Linux用户深度管理

每个文件和进程，都需要对应一个用户和用户组。

linux系统是通过UID和GID来是识别用户和组的。

其中用户名等同于人名（人类识别），UID和GID等同于身份证号（系统识别）。

linux管理员：root

用户和组的关系

一对一，一对多，多对一，多对多

用户分类

超级用户：UID=0 root

普通用户：UID>=500 由超级用户或者具有超级用户权限的用户创建的用户

虚拟用户：UID={1,499}存在满足文件或者服务启动的需要，一般不能登录。

每个文件和进程，都需要对应一个用户和用户组。

和用户关联的四个文件：

/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow.

用户管理的命令：

useeradd 添加用户

userdel 删除用户

passwd 设置或修改密码 更改/etc/shadow

chage 修改用户密码属性 管理/etc/shadow

usermod 修改用户信息

id 查看用户信息

su 用户角色切换工具

sudo 普通用户不需要root密码就可以执行只有root才能执行相应的命令或具备的目录权限

visudo 配置sudo权限的编辑命令，可以直接vi来编辑/etc/sudoers实现。推荐使用，可以自动检查语法。

groupadd 添加组

groupdel 删除组

groups 查看组信息

whoami 查看当前用户

/etc/skel 目录

/etc/skel 目录是用来存放新用户环境变量的目录，当我们添加新用户时，这个目录下的所有文件会自动被复制到新添加的用户家目录下（cp -a /etc/skel/* /home/新用户名/），默认情况下，/etc/skel 目录下的所有文件都是隐藏文件，通过修改添加、删除/etc/skel 目录下的文件，我们可为新用户提供统一的、标准的、初始化用户环境。

/etc/skel 的企业场景作用：

1、可以把通知内容放到skel，让登录人员看

2、统一初始化新用户的环境变量

3、面试题：出现“-bash-4.1$”问题原因及解决方法

原因：家目录环境变量文件丢失。

解决方法：

su - a（a为前面出现问题的用户）

-bash-4.1$ cp /etc/skel/.bash* .

-bash-4.1$ logout

su -

su - a（a为前面出现问题的用户）

/etc/login.defs配置文件

/etc/login.defs文件是用来定义创建用户时需要的一些用户的配置信息。例如创建用户时，是否需要家目录，UID和GID的范围，用户及密码的有效期限每个文件和进程，都需要对应一个用户和用户组。


linux系统是通过UID和GID来是识

每个文件和进程，都需要对应一个用户和用户组。

linux系统是通过UID和GID来是识别用户和组的。

其中用户名等同于人名（人类识别），UID和GID等同于身份证号（系统识别）。

linux管理员：root

用户和组的关系

一对一，一对多，多对一，多对多

用户分类

超级用户：UID=0 root

普通用户：UID>=500 由超级用户或者具有超级用户权限的用户创建的用户

虚拟用户：UID={1,499}存在满足文件或者服务启动的需要，一般不能登录。

每个文件和进程，都需要对应一个用户和用户组。

和用户关联的四个文件：

/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow.

用户管理的命令：

useeradd 添加用户

userdel 删除用户

passwd 设置或修改密码 更改/etc/shadow

chage 修改用户密码属性 管理/etc/shadow

usermod 修改用户信息

id 查看用户信息

su 用户角色切换工具

sudo 普通用户不需要root密码就可以执行只有root才能执行相应的命令或具备的目录权限

visudo 配置sudo权限的编辑命令，可以直接vi来编辑/etc/sudoers实现。推荐使用，可以自动检查语法。

groupadd 添加组

groupdel 删除组

groups 查看组信息

whoami 查看当前用户

/etc/skel 目录

/etc/skel 目录是用来存放新用户环境变量的目录，当我们添加新用户时，这个目录下的所有文件会自动被复制到新添加的用户家目录下（cp -a /etc/skel/* /home/新用户名/），默认情况下，/etc/skel 目录下的所有文件都是隐藏文件，通过修改添加、删除/etc/skel 目录下的文件，我们可为新用户提供统一的、标准的、初始化用户环境。

/etc/skel 的企业场景作用：

1、可以把通知内容放到skel，让登录人员看

2、统一初始化新用户的环境变量

3、面试题：出现“-bash-4.1$”问题原因及解决方法

原因：家目录环境变量文件丢失。

解决方法：

su - a（a为前面出现问题的用户）

-bash-4.1$ cp /etc/skel/.bash* .

-bash-4.1$ logout

su -

su - a（a为前面出现问题的用户）

/etc/login.defs配置文件

/etc/login.defs文件是用来定义创建用户时需要的一些用户的配置信息。例如创建用户时，是否需要家目录，UID和GID的范围，用户及密码的有效期限等等。

/etc/default/useradd文件

/etc/default/useradd文件是在使用useradd添加用户时的一个需要调用的默认配置文件，可以使用 user -D 参数 这样的命令格式来修改文件里面的内容。可以通过vi 命令直接编辑。

用户密码管理

1、密码要复杂8位以上（字母数字特殊字符）

2、大的企业用户和密码统一管理（相当于活动目录，openldap）

3、动态密码：动态口令，第三方提供，或自己开发

用户删除管理

一般不能确认用户相关目录有没有重要数据，就不能用-r。

1、vi /etc/passwd然后注释掉用户，观察一个月，这样出问题可以还原，相当于操作前备份。

2、把登录shell改成/sbin/nologin。

3、openldap（类似活动目录）账号统一管理的，ldap库里干掉用户，所有服务器全部都没了。

提示：修改删除必须小心谨慎！

useradd参数

-c comenment 新账号passwd的说明栏

-d home_dir  新账号每次登入是所使用的home_dir。预设值为default_home内login名称，并当成登入时目录名称。

-e expire_date 账号终止日期。日期格式为MM/DD/YY。重点

-f inactive_days账号过期几日后永久停止权限。当值为0时账号则被立即停用。当值为-1时则关闭此功能。

-g initial_group group名称或以数字来做为用户登入起始用户组。用户组名须为系统现有存在的名称。用户组数字也须为系统现有存在的名称。用户组数字也须为系统现有存在的用户组。预设数字为1.

