[error] [/etc/authselect/system-auth] has unexpected content!
[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

或者：

[error] [/etc/authselect/system-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

或者：

[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.

分析：

/etc/authselect/system-auth 文件或 /etc/authselect/password-auth 文件是不应该被手动修改的，如果被手动修改了，再使用 authselect select sssd 命令或者 authselect apply-changes 命令时则会有此类报错

解决方法：

# authselect apply-changes

（注意：此方法会刷新 /etc/authselect/system-auth 文件和 /etc/authselect/password-auth 文件里的所有内容）

# vim /etc/sudoers

添加以下内容：

……
zhumingyu ALL=(ALL) /usr/bin/mysql

（补充：这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例）

步骤二：设置用户使用自己的密码实现 sudo 提权

# vim /etc/sudoers

在

......
env_reset
......

这一行下面添加：

......
Defaults env_keep += "http_proxy https_proxy"
......

（补充：这里以允许用户在进行 sudo 提权的同时也能使用 http_proxy、https_proxy 为例）

步骤一：了解背景

步骤二：设置 SSH 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件
2.1.2 让修改的 sshd 配置文件生效
2.2 确保 /etc/pam.d/sshd 包含 password-auth

步骤三：检查是否选择了 authselect 自定义认证

步骤四：配置认证
4.1 如果 authselect 自定义认证存在
4.1.1 修改 system-auth 文件
4.1.2 修改 password-auth 文件
4.2 如果 authselect 自定义认证不存在
4.2.1 生成新的自定义认证
4.2.1.1 备份当前的自定义认证
4.2.1.2 创建新的自定义认证
4.2.1.3 选择自定义认证
4.2.1.4 显示当前选择的自定义认证
4.2 修改自定义认证
4.2.1 修改 system-auth 文件
4.2.2 修改 password-auth 文件

步骤五：让配置的认证生效

步骤六：管理远程登录密码输错次数的用户
6.1 显示某个用户近期输错了几次密码
6.2 重制所有远程登录密码输错次数

具体的操作步骤：

步骤一：了解背景

从 CentOS Linux 8 & RHEL 8 开始，系统的身份验证模块从 CentOS Linux 7 & RHEL 7 的 pam_tally2 换成了 pam_faillock

步骤二：设置 SSHd 的登录限制
2.1 在 sshd 中开启 UsePAM
2.1.1 修改 sshd 的配置文件

# vim /etc/ssh/sshd_config

将以下内容：

......
#UsePAM no
......

修改为：

......
UsePAM yes
......

2.1.2 让修改 sshd 配置文件生效

# systemctl restart sshd

2.2 确保 /etc/pam.d/sshd 包含 password-auth

# cat /etc/pam.d/sshd | grep password-auth
auth       substack     password-auth
account    include      password-auth
password   include      password-auth
session    include      password-auth

（注意：如果输出结果中不包含这 4 条内容则需要手动添加）

步骤三：检查是否选择了 authselect 自定义认证

# authselect current | awk 'NR == 1 {print $3}' | grep custom/
custom/password-policy

（
补充：
（1）如果这条命令里没有输出则代表没有选择自定义认证
（2）从这里的输出结果可以看出这里选择的自定义认证是 custom/password-policy
）

步骤四：配置认证
4.1 如果 authselect 自定义认证存在
4.1.1 修改 system-auth 文件

# vim /etc/authselect/custom/password-policy/system-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.1.2 修改 password-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：
......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.2 如果 authselect 自定义认证不存在
4.2.1 生成新的自定义认证
4.2.1.1 备份当前的自定义认证

# authselect apply-changes -b --backup=sssd.backup

（补充：这里以创建 sssd.backup 备份文件为例）

4.2.1.2 创建新的自定义认证

# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam

（补充：这里以生成名为 password-policy 的自定义认证为例）

4.2.1.3 选择自定义认证

# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir

（
补充：
1) 这里以选择名为 password-policy 的自定义认证为例
2) 这里设置了 with-sudo、with-faillock、without-nullok 和 with-mkhomedir 参数
）

4.2.1.4 显示当前选择的自定义认证

# authselect current

（补充：这里以生成并选择名为 password-policy 的自定义认证为例）

4.2 修改自定义认证
4.2.1 修改 system-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

4.2.2 修改 password-auth 文件

# vim /etc/authselect/custom/password-policy/password-auth

将以下内容：

......
auth        required                                     pam_faillock.so preauth silent                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail                               {include if "with-faillock"}
......

修改为：

......
auth        required                                     pam_faillock.so preauth silent audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......
auth        required                                     pam_faillock.so authfail audit even_deny_root deny=6 unlock_time=180                               {include if "with-faillock"}
......

（补充：这里以包括 root 用户每使用密码 ssh 远程登录失败 6 次则被锁定 180 秒为例）

步骤五：让配置的认证生效

# authselect apply-changes

（注意：此步骤会刷新 /etc/authselect/system-auth 文件和 /etc/authselect/password-auth 文件）

步骤六：管理远程登录密码输错次数的用户
6.1 显示某个用户近期输错了几次密码

# faillock --user root

（补充：这里以显示 root 用户近期输错了几次密码为例）

6.2 重制所有远程登录密码输错次数

# faillock --reset

作者：朱明宇
名称：批量修改多个远程服务器某一个用户的密码
作用：批量修改多个远程服务器某一个用户的密码

使用方法：
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每服务器名占用一行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量：
1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意：
此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器，并且可以通过 sudo 获得 su 的 root 权限

