当前位置：首页 > news >正文

学习黑客 Linux用户管理

news 2025/5/10 19:14:34

闭关提要
身怀《山河剑典》的韩立，在练气期第二卷中悟得 “万象皆账号” 之理：一台 Linux 主机，其用户、组与权限宛如修者经脉、灵根与真元；调理得当，系统灵气顺畅，若滥设弱口令、错配 sudoers，则走火入魔。下文按修炼顺序——“识经脉 → 结灵根 → 洗髓换骨 → 智慧护体”——详解 Linux 用户管理，辅以《Station X Cheat-Sheet》精华与 IANA、Red Hat、GfG 等卷宗。

🌱 识经脉：账号三文件 & UID/GID 体系

`/etc/passwd` — 七段灵纹

每行由 : 分隔的 7 段字段：用户名:密码占位符:UID:GID:注释:主目录:登录 Shell，系统进程读取公开信息而不暴露密码哈希(Linux 文档项目)。

`/etc/shadow` — 暗纹金册

仅 root 与 shadow 组可读，存储加盐哈希、密码到期时间等敏感数据，权限默认为 640(Linux Tips, Tricks and Tutorials)。

`/etc/group` — 灵根宗谱

记录组名、GID 与附属成员；补充 /etc/gshadow 存储组口令。

UID/GID 段位

0：至尊 root；
1–999：系统服务账号（daemon、mysql 等）(systemd)；
1000+：凡人用户；超出 65534 为 nobody。
同理，GID 映射组级身份(The world’s open source leader)。

🛠️ 结灵根：创建与删除用户

sudo useradd -m -s /bin/bash liulang     # 建立“流浪”修者并自动创家目录
sudo passwd liulang                      # 赋予门派口令

useradd 支持 -u 自定 UID、-g 指定主组、-G 附属组、-e 到期日等参数(StrongDM)。若发行版自带简化脚本 adduser，其会交互式完成同步动作(Linux 文档项目)。

删除修者：

sudo userdel -r liulang   # -r 同时荡平家目录

若残留进程占用 UID，将拒绝删除；需先 pkill -u 清理活动会话。

🔄 洗髓换骨：usermod 深度炼化

场景	咒语	说明
改登录名	`usermod -l hanxin liulang`	UID 不变，凡号更迭
改主目录	`usermod -d /home/hanxin -m hanxin`	`-m` 自动迁移文件
添附属组	`usermod -aG sudo,video hanxin`	`-a` 叠加而非覆盖
锁定账号	`usermod -L hanxin` / `passwd -l`	为密码加前缀 `!`
上述法门均来自 GeeksforGeeks 与 Tecmint 实践示例(GeeksforGeeks, LFCS认证备考电子书)。

🔐 智慧护体：密码与账号生命周期

强制更密：chage -d 0 hanxin 令下次登录立刻改密；chage -M 90 -W 7 hanxin 设 90 天轮换、提前 7 天警示(The world’s open source leader)。
查看到期：chage -l hanxin；超期登录将提示 “Password expired”。
passwd -n 7 -x 90 -w 7 hanxin 亦可一次设最小/最大/警告周期(GeeksforGeeks)。

🧑‍🤝‍🧑 宗门运转：组管理

sudo groupadd alchemy          # 开宗立派
sudo usermod -aG alchemy hanxin
sudo gpasswd -d hanxin alchemy # 驱逐叛徒
sudo groupdel alchemy

groupadd -g 手动指定 GID；gpasswd 可设组口令或管理员队列(The world’s open source leader)。

⚡ 乾坤借法：sudo / su 权限链

sudoers 基础

编辑应使用 visudo，它会锁文件并语法校验，防止误写导致无法 sudo (数字海洋)；若多文件目录 /etc/sudoers.d/，文件需无扩展名且权限 0440。

# 韩立可密码免 sudo systemctl；严禁 ALL
hanli ALL=(root) NOPASSWD: /bin/systemctl restart *

在 Ask Ubuntu 论剑帖，“直接 vi sudoers 导致锁死” 的事故比比皆是(Ask Ubuntu)。

su 与组控制

给予普通用户 wheel 组（CentOS）或 sudo 组（Ubuntu）即可 su -；若不愿公开 root 密码，应首选 sudo。

🛡️ 护宗法则：最佳实践

最小权限：仅授业务脚本而非 /bin/bash；禁通配符 * 与 NOPASSWD:ALL。
审计：启用 auditd -w /etc/passwd -p wa、ausearch -x useradd 追踪异常。
系统账号隔离：服务跑专属 UID/GID、禁 Shell，见 systemd.io UID 规范(systemd)。
定期体检：awk -F: '$3==0{print $1}' /etc/passwd 查 UID 0 克隆者；find / -perm /4000 扫 SUID 装备。

⚔️ 门派试炼：动手挑战

炼器：写脚本批量读取 /etc/passwd 并输出同组成员。
幻阵：利用 Docker 创建 uid 2001 的“镜像修者”，测试跨容器映射。
夺舍：配置 sudoers 仅允许 tcpdump -i eth0，使用 -z 切换运行用户，体验安全转授权。

📚 卷宗一览

TLDP《Managing Users》章节（创建/删除/修改）(Linux 文档项目)
systemd.io UID/GID 范围官方文书(systemd)
StrongDM “useradd 教程” 最新实战 (StrongDM)
GeeksforGeeks usermod & groupdel 全示例 (GeeksforGeeks, GeeksforGeeks)
Red Hat 博客：组管理与 chage 实践 (The world’s open source leader, The world’s open source leader)
DigitalOcean《安全编辑 sudoers》指南 (数字海洋)
AskUbuntu 解析 visudo 机制 (Ask Ubuntu)
Linuxize /etc/shadow 格式解读 (Linux Tips, Tricks and Tutorials)
Red Hat UID/GID 文章（root=0 背景）(The world’s open source leader)
Tecmint usermod 进阶技巧 (LFCS认证备考电子书)