-G group,[...]  定义此用户为不同groups的成员。每个用户组使用“，”分隔。用户组名同-g选项的限制。默认值为用户的起始用户组。重点

-m  用户目录如不存在则自动建立。如使用-k选项，skeleton——dir内的档案将复制至用户目录下，然而在/etc/skel目录下的档案也会复制过去取代。任何在skeleton_dir /etc/skel的目录也相同会在用户目录下意义建立。The-k 同-m不建立目录以及不复制任何档案为预设值。

-M  不建立用户家目录，优先于/etc/login.defs文件的设定。一般创建虚拟用户时不建立家目录，部署服务时需要创建虚拟用户。重点

-n  默认情况用户的用户组与用户的名称会相同。如果命令加了-n参数，就不会生成和用户同名的用户组了。

-r  此参数是用来建立系统账号。系统账号的UID会比定义在系统档上/etc/login.defs.的UID_MIN来的小。注意useradd此用法所建立的账号不会建立用户家目录，也不会在乎记录在/etc/login,defs.的定义值。如果你想要拥有用户家目录须额外指定-m参数来建立系统账号。这是Red HAT额外增设的选项。

-s shell  用户登入后使用的shell名称。默认值为不填写，这样系统会帮你指定预设的登入shell。

-u uid  用户的ID值。这个值必须是唯一的，除非用-o选项。数字不可为负值。

passwd 参数

-f , --force force operation #强制操作；仅root权限才能操作

-x,--maximum=DAYS #两次密码修改的最大天数，后面接数字；仅root权限操作

-n,--minimum=DAYS #两次密码修改的最小天数，后面接数字；仅root权限操作

-w,--warning=DAYS #在距多少天体系用户修改密码；仅root权限才能操作

-i,--inactive=DAYS #在密码过期后多少天，用户被禁掉；仅root权限才能操作

chage参数

-d,--lastday 最近日期 #将最近一次密码设置时间设为“最近日期”。

-E,--expiredate 过期日期 #将账户过期时间设为“过期日期”，日期写法：MM/DD/YY。

-h,--help #显示此帮助信息并退出

-i,-inactive 失效密码 #在密码过期后多少天，用户被禁掉；仅root权限才能操作

-l,--list #显示账户年龄信息

-m,-mindays 最小天数 #将两次改变密码之间相距的最小天数设为“最小天数”

-M,--maxdays 最大天数 #将两次改变密码之间相距的最大天数设为“最大天数”

-W，warndays 警告天数 #将过期警告天数设为“警告天数”

usermod参数

-c comment #增加用户账号/etc/passwd中的注释说明栏（第五栏）。-c参数功能也可使用功能chfn

命令来修改，当然也可以手工修改/etc/passwd文件来实现。

-d home_dir #更新用户新的家目录，如果给定-m选项，用户旧的家目录会搬到新的家目录去，

如旧的家目录不存在则创建新的。

-e expire_date #加上用户账户停止日期。日期格式：MM/DD/YY。

-f inactive_days #账号过期几日后永久停权。当值为0时账号则立即被停权。当值为-1时则关闭此功能，预 设值为-1.

-g initial_group #更新用户新的起始登入用户组。用户组名须已存在。用户组ID必须参照既有的用户组。用 户组ID预设值为1.

-G group ,[...] #定义用户为一堆groups的成员。每个用户使用“，”隔开。用户在名同-g选项的限制。

-l login_name 变更用户login时名称为login_name，其余信息不变。

-s shell 指定新用户登入shell。如此栏留白，系统将选用系统预设shell。这个-s参数功能也可以使用chsh命令来修改。当然也可以手工修改/etc/passwd文件来实现。

-u uid 指定用户的ID值。这个值必须是唯一的，除非用-o选项。数字不可为负值。

-L 冻结用户的密码，使之无法登录，实际就是间接修改/etc/shadow的密码栏。在密码栏的开头加上“！”号，即表示冻结。这个功能和usermod -e , chage -E或passwd -l等命令有类似功效，就是让用户无法正常登录。

-U 取消冻结用户的密码，使之恢复登录，实际同样是修改/etc/shadow的密码栏，在密码栏的开头取消“！”号，即表示恢复。

用户查询相关命令

id, finger, users, w, who, last, lastlog, groups

用户及日志查询：w who

查看用户登录信息：当前last  历史lastlog

查看用户所属：全部id 组groups主属和附加组users

su 切换用户

-，-l，-login make the shell a login shell 是一个shell成为登录的shell，如执行su - oldboy时，表示该用户想改变身份为oldboy，并且使用oldboy用户的环境配置，如：/home/oldboy/.bash_profile等。

-c，--command=COMMAND pass a single COMMAND to the with -c

切换到一个shell下，执行一个命令，然后退出所切换的用户环境。

-m, --preserve-environment do not reset environment variables,same as -p

切换用户时，不重置用户环境变量，-p的功能同-m，这个参数为su的默认值， 一般较少使用

不加“-”的话，家目录仍是root。

su - oldboy -c pwd 切到oldboy下执行pwd命令  切到用户下执行命令，但当前用户不变

由su和su -的区别谈学习linux运维方法  http://oldboy.blog.51cto.com/2561410/1053606 

env|grep -i 用户名 查看用户环境变量

sudo尚方宝剑

su切换用户方便，但有一些致命的缺点：

1）普通用户必须知道root密码才可以切换到root，这样root密码就泄露了。相当于把“刀把”交给了别人。

2）使用su命令切换身份，无法对切换后的身份做精细的控制，拿到别人超级权限的人可以为所欲为。甚至可以更改root密码，让真正的管理员无法拥有root权限。

为了既不泄露密码，又让普通用户拥有一定的超级权限，推出sudo命令。

通过sudo命令，我们可以把某些超级用户权限分类，有针对性授权给指定的普通用户，并且普通用户不需要知道root密码就可以得到root权限。

sudo的配置文件：/etc/sudoers

sudo命令执行的大概流程：

a）当用sudo执行命令时，系统首先会查找/var/run/sudo/%HOME（新用户会先生成此目录）目录中是否有用户时间戳文件，如果时间戳文件过期，则提示用户输入自身密码（注意：这里需要输入当前执行命令用户的密码，不是root后其他要切换的用户的密码）。

