3.26Day19 사용자 생성 및 권한 부여

어떻게 써요
1. 일반 사용자에게 먼저 로그인하고, 일이 없으면 루트에 로그인할 수 없습니다.
실행해야 할 작업만 루트 권한이 필요할 때 사용합니다.(시스템 유지 관리 채널)
수로 관리하다.루트 비밀번호, 보안 위험을 알아야 합니다.
필요: 1. 루트 비밀번호 없이 서버 관리 가능
관리 서버를 최소화하고, 전원을 끄려면halt 권한만 줍니다.
sudu 명령: 최소화된 권한 (단일 명령) 으로 명령을 실행할 수 있습니다. 루트 사용자의 권한이 있습니다.
suid: 명령을 실행하는 모든 사용자에게 루트 신분이 있는 사용자
sodu: 사용자에게 루트로 명령을 실행하여 지정한 사용자를 지정합니다
sudo는 권한을 부여하는 명령입니다. (대응 권한은/etc/sudoers 파일을 통해 이루어집니다)
설정/etc/sudoers는visudo 명령을 사용하거나vim/etc/sudots
visudo를 입력하여 편집 상태로 들어가서 oldboy 명령 사용 권한을 변경합니다
sudo 명령:
최소화할 수 있는 권한 (단일 명령), 명령을 실행할 때 루트 사용자의 권한
SUID 명령에 대해 모든 사용자가 실행하는 명령에는 루트 ID가 있습니다.모든 사용자가 명령을 실행합니다: 흐림
SUDO는 사용자를 대상으로 루트로 명령을 실행합니다.사용자가 실행할 명령을 지정합니다: 구체적.
설정 sudo는 어떻게 편집합니까?
sudo는 권한이 있는 명령입니다. (대응 권한은 읽기/etc/sudoers (엄격한 문법) 파일을 통해 이루어집니다)
/etc/sudoers 설정은visudo 명령을 사용하거나vim/etc/sudoers (추천하지 않음)
[oldboy@oldboyedu ~]$ ls/root
ls: cannot open directory/root: Permission denied
위의 동작을 완성하다.
oldboy 사용자에게 ls에 대한 권한을 설정합니다.
visudo 편집 상태(100G에서 100행으로 전환)
그리고 권한 증감 작업을 진행합니다. ALL은 루트 권한과 같이 명령 경로를 추가하는 것이 하나의 권한임을 나타냅니다.

Allow root to run any commands anywhere

root ALL=(ALL) ALL
oldboy ALL=(ALL)/usr/bin/ls #<== 한 줄 추가
사용자 호스트 = (역할) 명령
주의하다
추가 명령이 여러 개 사용되려면 쉼표로 구분합니다
1. 경로는 전체 경로which+명령으로 전체 경로를 조회해야 한다
2,vim/etc/sudoers를 사용하지 말고 굳이 사용하려면 -c검사를 하세요
Which 플러스 명령은 전체 경로를 조회합니다.
oldboy는 관리자이며 비밀번호를 사용하지 않습니다.
oldboy ALL=(ALL) NOPASSWD: ALL(비밀번호 없음)
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
[root@oldboyedu ~]# su - oldboy
Last login: Tue Mar 26 10:44:08 CST 2019 on pts/3
[oldboy@oldboyedu ~]$ ls/root
ls: cannot open directory/root: Permission denied
[oldboy@oldboyedu ~]$ sudo -l
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.

#2) Think before you type.

#3) With great power comes great responsibility.

[sudo] password for oldboy:
Matching Defaults entries for oldboy on oldboyedu:
User oldboy may run the following commands on oldboyedu:

(ALL) /bin/ls

[oldboy@oldboyedu ~]$ sudo ls/root
a.txt c.txt data1 etc oldboy oldboy_b oldboy_soft_link pass test.txt user.log
b.txt d d.txt grep.txt oldboy_1.txt oldboyedu.txt oldboy.txt test test.txt.ori
[oldboy@oldboyedu ~]$ ls/root
ls: cannot open directory/root: Permission denied
[oldboy@oldboyedu ~]$
Sudu 작동 방식
범례 14-17: 새 사용자range를 만들고 7일 동안 비밀번호를 변경할 수 없습니다.
60일 이후에는 비밀번호를 수정해야 하며, 만료 10일 전에는 사용자에게 통지하고, 만료 후 30일 후에는 로그인을 금지해야 한다.
chage -m7 -M60 -W10 -I30 oldboy
연락처 영문:
Options:
-d, --lastday LAST_DAY set date of last password change to LAST_DAY
-E, --expiredate EXPIRE_DATE set account expiration date to EXPIRE_DATE
-h, --help display this help message and exit
-I, --inactive INACTIVE set password inactive after expiration

                            to INACTIVE

-l, --list show account aging information
-m, --mindays MIN_DAYS set minimum number of days before password

                            change to MIN_DAYS

-M, --maxdays MAX_DAYS set maximim number of days before password

                            change to MAX_DAYS

-R, --root CHROOT_DIR directory to chroot into
-W, --warndays WARN_DAYS set expiration warning days to WARN_DAYS