第四次课堂预习笔记（0321任务）

第四次课堂预习笔记（0321任务）

**
课堂笔记：
mkpasswd 生成随机字符串的命令
usemod -l passwd -l 都是锁定用户登录
usermod 加1个！ passwd 加2个！
关于sudo,如下图命令最关键：

sudo命令的格式：

详尽的学习信息如下：
sudo与su比较 http://www.apelearn.com/bbs/thread-7467-1-1.html
sudo配置文件样例 www.opensource.apple.com/source/sudo/sudo-16/sudo/sample.sudoers
sudo不错的教程 http://www.jianshu.com/p/51338e41abb7
sudo -i 也可以登录到root吗？ http://www.apelearn.com/bbs/thread-6899-1-1.html

3.1 用户配置文件和密码配置文件

**
ls /etc/passwd 用户的信息文件，核心文件。每创建一个新用户，都会在该文件中增加一行。这个文件里面包含了系统自建立，和用户自己建立用的信息。每一行代表着一个用户。

/etc/shadow 和 /etc/passwd 文件对应。专门用来控制用户密码的。
**root和aming的密码设置是一样的，但加密的字符串是不一样
其他字段的意思：
linux的root密码存在于“/etc/shadow”这个文件中，不过要有root权限才能在linux下看到“/etc/shadow”这个文件。
这个密码存储的结构:
账户名：账户名与/etc/passwd里面的账户名是一一对应的关系。
密码：这里可以看到3类，分别是奇奇怪怪的字符串、*和！！其中，奇奇怪怪的字符串就是加密过的密码文件。星号代表帐号被锁定，双叹号表示这个密码已经过期了。奇奇怪怪的字符串是以 $6$开头的，表明是用SHA-512加密的， $1$ 表明是用MD5加密的、 $2$ 是用Blowfish加密的、 $5$是用 SHA-256加密的。
修改日期：这个是表明上一次修改密码的日期与1970-1-1相距的天数密码不可改的天数：假如这个数字是8，则8天内不可改密码，如果是0，则随时可以改。
密码需要修改的期限：如果是99999则永远不用改。如果是其其他数字比如12345，那么必须在距离1970-1-1的12345天内修改密码，否则密码失效。
修改期限前N天发出警告：比如你在第五条规定今年6月20号规定密码必须被修改，系统会从距离6-20号的N天前向对应的用户发出警告。
密码过期的宽限：假设这个数字被设定为M，那么帐号过期的M天内修改密码是可以修改的，改了之后账户可以继续使用。
帐号失效日期：假设这个日期为X，与第三条一样，X表示的日期依然是1970-1-1相距的天数，过了X之后，帐号失效。
保留：被保留项，暂时还没有被用上。

**3.2 用户组管理

etc/group 用户组信息文件
etc/gshadow 用户组密码文件
带减号的意思是，系统自动帮我们备份了该文件。权限和文件信息都是一致的。
组命令： groupadd grp1 增加组
用户自定义组最好是在1000以上，1000以内被系统保留了
groupdel grp1 删除一个组删除一个组的前提是组里面没有用户，为空才可以删除。

3.3 用户管理

useradd user2 创建用户组。UID是从1000开始的。

3.4 usermod命令更改

usermod 修改用户属性
可以修改用户UID、GID
usermod -u 111 username
usermod -u 123 username
usermod -u xxx username 把一个用户加入到多个组里面。扩展组用法。

3.5 用户密码管理

#passwd set_uid 获取用户密码的修改权限，能够修改用户的密码。
如果用户信息的密码列是星号或者感慨号，代码这个用户不能用了。
锁定用户密码：
#passw或者d -l username
#passwd -L username
解锁用户密码：
#passwd -u username
#pssswd -U username
更改用户的密码：
passwd --stdin username
或者通过管道符进行处理：
echo “111222” | passwd --stdin user5 (username)