b）当密码验证成功后，系统查找/etc/sudoers配置文件，判断用户是否有执行相应sudo命令权限。

c）如果具备执行相应sudo权限，就会自动由当前用户切到root（或其他指定切换到的用户），然后以root（或其他指定的切换到的用户）身份角色执行该命令。

d）执行完成后，又会自动的直接退回到当前用户shell下（以root等身份执行任务）。

更改授权/etc/sudoers文件

1）执行visudo命令自动编辑/etc/sudoers文件（推荐）

visudo 在98行，为普通用户提权

sudo命令配置时环境配置一定是全路径。

2）直接修改/etc/sudoers文件方法（不推荐）

echo "oldboy  ALL=(ALL)  ALL" >> /etc/sudoers

visudo -c #检查语法

sudo参数

-l  列出用户在主机上可用和被禁止的命令；配置好sudo授权规则后，可用此参数查看授权情况

-v  验证用户时间戳；可跟踪最新时间戳

-u  指定以某个用户身份执行特定命令

-k  删除时间戳，下一个sudo命令要求提供密码

对用户组进行授权：

echo "%oldboy  ALL=(ALL)  ALL" >> /etc/sudoers  #配置oldboy组的授权，也可以通过visudo来更改。

tail -l /etc/sudoers  #查看授权配置

visudo -c  #检查语法

ls -l /etc/sudoers  #检查/etc/sudoers权限

usermod -g oldboy ett  #更改ett属于oldboy组

id ett  #查看更改结果

别名类型（Alias_Type）：

1）Host_Alias 定义主机别名

1.在生产场景中，一般不需要设置主机别名，在定义授权规则时可以通过ALL来匹配所有主机。

2.注意定义规范（Host_Alias  FILESERVERS  =  fs1,  fs2 #等号两边有空格逗号后面有空格），虽然不是必须的，但我们还是要求能够按照系统的标准来配置，这样可以避免意外的问题发生。

3.以上Host_Aliases内容截取自/etc/sudoers文件，并取消了注释。

4.其实就是逻辑上的主机组，当多台服务器共享一个/etc/sudoers时候会用到主机别名。

5.%oldboy  ALL=(ALL)  ALL #第一个ALL就是主机别名的应用位置。

6.%oldboy  FILESERVERS=(ALL)  ALL  #相当于里面有两台机器

2）User_Alias定义用户别名

1.设置用户别名也不是必须的，可以通过%groupname的方式来作为成员。

2.#User_Alias ADMINS = jsmith, mikem, %groupname

给ADMINS授权相当于同时授权给jsmith, mikem, %groupname

oldboy  ALL=(ALL)  ALL #oldboy就是主机别名的应用位置。

3）Runas_Alias 定义runas身份别名

1.这个别名指定的是“用户身份”，即sudo允许切换到的用户身份。

2.Runas_Alias定义的是用户可以执行sudo切换身份到Runas_Alias下包含的成员身份。

3.实际语法 Runas_Alias OP = root

4.oldboy  ALL=(ALL)  ALL #小括号中的第二个ALL的位置就是Runas_Alias别名的应用位置。

4）Cmnd_Alias定义命令别名

1.命令别名就是设置可以执行哪些命令。

2.oldboy  ALL=(ALL)  ALL #第三个ALL的位置就是命令别名的位置。

3.所有的命令别名下的成员必须是文件或目录的绝对路径。

4.命令别名超过一行，可用“\”换行。

5.在定义时，可以使用正则表达式，如/usr/bin/passwd [A-Za-z]*。

sudo授权，别名和具体授权配置的关系

用户和组	主机	可以切换的用户角色	命令
root	ALL=	（ALL）	ALL
User_Alias ADMINS = jsmith, mikem,  %groupname	Host_Alias FILESERVERS  =  fs1,  fs2	Runas_Alias OP = root	Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig

什么情况下使用上述别名？

工作中一般有多个系统用户，需要分类，分层次管理用户时。

别名应用

Linux系统安全最小原则

最小化原则对Linux系统安全来说极其重要：即多一事不如少一事。

具体包括：

▲安装Linux系统最小化，即选包最小化，yum安装软件包也要最小化，无用的包不装

▲开机自启动服务最小化，即无用的服务不开启。

▲操作命令最小化。例：能“rm -f a.txt”就不用“rm -fr a.txt”。

▲登录Linux用户最小化。平时没有特殊需求就不登录root，用普通用户登录即可。

▲普通用户授权最小化，即只给用户必须管理系统的命令，不能啥都可以干。

▲Linux系统文件及目录的权限设置最小化，禁止随意创建、更改、删除文件。

配置sudo命令用户行为日志审计

说明：所谓sudo命令日志审计，并不记录普通用户的普通操作。而是记录执行sudo命令的用户操作。

项目实战：简历中的经验说明

服务器日志审计项目提出与实施

1.权限方案实施后，权限得到了细化控制，接下来进一步实施对所有用户日志记录方案。

2.通过sudo和syslog（rsyslog）配合实现对所有用户进行日志审计并将记录集中管理（发送到中心日志服务器）。

3.实施后让所有运维和开发的所有执行的sudo管理命令都有记录可查，杜绝了内部人员的操作安全隐患。

生产环境企业日志审计解决方案：

所谓日志审计，就是所有系统及相关用户行为的信息，并且可以自动分析、处理、展示（包括文本或录像）

1）通过环境变量命令及rsyslog服务进行全部日志审计（信息太大）。

2）sudo配合rsyslog服务，进行日志审计（审计信息较少）

3）在bash解释器程序里嵌入一个监视器，让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。

4）齐治的堡垒机（齐治科技堡垒主机系统）：商业产品

https://wenku.baidu.com/view/76b3b3e6f18583d0486459 （齐治科技堡垒主机系统技术白皮书）

5）Python开发的开源产品

开源跳板机(堡垒机)Jumpserver部署详解

http://blog.51cto.com/zt/658

开源堡垒机CrazyEye

http://3060674.blog.51cto.com/3050674/1700814

sudo日志审计

1）安装sudo命令，syslog服务（Centoa6.4为rsyslog服务）

2）配置/var/sudoers（其实只要一行就可搞定sudo审计）

下面3,4可以不执行，直接切换到普通操作，然后查看/var/log/sudo.log有无记录。

3）配置文件系统日志/etc/rsyslog.conf（可以不配）

4）重启rsyslog内核日志记录器

日志集中管理

1）rsync+inotify或定时任务+rsync，推到日志管理器上，10.0.0.7_2013.0303.sudo.log

2）rsylog服务来处理。

echo "10.0.2.164 logserver" >> /etc/hosts #日志服务器地址

echo "*.info  @logserver" >> /etc/syslog.conf #时候所有日志推送

3）日志收集解决方案scribe,Flume,stom,logstash ELK

别用户和组的。


其中用户名等同于人名（人类识别），UID和GID等同于身份证号（系统识别）。


linux管理员：root


用户和组的关系


一对一，一对多，多对一，多对多


用户分类


超级用户：UID=0 root


普通用户：UID>=500 由超级用户或者具有超级用户权限的用户创建的用户


虚拟用户：UID={1,499}存在满足文件或者服务启动的需要，一般不能登录。


每个文件和进程，都需要对应一个用户和用户组。


和用户关联的四个文件：


/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow.


