藏文件.bash_profile，修改成如下內容后保存：

# User specific environment and startup programs
PATH=$PATH:$HOME/bin:/usr/local/sbin:/usr/local/bin:/sbin:/usr/sbin:/usr/bin:/root/bin
[andy@bruce ~]$ source .bash_profile
#此時就不需要使用全路徑執行useradd等命令了

可以加上NOPASSWD:規則，執行命令時不需要輸入密碼：

andy    ALL=(root)  NOPASSWD: /usr/sbin/useradd,/usr/sbin/userdel

實例：用戶組的配置例子

%andy    ALL=/usr/sbin/*,/sbin/*

表示andy用戶組下所有成員，在所有的主機下，可切換到root用戶下運行/usr/sbin and /sbin目錄下的所有命令，*為正則表達式的寫法，表示所有

實例：練習禁止某個命令的執行：

禁止某個命令的執行，要在命令前加上！號

andy    ALL=/usr/sbin/*,/sbin/*,!/sbin/fdisk

這條規則表示andy用戶在所有主機上可運行/usr/bin和/sbin下所有的命令，但fdisk命令除外

[andy@bruce ~]$ sudo fdisk
Sorry, user andy is not allowed to execute '/sbin/fdisk' as root on bruce.

遠程執行sudo命令

默認情況下，我們是無法通過ssh遠程執行sudo命令的，可是在實際生產場景中我們經常有這樣的需求，那怎么解決呢？

在/etc/sudoers中有這樣的配置：

[root@bruce bruce]# grep requiretty /etc/sudoers
Defaults    requiretty
# changed in order to be able to use sudo without a tty. See requiretty above.

“Defaults requiretty”就是禁止通過ssh遠程執行sudo命令的配置，禁止的原因是因為會顯示明文密碼。但是我們可以通過“ssh -t hostname sudo <cmd>”的方式來執行，也就是加個-t的參數，這是一個可以強制ssh遠程執行本來需要屏幕的程序，會強制配置終端tty，即使本地沒有。

測試：通過10.0.0.144機器終端使用ssh的方式以andy身份連接10.0.0.143機器然后執行相關sudo命令

ssh andy@10.0.0.143 ls /root			#常規的遠程連接執行命令
ssu -t andy@10.0.0.143 sudo ls /root		#加上-t參數后就可以執行成功

附錄：

1、用戶和組狀態命令

whoami： 用於顯示當前用戶的名稱
groups []： 用於顯示指定用戶所屬的組，若未指定用戶，則顯示當前用戶所屬的組

id： 用於顯示用戶當前的UID、GID和用戶所屬的組列表

su [-][]： 用於轉換當前用戶到指定的用戶帳號，若不指定用戶名則轉換當前用戶到root；若使用參數“-”，則在轉換當前用戶的同時轉換用戶工作環境。

newgrp []： 用於轉換用戶的當前組到指定的附加組，用戶必須屬於該組才可以進行。

2、Chmod命令詳解

指令名稱 : chmod

使用權限 : 所有使用者

使用方式 : chmod [-cfvR] [--help] [--version] mode file...

說明 : Linux/Unix 的檔案存取權限分為三級 : 檔案擁有者、群組、其他。利用 chmod 可以藉

以控制檔案如何被他人所存取。

mode : 權限設定字串，格式如下 : [ugoa...][[+-=][rwxX]...][,...]，其中u 表示該檔案的擁有者，g 表示與該檔案的擁有者屬於同一個群體(group)者，o 表示其他以外的人，a 表示這三者皆是。 

+ 表示增加權限、- 表示取消權限、= 表示唯一設定權限。 
r 表示可讀取，w 表示可寫入，x 表示可執行，X 表示只有當該檔案是個子目錄或者該檔案已經被
設定過為可執行。 
-c : 若該檔案權限確實已經更改，才顯示其更改動作 
-f : 若該檔案權限無法被更改也不要顯示錯誤訊息 
-v : 顯示權限變更的詳細資料 
-R : 對目前目錄下的所有檔案與子目錄進行相同的權限變更(即以遞回的方式逐個變更) 
--help : 顯示輔助說明 
--version : 顯示版本 

范例 :將檔案 file1.txt 設為所有人皆可讀取 : 

chmod ugo+r file1.txt 

4、Chown命令詳解

指令名稱 : chown

使用權限 : root

使用方式 : chown [-cfhvR] [--help] [--version] user[:group] file...

說明 : Linux/Unix 是多人多工作業系統，所有的檔案皆有擁有者。利用 chown 可以將檔案的擁有者加以改變。一般來說，這個指令只有是由系統管理者(root)所使用，一般使用者沒有權限可以改變別人的檔案擁有者，也沒有權限可以自己的檔案擁有者改設為別人。只有系統管理者(root)才有這樣的權限。

user : 新的檔案擁有者的使用者 
IDgroup : 新的檔案擁有者的使用者群體(group)
-c : 若該檔案擁有者確實已經更改，才顯示其更改動作
-f : 若該檔案擁有者無法被更改也不要顯示錯誤訊息
-h : 只對於連結(link)進行變更，而非該 link 真正指向的檔案
-v : 顯示擁有者變更的詳細資料
-R : 對目前目錄下的所有檔案與子目錄進行相同的擁有者變更(即以遞回的方式逐個變更)
--help : 顯示輔助說明
--version : 顯示版本

范例 :將檔案 file1.txt 的擁有者設為 users 群體的使用者 jessie : 

chown jessie:users file1.txt

考試題

批量創建10個用戶stu01-stu10，並且設置隨機8位密碼，要求不能用shell循環（如：for,while等），只能用命令及管道實現

方法一：

[root@oldboy /]# echo stu{01..10}|tr " " "\n"|sed -r 's#(.*)#useradd \1 ; pass=$((RANDOM+10000000)); echo "$pass"|passwd --stdin \1; echo -e "\1 \t `echo "$pass"`">>/tmp/oldboy.log#g'|bash

上述命令實際就是再拼N條下面的命令的組合，舉一條命令stu01用戶的過程拆解如下：

useradd stu01 ; 
pass=$((RANDOM+10000000)); 
echo "$pass"|passwd --stdin stu01; 
echo -e "stu01        `echo "$pass"`">>/tmp/oldboy.log

方法二：

echo stu{11..12}|xargs -n1 useradd ;echo stu{11..12}:`cat /dev/urandom|tr -dc 0-9|fold -w8|head -1`|xargs -n1|tee -a pass.txt|chpasswd 

方法三：

echo stu{01..10} |tr ' ' '\n'|sed -rn 's@^(.*)$@useradd \1 ; echo $RANDOM|md5sum|cut -c 1-8 >/data/\1;cat /data/\1|passwd --stdin \1@gp'|bash