2021-11-11 14:21:25
我们刚刚收到腾讯云申请的8个云服务器,现在准备分配给不同的项目团队使用。为了保证系统和账号的安全,根账号不能直接给他们。由于root权限过大,任何误操作都可能导致系统异常或数据丢失。而且这是我们的生产环境,账号会被很多人使用。
链接虚拟机
这个现成的工具,比如Putty、XShell、SecureCRT、SSH Secure、Shell Slient等。可以帮助我们快速链接Centos虚拟机。在这里,我喜欢把XShell和XFtp一起使用,相当好用。在XShell中创建新链接,输入您的虚拟机IP创建链接,然后输入用户名root和密码直接登录。
Linux系统用户
Linux是一个多用户多任务的操作系统,每个用户都有一个独立的ID号(UID)。不同的用户由不同的用户指南识别。同时,Linux将用户分为三类:超级用户(UID 0)、系统用户(UID 1 ~ 499)和普通用户(UID 500 ~ 65534)。超级用户(root)拥有最大权限(几乎无限制),可以执行任何操作,但也容易造成不可逆的损失。因此,出于安全考虑,建议不要轻易操作根账户下的文件。账号在Linux操作系统的字符界面,普通用户的提示是#。用户是Linux系统正常运行所必需的内置用户,一般用于管理服务。系统无法用于登录。普通用户是为了让用户能够使用Linux系统资源而建立的。我们通常创建的账户是普通账户。这类用户的权限将受到基本权限和管理员权限的限制。账号在Linux操作系统的字符界面,普通用户的提示是$
创建新用户
Centos可以通过以下命令创建帐户:adduser username。普通用户只有这个主目录下有完全权限,其他目录需要根据授权使用。如果在操作过程中需要root用户的权限,则可以使用sudo命令来允许经过身份验证的用户作为root用户执行该命令。创建用户后,不要忘记为用户初始化密码。通过命令:passwd username指定带有密码的帐户,然后输入符合密码规则的密码两次。Linux会判断密码复杂度(密码长度至少8位数)。
普通用户权限
adduser添加的用户为普通用户,此类用户的权限受基本权限限制,也受管理员限制。普通用户在安装或执行某些命令时,会提示权限不足,需要升级为root权限后才能执行。因此,我们经常给新创建的用户root权限,但是这个root权限并不具备root的所有权限,因为只能执行root指定的一些操作命令。
sudo权限
Sudo是一个Linux系统管理指令,允许经过身份验证的用户以root权限临时执行命令。当然,这个普通用户必须在/etc/sudoers文件中有一个配置项,才有权使用sudo。有时候普通用户需要使用root权限,比如安装软件的时候。通过adduser添加的用户没有sudo权限,直接使用sudo命令时,会弹出一个错误:Opera不在sudoers文件中。将报告此事件(Opera是用户名)。
n/wp-content/uploads/2021/11/2021111114125065.jpg">添加sudo权限
sudo是允许系统管理员让普通用户执行一些或者全部root命令的工具。Linux系统下为了安全一般来说我们操作都是在普通用户下操作,但是有时候普通用户需要使用root权限,比如在安装软件的时候。这个时候如果我们切回root用户下效率就会比较低,所以用sudo命令就会很方便。
添加到root组授权
通过adduser添加的用户并不具备sudo权限,在ubuntu/centos等系统下可以将用户加入root组, 使其具备root组的权限。修改/etc/sudoers文件找到“%wheel ALL=(ALL) ALL”下面添加root用户组,然后通过usermod命令将普通用户加入到root组中。这样该用户就可以拥有root组的权限了,用普通帐号登录后在命令前添加sudo即可获得root权限进行操作。
sudoers文件扩展
sudoers是用来限制sudo的配置文件,该文件默认为只读所以修改前需要先增加sudoers文件的写的权限。在root下通过命令:chmod -v u+w /etc/sudoers 可以将sudoers赋予写的权限,改完之后记得把权限改回来!sudoers中为用户权限提供了2个模板分别对应用户和用户组,我们可以根据需求来自行配置参数。
给用户授权root
同样是修改/etc/sudoers文件,在用户模块中添加用户sudo权限。找到“root ALL=(ALL) ALL”一行在其下面添加一行,写入普通用户的授权配置。这里的第一个ALL指示允许从任何终端、机器访问sudo,第二个 (ALL) 指sudo命令被允许以任何用户身份执行,第三个ALL表示所有命令都可以作为root执行。
修改passwd文件
/etc/passwd文件存储的是操作系统用户信息,信息格式:用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell(
name:password:uid:gid:comment:home:shell)。这里我们可以通过修改用户标识号uid改变用户的权限,用户登录进系统后系统会通过该值来识别用户而不是用户名。这个值的取值范围是0-65535。0是超级用户root的标识号,1-99由系统保留作为管理账号,普通用户的标识号从100开始。
总结:
修改passwd文件风险太大了(用户直接变成root),不推荐使用!我们可以通过定义用户组并给对应的组分配指定的权限来限制用户的使用权限,在sudoers文件中我们可以写入用户组的授权配置。以上内容是小编给大家分享的【Linux实战014:Centos创建用户并添加root授权】。希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。更多Linux实战技巧可以参考以下专栏:
为了方便学习,下面附上本文用到的源码:
# chmod -v u+w /etc/sudoers // 增加文件写入权限
mode of "/etc/sudoers" changed from 0440 (r--r-----) to 0640 (rw-r-----)
您在 /var/spool/mail/root 中有新邮件
# vim /etc/sudoers
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL
#%root ALL=(ALL) ALL // 执行任何命令需要输入密码
%root ALL=(ALL) NOPASSWD:ALL // 不输入密码执行任何命令
# chmod 440 /etc/sudoers // 恢复的访问权限为440
# usermod -g root demo // 加入root用户组
// 用户权限设置
## Allow root to run any commands anywhere
root ALL=(ALL) ALL // 允许root用户执行任意路径下的任意命令
用户名 被管理主机的地址 =(用户)授权命令(绝对路径)
// 用户组权限设置
## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL // 允许wheel用户组中的用户执行所有命令
%组名 被管理主机的地址 =(用户)授权命令(绝对路径)
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
#zhang ALL=(ALL) ALL // 执行任何命令需要输入密码
zhang ALL=(ALL) NOPASSWD:ALL // 执行任何命令无需输入密码