用户管理的命令：


useeradd 添加用户


userdel 删除用户


passwd 设置或修改密码 更改/etc/shadow


chage 修改用户密码属性 管理/etc/shadow


usermod 修改用户信息


id 查看用户信息


su 用户角色切换工具


sudo 普通用户不需要root密码就可以执行只有root才能执行相应的命令或具备的目录权限


visudo 配置sudo权限的编辑命令，可以直接vi来编辑/etc/sudoers实现。推荐使用，可以自动检查语法。


groupadd 添加组


groupdel 删除组


groups 查看组信息


whoami 查看当前用户


/etc/skel 目录


/etc/skel 目录是用来存放新用户环境变量的目录，当我们添加新用户时，这个目录下的所有文件会自动被复制到新添加的用户家目录下（cp -a /etc/skel/* /home/新用户名/），默认情况下，/etc/skel 目录下的所有文件都是隐藏文件，通过修改添加、删除/etc/skel 目录下的文件，我们可为新用户提供统一的、标准的、初始化用户环境。


/etc/skel 的企业场景作用：


1、可以把通知内容放到skel，让登录人员看


2、统一初始化新用户的环境变量


3、面试题：出现“-bash-4.1$”问题原因及解决方法


原因：家目录环境变量文件丢失。


解决方法：


su - a（a为前面出现问题的用户）


-bash-4.1$ cp /etc/skel/.bash* .


-bash-4.1$ logout


su -


su - a（a为前面出现问题的用户）


/etc/login.defs配置文件


/etc/login.defs文件是用来定义创建用户时需要的一些用户的配置信息。例如创建用户时，是否需要家目录，UID和GID的范围，用户及密码的有效期限等等。


/etc/default/useradd文件


/etc/default/useradd文件是在使用useradd添加用户时的一个需要调用的默认配置文件，可以使用 user -D 参数 这样的命令格式来修改文件里面的内容。可以通过vi 命令直接编辑。


用户密码管理


1、密码要复杂8位以上（字母数字特殊字符）


2、大的企业用户和密码统一管理（相当于活动目录，openldap）


3、动态密码：动态口令，第三方提供，或自己开发


用户删除管理


一般不能确认用户相关目录有没有重要数据，就不能用-r。


1、vi /etc/passwd然后注释掉用户，观察一个月，这样出问题可以还原，相当于操作前备份。


2、把登录shell改成/sbin/nologin。


3、openldap（类似活动目录）账号统一管理的，ldap库里干掉用户，所有服务器全部都没了。


提示：修改删除必须小心谨慎！


useradd参数


-c comenment 新账号passwd的说明栏


-d home_dir  新账号每次登入是所使用的home_dir。预设值为default_home内login名称，并当成登入时目录名称。


-e expire_date 账号终止日期。日期格式为MM/DD/YY。重点


-f inactive_days账号过期几日后永久停止权限。当值为0时账号则被立即停用。当值为-1时则关闭此功能。


-g initial_group group名称或以数字来做为用户登入起始用户组。用户组名须为系统现有存在的名称。用户组数字也须为系统现有存在的名称。用户组数字也须为系统现有存在的用户组。预设数字为1.


-G group,[...]  定义此用户为不同groups的成员。每个用户组使用“，”分隔。用户组名同-g选项的限制。默认值为用户的起始用户组。重点


-m  用户目录如不存在则自动建立。如使用-k选项，skeleton——dir内的档案将复制至用户目录下，然而在/etc/skel目录下的档案也会复制过去取代。任何在skeleton_dir /etc/skel的目录也相同会在用户目录下意义建立。The-k 同-m不建立目录以及不复制任何档案为预设值。


-M  不建立用户家目录，优先于/etc/login.defs文件的设定。一般创建虚拟用户时不建立家目录，部署服务时需要创建虚拟用户。重点


-n  默认情况用户的用户组与用户的名称会相同。如果命令加了-n参数，就不会生成和用户同名的用户组了。


-r  此参数是用来建立系统账号。系统账号的UID会比定义在系统档上/etc/login.defs.的UID_MIN来的小。注意useradd此用法所建立的账号不会建立用户家目录，也不会在乎记录在/etc/login,defs.的定义值。如果你想要拥有用户家目录须额外指定-m参数来建立系统账号。这是Red HAT额外增设的选项。


-s shell  用户登入后使用的shell名称。默认值为不填写，这样系统会帮你指定预设的登入shell。


-u uid  用户的ID值。这个值必须是唯一的，除非用-o选项。数字不可为负值。


passwd 参数


-f , --force force operation #强制操作；仅root权限才能操作


-x,--maximum=DAYS #两次密码修改的最大天数，后面接数字；仅root权限操作


-n,--minimum=DAYS #两次密码修改的最小天数，后面接数字；仅root权限操作


-w,--warning=DAYS #在距多少天体系用户修改密码；仅root权限才能操作


-i,--inactive=DAYS #在密码过期后多少天，用户被禁掉；仅root权限才能操作


chage参数


-d,--lastday 最近日期 #将最近一次密码设置时间设为“最近日期”。


-E,--expiredate 过期日期 #将账户过期时间设为“过期日期”，日期写法：MM/DD/YY。


-h,--help #显示此帮助信息并退出


-i,-inactive 失效密码 #在密码过期后多少天，用户被禁掉；仅root权限才能操作


-l,--list #显示账户年龄信息


-m,-mindays 最小天数 #将两次改变密码之间相距的最小天数设为“最小天数”


-M,--maxdays 最大天数 #将两次改变密码之间相距的最大天数设为“最大天数”


-W，warndays 警告天数 #将过期警告天数设为“警告天数”


usermod参数


-c comment #增加用户账号/etc/passwd中的注释说明栏（第五栏）。-c参数功能也可使用功能chfn


命令来修改，当然也可以手工修改/etc/passwd文件来实现。


-d home_dir #更新用户新的家目录，如果给定-m选项，用户旧的家目录会搬到新的家目录去，


如旧的家目录不存在则创建新的。


-e expire_date #加上用户账户停止日期。日期格式：MM/DD/YY。


-f inactive_days #账号过期几日后永久停权。当值为0时账号则立即被停权。当值为-1时则关闭此功能，预 设值为-1.


