丘丘的個人電腦工作坊

NCLP--考前備忘1--使用者管理

User Admin:

新增使用者, 指定 uid<-u>, gid<-g>, 次群組<-G>
指定下次登入強迫改密碼<passwd -e USER>記得要在最後做
注意有沒有要求建家目錄<-m>
新增群組<groupadd NAME>, 指定GID<-g>
在 server1, server2 上都有不同要求, 不要做錯 server.
使用基本指令完成即可, 另外記得要檢查結果: id, finger, /etc/{passwd,shadow,group}
密碼要依需求來設定, 可以從另一台 ssh 連入測試.

指令修改使用者密碼<echo "PASSWD" | passwd --stdin USER>

使用者新增檔案權限, 全域</etc/profile>, 個人<~/.profile> 加入<umask XXX>
新增使用者家目錄的權限</etc/login.defs 選項 UMASK XXX>

新增使用者會複製的目錄</etc/skel>

ACL使用者<setfacl -m u:USER:PERM PATH>
ACL群組<setfacl -m g:GROUP:PERM PATH>
ACL遮罩<setfacl -m m::PERM PATH>
Default ACL <setfacl -d -m 其他跟上面一樣>用作目錄, 子目錄會繼承, 對該目錄沒用

SUID <chmod u+s 檔案> 以擁有者身份執行檔案
SGID <chmod g+s 目錄> 子目錄檔案繼承其群組, 對檔案則以群組身份執行檔案
STICKYBIT <chmod o+t 目錄> 目錄內檔案非擁有者不得刪除

Sudo/sudoers

只可用 visudo 編輯

是否可以設定 "user_aliass; cmnd_aliases..." 要注意!

要先檢查原姑檔內的 "陷阱", 例如: ALL  ALL=(ALL)  ALL

不需輸入密碼<USER HOST = NOPASSWD: COMMAND>

記得指令都要加 '絕對路徑'

務必實測檢查, 例如: 先SU到使用者後<sudo -l>

允許改密碼<USER HOST = /usr/bin/passwd [A-z]*, !/usr/bin/passwd root>
允許新增使用者<USER HOST = /usr/sbin/useradd>

<man sudoers>