刚收到在腾讯云申请的云服务器8台,现在准备分配给不同项目组来使用。为了确保系统及账号的安全,root账号不能直接给到他们。因为root的权限太大,任何的误操作就可能导致系统异常或者数据丢失找不回来。而且我们这是生产环境,账号会被多人使用到。
链接虚拟机
这个可以使用现成的工具如Putty、XShell、SecureCRT、SSH Secure、Shell Slient等都可以帮助我们快速链接Centos虚拟机,这里我喜欢用XShell搭配XFtp相当的好用。在XShell中新建一个链接,输入你的虚拟机IP创建链接,然后输入用户名root和密码即可直接登录。
Linux系统用户
Linux系统是一个多用户多任务的操作系统,每个用户都有一个独立的身份号码(UID)。不同的用户通过不同的UID来识别,同时Linux将用户分为了3类分别是超级用户(UID为0)、系统用户(UID为1~499)、普通用户(UID为500~65534)。超级用户(也就是root)拥有最大的权限(几乎不受限制),可以执行任何操作,但也容易造成不可逆的损失。因此为安全起见,建议不要轻易的在root账户下面对文件进行操作。该账号在Linux操作系统的字符界面,普通用户的提示符为#。系统用户是Linux系统正常工作所必需的内建的用户,一般是用于管理服务所用。系统用户不能用来登陆。普通用户是为了让使用者能够使用Linux系统资源而建立的,我们平时创建的账号一般都是普通账号。这类用户的权限会受到基本权限的限制,也会受到来自管理员的限制。该账号在Linux操作系统的字符界面,普通用户的提示符为$。
创建新用户
Centos新建账号可以通过命令:adduser 来创建账号,普通用户的权限只在本home下拥有完整权限,其他目录则需要根据授权来使用。如果在操作时需要root用户的权限,可以通过sudo命令来允许已验证的用户以root用户的身份来执行命令。创建用户之后别忘了给用户初始化密码,通过命令:passwd 指定需要设置密码的账号,然后输入符合密码规则的密码两次,Linux会判断密码复杂度(密码长度至少8位)。
通过adduser添加的用户为普通用户,此类用户的权限被基本权限的限制也会受到来自管理员的限制。普通用户在安装或者执行一些命令的时候会提示权限不够,需要提升至root权限方可执行。所以我们经常会给新创建的用户赋予root权限,但这个root授权并不是拥有了root的所以权限,因为只能执行root规定好的一些操作命令。
sudo权限
sudo是Linux系统管理指令,允许已验证的用户临时使用 root 权限来执行命令。当然这个普通用户必须在/etc/sudoers 文件中有配置项、才具有使用 sudo 的权利。有时候普通用户需要使用到root权限,就比如在安装软件的时候。通过adduser添加的用户并不具备sudo权限,当你直接使用sudo命令的时候会弹出错误:opera is not in the sudoers file. This incident will be reported(opera是用户名)。
添加sudo权限
sudo是允许系统管理员让普通用户执行一些或者全部root命令的工具。Linux系统下为了安全一般来说我们操作都是在普通用户下操作,但是有时候普通用户需要使用root权限,比如在安装软件的时候。这个时候如果我们切回root用户下效率就会比较低,所以用sudo命令就会很方便。
添加到root组授权
通过adduser添加的用户并不具备sudo权限,在ubuntu/centos等系统下可以将用户加入root组, 使其具备root组的权限。修改/etc/sudoers文件找到“%wheel ALL=(ALL) ALL”下面添加root用户组,然后通过usermod命令将普通用户加入到root组中。这样该用户就可以拥有root组的权限了,用普通帐号登录后在命令前添加sudo即可获得root权限进行操作。
sudoers文件扩展
sudoers是用来限制sudo的配置文件,该文件默认为只读所以修改前需要先增加sudoers文件的写的权限。在root下通过命令:chmod -v u+w /etc/sudoers 可以将sudoers赋予写的权限,改完之后记得把权限改回来!sudoers中为用户权限提供了2个模板分别对应用户和用户组,我们可以根据需求来自行配置参数。
给用户授权root
同样是修改/etc/sudoers文件,在用户模块中添加用户sudo权限。找到“root ALL=(ALL) ALL”一行在其下面添加一行,写入普通用户的授权配置。这里的第一个ALL指示允许从任何终端、机器访问sudo,第二个 (ALL) 指sudo命令被允许以任何用户身份执行,第三个ALL表示所有命令都可以作为root执行。
修改passwd文件
/etc/passwd文件存储的是操作系统用户信息,信息格式:用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell(name:password:uid:gid:comment:home:shell)。这里我们可以通过修改用户标识号uid改变用户的权限,用户登录进系统后系统会通过该值来识别用户而不是用户名。这个值的取值范围是0-65535。0是超级用户root的标识号,1-99由系统保留作为管理账号,普通用户的标识号从100开始。
总结:
修改passwd文件风险太大了(用户直接变成root),不推荐使用!我们可以通过定义用户组并给对应的组分配指定的权限来限制用户的使用权限,在sudoers文件中我们可以写入用户组的授权配置。以上内容是小编给大家分享的【Linux实战014:Centos创建用户并添加root授权】。希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。更多Linux实战技巧可以参考以下专栏:
为了方便学习,下面附上本文用到的源码:
# chmod -v u+w /etc/sudoers // 增加文件写入权限mode of "/etc/sudoers" changed from 0440 (r--r-----) to 0640 (rw-r-----)您在 /var/spool/mail/root 中有新邮件# vim /etc/sudoers## Allows people in group wheel to run all commands%wheel ALL=(ALL) ALL#%root ALL=(ALL) ALL // 执行任何命令需要输入密码%root ALL=(ALL) NOPASSWD:ALL // 不输入密码执行任何命令# chmod 440 /etc/sudoers // 恢复的访问权限为440# usermod -g root demo // 加入root用户组// 用户权限设置## Allow root to run any commands anywhere root ALL=(ALL) ALL // 允许root用户执行任意路径下的任意命令用户名 被管理主机的地址 =(用户)授权命令(绝对路径)// 用户组权限设置## Allows people in group wheel to run all commands%wheel ALL=(ALL) ALL // 允许wheel用户组中的用户执行所有命令%组名 被管理主机的地址 =(用户)授权命令(绝对路径)## Allow root to run any commands anywhere root ALL=(ALL) ALL#zhang ALL=(ALL) ALL // 执行任何命令需要输入密码zhang ALL=(ALL) NOPASSWD:ALL // 执行任何命令无需输入密码