-g initial_group #更新用户新的起始登入用户组。用户组名须已存在。用户组ID必须参照既有的用户组。用 户组ID预设值为1.


-G group ,[...] #定义用户为一堆groups的成员。每个用户使用“，”隔开。用户在名同-g选项的限制。


-l login_name 变更用户login时名称为login_name，其余信息不变。


-s shell 指定新用户登入shell。如此栏留白，系统将选用系统预设shell。这个-s参数功能也可以使用chsh命令来修改。当然也可以手工修改/etc/passwd文件来实现。


-u uid 指定用户的ID值。这个值必须是唯一的，除非用-o选项。数字不可为负值。


-L 冻结用户的密码，使之无法登录，实际就是间接修改/etc/shadow的密码栏。在密码栏的开头加上“！”号，即表示冻结。这个功能和usermod -e , chage -E或passwd -l等命令有类似功效，就是让用户无法正常登录。


-U 取消冻结用户的密码，使之恢复登录，实际同样是修改/etc/shadow的密码栏，在密码栏的开头取消“！”号，即表示恢复。


用户查询相关命令


id, finger, users, w, who, last, lastlog, groups


用户及日志查询：w who


查看用户登录信息：当前last  历史lastlog


查看用户所属：全部id 组groups主属和附加组users


su 切换用户


-，-l，-login make the shell a login shell 是一个shell成为登录的shell，如执行su - oldboy时，表示该用户想改变身份为oldboy，并且使用oldboy用户的环境配置，如：/home/oldboy/.bash_profile等。


-c，--command=COMMAND pass a single COMMAND to the with -c


切换到一个shell下，执行一个命令，然后退出所切换的用户环境。


-m, --preserve-environment do not reset environment variables,same as -p


切换用户时，不重置用户环境变量，-p的功能同-m，这个参数为su的默认值， 一般较少使用


不加“-”的话，家目录仍是root。


su - oldboy -c pwd 切到oldboy下执行pwd命令  切到用户下执行命令，但当前用户不变


由su和su -的区别谈学习linux运维方法  http://oldboy.blog.51cto.com/2561410/1053606 


env|grep -i 用户名 查看用户环境变量


sudo尚方宝剑


su切换用户方便，但有一些致命的缺点：


1）普通用户必须知道root密码才可以切换到root，这样root密码就泄露了。相当于把“刀把”交给了别人。


2）使用su命令切换身份，无法对切换后的身份做精细的控制，拿到别人超级权限的人可以为所欲为。甚至可以更改root密码，让真正的管理员无法拥有root权限。


为了既不泄露密码，又让普通用户拥有一定的超级权限，推出sudo命令。


通过sudo命令，我们可以把某些超级用户权限分类，有针对性授权给指定的普通用户，并且普通用户不需要知道root密码就可以得到root权限。


sudo的配置文件：/etc/sudoers


sudo命令执行的大概流程：


a）当用sudo执行命令时，系统首先会查找/var/run/sudo/%HOME（新用户会先生成此目录）目录中是否有用户时间戳文件，如果时间戳文件过期，则提示用户输入自身密码（注意：这里需要输入当前执行命令用户的密码，不是root后其他要切换的用户的密码）。


b）当密码验证成功后，系统查找/etc/sudoers配置文件，判断用户是否有执行相应sudo命令权限。


c）如果具备执行相应sudo权限，就会自动由当前用户切到root（或其他指定切换到的用户），然后以root（或其他指定的切换到的用户）身份角色执行该命令。


d）执行完成后，又会自动的直接退回到当前用户shell下（以root等身份执行任务）。


更改授权/etc/sudoers文件


1）执行visudo命令自动编辑/etc/sudoers文件（推荐）


visudo 在98行，为普通用户提权


sudo命令配置时环境配置一定是全路径。


2）直接修改/etc/sudoers文件方法（不推荐）


echo "oldboy  ALL=(ALL)  ALL" >> /etc/sudoers


visudo -c #检查语法


sudo参数


-l  列出用户在主机上可用和被禁止的命令；配置好sudo授权规则后，可用此参数查看授权情况


-v  验证用户时间戳；可跟踪最新时间戳


-u  指定以某个用户身份执行特定命令


-k  删除时间戳，下一个sudo命令要求提供密码


对用户组进行授权：


echo "%oldboy  ALL=(ALL)  ALL" >> /etc/sudoers  #配置oldboy组的授权，也可以通过visudo来更改。


tail -l /etc/sudoers  #查看授权配置


visudo -c  #检查语法


ls -l /etc/sudoers  #检查/etc/sudoers权限


usermod -g oldboy ett  #更改ett属于oldboy组


id ett  #查看更改结果


别名类型（Alias_Type）：


1）Host_Alias 定义主机别名


1.在生产场景中，一般不需要设置主机别名，在定义授权规则时可以通过ALL来匹配所有主机。


2.注意定义规范（Host_Alias  FILESERVERS  =  fs1,  fs2 #等号两边有空格逗号后面有空格），虽然不是必须的，但我们还是要求能够按照系统的标准来配置，这样可以避免意外的问题发生。