-e 表示换行。

3.6 mkpasswd命令

mkpassword 这个命令默认没有安装，需要安装。记录密码的工具。这个命令是生成随机字符串的命令。
不包括字符。

3.7 su命令

在linux系统中，由于root的权限过大，一般情况都不使用它。只有在一些特殊情况下才采用登录root执行管理任务，一般情况下临时使用root权限多采用su和sudo命令。
su为switch user，即切换用户的简写。

SU 在登录时，要录入ROOT权限的密码

格式为两种：

su -l USERNAME（-l为login，即登陆的简写）

su USERNAME

如果不指定USERNAME（用户名），默认即为root，所以切换到root的身份的命令即为：su -root或su -，su root 或su。

su USERNAME，与su - USERNAME的不同之处如下：

su - USERNAME切换用户后，同时切换到新用户的工作环境中。

su USERNAME切换用户后，不改变原用户的工作目录，及其他环境变量目录。

su -

su -，su -l或su --login 命令改变身份时，也同时变更工作目录，以及HOME，SHELL，USER，LOGNAME。此外，也会变更PATH变量。用su -命令则默认转换成成root用户了。

而不带参数的“su命令”不会改变当前工作目录以及HOME,SHELL,USER,LOGNAME。只是拥有了root的权限而已。
总结：
通过su可以在用户之间切换，而超级权限用户root向普通或虚拟用户切换不需要密码，而普通用户切换到其它任何用户都需要密码验证。

3.8 sudo 命令

sudo不错的教程 http://www.jianshu.com/p/51338e41abb7
sudo

sudo是一种权限管理机制，依赖于/etc/sudoers，其定义了授权给哪个用户可以以管理员的身份能够执行什么样的管理命令；

格式：sudo -u USERNAME COMMAND

默认情况下，系统只有root用户可以执行sudo命令。需要root用户通过使用visudo命令编辑sudo的配置文件/etc/sudoers，才可以授权其他普通用户执行sudo命令。
sudo 参数命令总结：

-V 显示版本编号
-h 会显示版本编号及指令的使用方式说明
-l 显示出自己（执行 sudo 的使用者）的权限
-v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行（N 预设为五）会问密码，这个参数是重新做一次确认，如果超过 N 分钟，也会问密码
-k 将会强迫使用者在下一次执行 sudo 时问密码（不论有没有超过 N 分钟）
-b 将要执行的指令放在背景执行
-p prompt 可以更改问密码的提示语，其中 %u 会代换为使用者的帐号名称， %h 会显示主机名称
-u username/#uid 不加此参数，代表要以 root 的身份执行指令，而加了此参数，可以以 username 的身份执行指令（#uid 为该 username 的使用者号码）
-s 执行环境变数中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell
-H 将环境变数中的 HOME （家目录）指定为要变更身份的使用者家目录（如不加 -u 参数就是系统管理者 root ）
command 要以系统管理者身份（或以 -u 更改为其他人）执行的指令

3.9 限制root远程登录

当我们限制root用户登录需要修改
/etc/ssh/sshd_config
这个配置文件，找到
#PermitRootLogin yes
把#去掉 yes改为no
然后保存退出重启服务
systemctl restart sshd.service
这样就是限制了root登陆，我们root用户就登陆不上了
这个时候我们要在限制root用户之前
需要给一下普通用户的登陆权限，要不然我们是进不了系统的

这样 我们是给ygw这个普通用户不需要密码就可以使用su命令
就可以切到root用户下

但是root不能远程限制root远程登录
但是有人回想问，假如在工作中有人会用普通用户登录root，然后修改了ssh这样root就可以远程了啊
也没有多大作用
这个其实就是这样
借老师一句话
有句话叫做 防君子防不住小人。
限制root远程登录不是为了限制我们自己人的。 是为了安全因素。
在一个企业，运维部门肯定要做一些规章制度，谁偷偷改了配置，则要重罚。