3.以上Host_Aliases内容截取自/etc/sudoers文件，并取消了注释。


4.其实就是逻辑上的主机组，当多台服务器共享一个/etc/sudoers时候会用到主机别名。


5.%oldboy  ALL=(ALL)  ALL #第一个ALL就是主机别名的应用位置。


6.%oldboy  FILESERVERS=(ALL)  ALL  #相当于里面有两台机器


2）User_Alias定义用户别名


1.设置用户别名也不是必须的，可以通过%groupname的方式来作为成员。


2.#User_Alias ADMINS = jsmith, mikem, %groupname


给ADMINS授权相当于同时授权给jsmith, mikem, %groupname


oldboy  ALL=(ALL)  ALL #oldboy就是主机别名的应用位置。


3）Runas_Alias 定义runas身份别名


1.这个别名指定的是“用户身份”，即sudo允许切换到的用户身份。


2.Runas_Alias定义的是用户可以执行sudo切换身份到Runas_Alias下包含的成员身份。


3.实际语法 Runas_Alias OP = root


4.oldboy  ALL=(ALL)  ALL #小括号中的第二个ALL的位置就是Runas_Alias别名的应用位置。


4）Cmnd_Alias定义命令别名


1.命令别名就是设置可以执行哪些命令。


2.oldboy  ALL=(ALL)  ALL #第三个ALL的位置就是命令别名的位置。


3.所有的命令别名下的成员必须是文件或目录的绝对路径。


4.命令别名超过一行，可用“\”换行。


5.在定义时，可以使用正则表达式，如/usr/bin/passwd [A-Za-z]*。


sudo授权，别名和具体授权配置的关系


用户和组


主机


可以切换的用户角色


命令


root


ALL=


（ALL）


ALL


User_Alias ADMINS = jsmith, mikem,  %groupname


Host_Alias FILESERVERS  =  fs1,  fs2


Runas_Alias OP = root


Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig


什么情况下使用上述别名？


工作中一般有多个系统用户，需要分类，分层次管理用户时。


别名应用


Linux系统安全最小原则


最小化原则对Linux系统安全来说极其重要：即多一事不如少一事。


具体包括：


▲安装Linux系统最小化，即选包最小化，yum安装软件包也要最小化，无用的包不装


▲开机自启动服务最小化，即无用的服务不开启。


▲操作命令最小化。例：能“rm -f a.txt”就不用“rm -fr a.txt”。


▲登录Linux用户最小化。平时没有特殊需求就不登录root，用普通用户登录即可。


▲普通用户授权最小化，即只给用户必须管理系统的命令，不能啥都可以干。


▲Linux系统文件及目录的权限设置最小化，禁止随意创建、更改、删除文件。


配置sudo命令用户行为日志审计


说明：所谓sudo命令日志审计，并不记录普通用户的普通操作。而是记录执行sudo命令的用户操作。


项目实战：简历中的经验说明


服务器日志审计项目提出与实施


1.权限方案实施后，权限得到了细化控制，接下来进一步实施对所有用户日志记录方案。


2.通过sudo和syslog（rsyslog）配合实现对所有用户进行日志审计并将记录集中管理（发送到中心日志服务器）。


3.实施后让所有运维和开发的所有执行的sudo管理命令都有记录可查，杜绝了内部人员的操作安全隐患。


生产环境企业日志审计解决方案：


所谓日志审计，就是所有系统及相关用户行为的信息，并且可以自动分析、处理、展示（包括文本或录像）


1）通过环境变量命令及rsyslog服务进行全部日志审计（信息太大）。


2）sudo配合rsyslog服务，进行日志审计（审计信息较少）


3）在bash解释器程序里嵌入一个监视器，让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。


4）齐治的堡垒机（齐治科技堡垒主机系统）：商业产品


https://wenku.baidu.com/view/76b3b3e6f18583d0486459 （齐治科技堡垒主机系统技术白皮书）


5）Python开发的开源产品


开源跳板机(堡垒机)Jumpserver部署详解


http://blog.51cto.com/zt/658


开源堡垒机CrazyEye


http://3060674.blog.51cto.com/3050674/1700814


sudo日志审计


1）安装sudo命令，syslog服务（Centoa6.4为rsyslog服务）


2）配置/var/sudoers（其实只要一行就可搞定sudo审计）


下面3,4可以不执行，直接切换到普通操作，然后查看/var/log/sudo.log有无记录。


3）配置文件系统日志/etc/rsyslog.conf（可以不配）


4）重启rsyslog内核日志记录器


日志集中管理


1）rsync+inotify或定时任务+rsync，推到日志管理器上，10.0.0.7_2013.0303.sudo.log


2）rsylog服务来处理。


echo "10.0.2.164 logserver" >> /etc/hosts #日志服务器地址


echo "*.info  @logserver" >> /etc/syslog.conf #时候所有日志推送


3）日志收集解决方案scribe,Flume,stom,logstash ELK等等。

/etc/default/useradd文件

/etc/default/useradd文件是在使用useradd添加用户时的一个需要调用的默认配置文件，可以使用 user -D 参数 这样的命令格式来修改文件里面的内容。可以通过vi 命令直接编辑。

用户密码管理

1、密码要复杂8位以上（字母数字特殊字符）

2、大的企业用户和密码统一管理（相当于活动目录，openldap）

3、动态密码：动态口令，第三方提供，或自己开发

用户删除管理

一般不能确认用户相关目录有没有重要数据，就不能用-r。

1、vi /etc/passwd然后注释掉用户，观察一个月，这样出问题可以还原，相当于操作前备份。

2、把登录shell改成/sbin/nologin。

3、openldap（类似活动目录）账号统一管理的，ldap库里干掉用户，所有服务器全部都没了。

提示：修改删除必须小心谨慎！

useradd参数

-c comenment 新账号passwd的说明栏

-d home_dir  新账号每次登入是所使用的home_dir。预设值为default_home内login名称，并当成登入时目录名称。

-e expire_date 账号终止日期。日期格式为MM/DD/YY。重点

-f inactive_days账号过期几日后永久停止权限。当值为0时账号则被立即停用。当值为-1时则关闭此功能。

-g initial_group group名称或以数字来做为用户登入起始用户组。用户组名须为系统现有存在的名称。用户组数字也须为系统现有存在的名称。用户组数字也须为系统现有存在的用户组。预设数字为1.

-G group,[...]  定义此用户为不同groups的成员。每个用户组使用“，”分隔。用户组名同-g选项的限制。默认值为用户的起始用户组。重点

-m  用户目录如不存在则自动建立。如使用-k选项，skeleton——dir内的档案将复制至用户目录下，然而在/etc/skel目录下的档案也会复制过去取代。任何在skeleton_dir /etc/skel的目录也相同会在用户目录下意义建立。The-k 同-m不建立目录以及不复制任何档案为预设值。

-M  不建立用户家目录，优先于/etc/login.defs文件的设定。一般创建虚拟用户时不建立家目录，部署服务时需要创建虚拟用户。重点

-n  默认情况用户的用户组与用户的名称会相同。如果命令加了-n参数，就不会生成和用户同名的用户组了。

-r  此参数是用来建立系统账号。系统账号的UID会比定义在系统档上/etc/login.defs.的UID_MIN来的小。注意useradd此用法所建立的账号不会建立用户家目录，也不会在乎记录在/etc/login,defs.的定义值。如果你想要拥有用户家目录须额外指定-m参数来建立系统账号。这是Red HAT额外增设的选项。

-s shell  用户登入后使用的shell名称。默认值为不填写，这样系统会帮你指定预设的登入shell。

-u uid  用户的ID值。这个值必须是唯一的，除非用-o选项。数字不可为负值。

passwd 参数

-f , --force force operation #强制操作；仅root权限才能操作

-x,--maximum=DAYS #两次密码修改的最大天数，后面接数字；仅root权限操作

-n,--minimum=DAYS #两次密码修改的最小天数，后面接数字；仅root权限操作

-w,--warning=DAYS #在距多少天体系用户修改密码；仅root权限才能操作

-i,--inactive=DAYS #在密码过期后多少天，用户被禁掉；仅root权限才能操作

chage参数

-d,--lastday 最近日期 #将最近一次密码设置时间设为“最近日期”。

-E,--expiredate 过期日期 #将账户过期时间设为“过期日期”，日期写法：MM/DD/YY。

-h,--help #显示此帮助信息并退出

-i,-inactive 失效密码 #在密码过期后多少天，用户被禁掉；仅root权限才能操作

-l,--list #显示账户年龄信息

-m,-mindays 最小天数 #将两次改变密码之间相距的最小天数设为“最小天数”

-M,--maxdays 最大天数 #将两次改变密码之间相距的最大天数设为“最大天数”

-W，warndays 警告天数 #将过期警告天数设为“警告天数”

usermod参数

-c comment #增加用户账号/etc/passwd中的注释说明栏（第五栏）。-c参数功能也可使用功能chfn

命令来修改，当然也可以手工修改/etc/passwd文件来实现。

-d home_dir #更新用户新的家目录，如果给定-m选项，用户旧的家目录会搬到新的家目录去，

如旧的家目录不存在则创建新的。

-e expire_date #加上用户账户停止日期。日期格式：MM/DD/YY。

-f inactive_days #账号过期几日后永久停权。当值为0时账号则立即被停权。当值为-1时则关闭此功能，预 设值为-1.

-g initial_group #更新用户新的起始登入用户组。用户组名须已存在。用户组ID必须参照既有的用户组。用 户组ID预设值为1.

-G group ,[...] #定义用户为一堆groups的成员。每个用户使用“，”隔开。用户在名同-g选项的限制。

-l login_name 变更用户login时名称为login_name，其余信息不变。

-s shell 指定新用户登入shell。如此栏留白，系统将选用系统预设shell。这个-s参数功能也可以使用chsh命令来修改。当然也可以手工修改/etc/passwd文件来实现。

-u uid 指定用户的ID值。这个值必须是唯一的，除非用-o选项。数字不可为负值。

-L 冻结用户的密码，使之无法登录，实际就是间接修改/etc/shadow的密码栏。在密码栏的开头加上“！”号，即表示冻结。这个功能和usermod -e , chage -E或passwd -l等命令有类似功效，就是让用户无法正常登录。

-U 取消冻结用户的密码，使之恢复登录，实际同样是修改/etc/shadow的密码栏，在密码栏的开头取消“！”号，即表示恢复。

用户查询相关命令

id, finger, users, w, who, last, lastlog, groups

用户及日志查询：w who

查看用户登录信息：当前last  历史lastlog

查看用户所属：全部id 组groups主属和附加组users

su 切换用户

-，-l，-login make the shell a login shell 是一个shell成为登录的shell，如执行su - oldboy时，表示该用户想改变身份为oldboy，并且使用oldboy用户的环境配置，如：/home/oldboy/.bash_profile等。

-c，--command=COMMAND pass a single COMMAND to the with -c

切换到一个shell下，执行一个命令，然后退出所切换的用户环境。

-m, --preserve-environment do not reset environment variables,same as -p

切换用户时，不重置用户环境变量，-p的功能同-m，这个参数为su的默认值， 一般较少使用

不加“-”的话，家目录仍是root。

su - oldboy -c pwd 切到oldboy下执行pwd命令  切到用户下执行命令，但当前用户不变

由su和su -的区别谈学习linux运维方法  http://oldboy.blog.51cto.com/2561410/1053606 

env|grep -i 用户名 查看用户环境变量

sudo尚方宝剑

su切换用户方便，但有一些致命的缺点：

1）普通用户必须知道root密码才可以切换到root，这样root密码就泄露了。相当于把“刀把”交给了别人。

2）使用su命令切换身份，无法对切换后的身份做精细的控制，拿到别人超级权限的人可以为所欲为。甚至可以更改root密码，让真正的管理员无法拥有root权限。

为了既不泄露密码，又让普通用户拥有一定的超级权限，推出sudo命令。

通过sudo命令，我们可以把某些超级用户权限分类，有针对性授权给指定的普通用户，并且普通用户不需要知道root密码就可以得到root权限。

sudo的配置文件：/etc/sudoers

sudo命令执行的大概流程：

a）当用sudo执行命令时，系统首先会查找/var/run/sudo/%HOME（新用户会先生成此目录）目录中是否有用户时间戳文件，如果时间戳文件过期，则提示用户输入自身密码（注意：这里需要输入当前执行命令用户的密码，不是root后其他要切换的用户的密码）。

b）当密码验证成功后，系统查找/etc/sudoers配置文件，判断用户是否有执行相应sudo命令权限。

c）如果具备执行相应sudo权限，就会自动由当前用户切到root（或其他指定切换到的用户），然后以root（或其他指定的切换到的用户）身份角色执行该命令。

d）执行完成后，又会自动的直接退回到当前用户shell下（以root等身份执行任务）。

更改授权/etc/sudoers文件

1）执行visudo命令自动编辑/etc/sudoers文件（推荐）

visudo 在98行，为普通用户提权

sudo命令配置时环境配置一定是全路径。

2）直接修改/etc/sudoers文件方法（不推荐）

echo "oldboy  ALL=(ALL)  ALL" >> /etc/sudoers

visudo -c #检查语法

sudo参数

-l  列出用户在主机上可用和被禁止的命令；配置好sudo授权规则后，可用此参数查看授权情况

-v  验证用户时间戳；可跟踪最新时间戳

-u  指定以某个用户身份执行特定命令

-k  删除时间戳，下一个sudo命令要求提供密码

对用户组进行授权：

echo "%oldboy  ALL=(ALL)  ALL" >> /etc/sudoers  #配置oldboy组的授权，也可以通过visudo来更改。

tail -l /etc/sudoers  #查看授权配置

visudo -c  #检查语法

ls -l /etc/sudoers  #检查/etc/sudoers权限

usermod -g oldboy ett  #更改ett属于oldboy组

id ett  #查看更改结果

别名类型（Alias_Type）：

1）Host_Alias 定义主机别名

1.在生产场景中，一般不需要设置主机别名，在定义授权规则时可以通过ALL来匹配所有主机。

2.注意定义规范（Host_Alias  FILESERVERS  =  fs1,  fs2 #等号两边有空格逗号后面有空格），虽然不是必须的，但我们还是要求能够按照系统的标准来配置，这样可以避免意外的问题发生。

3.以上Host_Aliases内容截取自/etc/sudoers文件，并取消了注释。

4.其实就是逻辑上的主机组，当多台服务器共享一个/etc/sudoers时候会用到主机别名。

5.%oldboy  ALL=(ALL)  ALL #第一个ALL就是主机别名的应用位置。

6.%oldboy  FILESERVERS=(ALL)  ALL  #相当于里面有两台机器

2）User_Alias定义用户别名

1.设置用户别名也不是必须的，可以通过%groupname的方式来作为成员。

2.#User_Alias ADMINS = jsmith, mikem, %groupname

给ADMINS授权相当于同时授权给jsmith, mikem, %groupname

oldboy  ALL=(ALL)  ALL #oldboy就是主机别名的应用位置。

3）Runas_Alias 定义runas身份别名

1.这个别名指定的是“用户身份”，即sudo允许切换到的用户身份。

2.Runas_Alias定义的是用户可以执行sudo切换身份到Runas_Alias下包含的成员身份。

3.实际语法 Runas_Alias OP = root

4.oldboy  ALL=(ALL)  ALL #小括号中的第二个ALL的位置就是Runas_Alias别名的应用位置。

4）Cmnd_Alias定义命令别名

1.命令别名就是设置可以执行哪些命令。

2.oldboy  ALL=(ALL)  ALL #第三个ALL的位置就是命令别名的位置。

3.所有的命令别名下的成员必须是文件或目录的绝对路径。

4.命令别名超过一行，可用“\”换行。

5.在定义时，可以使用正则表达式，如/usr/bin/passwd [A-Za-z]*。

sudo授权，别名和具体授权配置的关系

用户和组	主机	可以切换的用户角色	命令
root	ALL=	（ALL）	ALL
User_Alias ADMINS = jsmith, mikem,  %groupname	Host_Alias FILESERVERS  =  fs1,  fs2	Runas_Alias OP = root	Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig

什么情况下使用上述别名？

工作中一般有多个系统用户，需要分类，分层次管理用户时。

别名应用

Linux系统安全最小原则

最小化原则对Linux系统安全来说极其重要：即多一事不如少一事。

具体包括：

▲安装Linux系统最小化，即选包最小化，yum安装软件包也要最小化，无用的包不装

▲开机自启动服务最小化，即无用的服务不开启。

▲操作命令最小化。例：能“rm -f a.txt”就不用“rm -fr a.txt”。

▲登录Linux用户最小化。平时没有特殊需求就不登录root，用普通用户登录即可。

▲普通用户授权最小化，即只给用户必须管理系统的命令，不能啥都可以干。

▲Linux系统文件及目录的权限设置最小化，禁止随意创建、更改、删除文件。

配置sudo命令用户行为日志审计

说明：所谓sudo命令日志审计，并不记录普通用户的普通操作。而是记录执行sudo命令的用户操作。

项目实战：简历中的经验说明

服务器日志审计项目提出与实施

1.权限方案实施后，权限得到了细化控制，接下来进一步实施对所有用户日志记录方案。

2.通过sudo和syslog（rsyslog）配合实现对所有用户进行日志审计并将记录集中管理（发送到中心日志服务器）。

3.实施后让所有运维和开发的所有执行的sudo管理命令都有记录可查，杜绝了内部人员的操作安全隐患。

生产环境企业日志审计解决方案：

所谓日志审计，就是所有系统及相关用户行为的信息，并且可以自动分析、处理、展示（包括文本或录像）

1）通过环境变量命令及rsyslog服务进行全部日志审计（信息太大）。

2）sudo配合rsyslog服务，进行日志审计（审计信息较少）

3）在bash解释器程序里嵌入一个监视器，让所有被审计的系统用户使用修改过的增加了监视器的特殊bash程序作为解释程序。

4）齐治的堡垒机（齐治科技堡垒主机系统）：商业产品

https://wenku.baidu.com/view/76b3b3e6f18583d0486459 （齐治科技堡垒主机系统技术白皮书）

5）Python开发的开源产品

开源跳板机(堡垒机)Jumpserver部署详解

http://blog.51cto.com/zt/658

开源堡垒机CrazyEye

http://3060674.blog.51cto.com/3050674/1700814

sudo日志审计

1）安装sudo命令，syslog服务（Centoa6.4为rsyslog服务）

2）配置/var/sudoers（其实只要一行就可搞定sudo审计）

下面3,4可以不执行，直接切换到普通操作，然后查看/var/log/sudo.log有无记录。

3）配置文件系统日志/etc/rsyslog.conf（可以不配）

4）重启rsyslog内核日志记录器

日志集中管理

1）rsync+inotify或定时任务+rsync，推到日志管理器上，10.0.0.7_2013.0303.sudo.log

2）rsylog服务来处理。

echo "10.0.2.164 logserver" >> /etc/hosts #日志服务器地址

echo "*.info  @logserver" >> /etc/syslog.conf #时候所有日志推送

3）日志收集解决方案scribe,Flume,stom,logstash ELK