脚本：

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i

	ssh -t $i "type lsb_release" &> /dev/null
        if [ $? -ne 0 ]; then
              distribution=`ssh -t $i "cat /etc/*release | grep '^NAME'"`
	      if [ $? -ne 0 ];then
		      distribution=`ssh -t $i "cat /etc/*release"`
	      fi
        else
              distribution=`ssh -t $i "lsb_release -i | grep 'ID' | grep -v 'n/a'"`
        fi;

        echo $distribution

	case $distribution in
		*"RedHat"* | *"Red Hat"*)
		ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*"CentOS"*)
		ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*"SUSE"* | *"SLES"*)
		ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;
               
		*"openSUSE"*)
		ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
		if [ $? -eq 0 ];then
			echo -e "\033[32m$i is success\033[0m"
		else
			echo -e "\033[31m$i is fail\033[0m"
		fi
		;;

		*)
                echo -e "\033[31m$i is fail \033[0m" 
		;;
        esac

        let num++

        echo
done

作者：朱明宇
名称：批量修改多个远程服务器某一个用户的密码
作用：批量修改多个远程服务器某一个用户的密码，并显示密码更新时间

使用方法：
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每服务器名占用一行
3. 给脚本分割线里的变量赋值
4. 给此脚本添加执行权限
5. 执行此脚本

脚本分割线里的变量：
1. list=”list.txt” #指定清单的目录和名称
2. user=eternalcenter #指定要修改密码的用户
3. password=eternalcenter #指定要修改的密码

注意：
此脚本执行前必须要先保证执行本脚本的用户能无密码 ssh 远程这些远程服务器，并且可以通过 sudo 获得 su 的 root 权限

脚本：

#!/bin/bash

####################### Separator ########################

list="list.txt"
user=eternalcenter
password=eternalcenter

####################### Separator ########################

num=1

cat $list
for i in `cat $list`
do
        echo $num
        echo $i
        ssh -t $i "sudo -u root su - root -c \"echo $password | passwd --stdin $user\""
        ssh -t $i "sudo -u root su - root -c \"echo $user:$password | chpasswd\""
        ssh -t $i sudo -u root su - root -c \"chage -l $user\"
        let num++

        echo
done

注明：所有转载内容皆直接从被转载文章网页的标题和内容的文本中复制而来

作者：朱明宇
名称：批量修改多个远程服务器某一个用户的过期密码
作用：批量修改多个远程服务器某一个用户的过期密码

#使用方法：
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每一个远程服务器名或 IP 地址占用一行
3. 在此脚本的分割线内写入相应的内容
4. 在执行此脚本的系统上安装 expect
5. 给此脚本添加执行权限
6. 执行此脚本

脚本分割线里的变量：
1. oldpassword=123 #原密码
2. newpassword=abc #新密码
3. user=root #要修改密码的用户
4. list=servers.txt #指定服务器清单

脚本：

#!/bin/bash

####################### Separator ########################

oldpassword=123
newpassword=abc
user=root
list=servers.txt

####################### Separator ########################

set timeout 5

for i in `cat $list`
do
        echo $i
        ssh $i "whoami"

        if [ $? -eq 0 ];then
                continue
        fi

        expect << EOF
        spawn ssh $user@$i
        expect "Current password:"    {send "$oldpassword\r"}
        expect "New password:"        {send "$newpassword\r"}
        expect "Retype new password:" {send "$newpassword\r"}
        expect ">"                    {send "\r"}
        EOF

       echo

done

内容一：默认权限值的含义

内容二：临时默认权限的设置
2.1 默认权限值的方法
2.2 默认权限值的方法
2.2.1 方法一：使用权限数字设置默认权限值
2.2.2 方法二：使用权限标志设置默认权限值

内容三：永久默认权限的设置
3.1 给某个用户单独设置 umask
3.1.1 给某个用户单独添加 umask 参数
3.1.2 让 umask 设置生效
3.2 全局设置 umask 的方法
3.2.1 通过修改 /etc/profile 文件实现
3.2.1.1 通过修改 /etc/profile 文件实现案例一
3.2.1.1.1 在 /etc/profile 文件里设置全局 umask 参数
3.2.1.1.2 让 umask 设置生效
3.2.1.2 通过修改 /etc/profile 文件实现案例二
3.2.1.2.1 在 /etc/profile 文件里设置全局 umask 参数
3.2.1.2.2 让 umask 设置生效
3.2.2 通过修改 /etc/bashrc 文件实现
3.2.2.1 通过修改 /etc/bashrc 文件实现案例一
3.2.2.1.1 在 /etc/bashrc 文件里设置全局 umask 参数
3.2.2.1.2 让 umask 设置生效
3.2.2.2 通过修改 /etc/bashrc 文件实现案例二
3.2.2.2.1 在 /etc/bashrc 文件里设置全局 umask 参数
3.2.2.2.2 让 umask 设置生效

具体的内容：

内容一：默认权限值的含义

如果 umask 的值是 0022：
创建的新目录的默认权限是：777 – 022 = 755
创建的新文件的默认权限是：666 – 022 = 644

内容二：临时默认权限的设置
2.1 默认权限值的方法

# umask
0022

2.2 默认权限值的方法
2.2.1 方法一：使用权限数字设置默认权限值

# umask 0002

2.2.2 方法二：使用权限标志设置默认权限值

# umask -S u=rwx,g=rwx,o=rw

内容三：永久默认权限的设置
3.1 给某个用户单独设置 umask
3.1.1 给某个用户单独添加 umask 参数

# vim ~/.bashrc 

添加以下内容：

......
umask 022

（
补充：
1) 这里以将 umask 设置为 022 为例
2) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

3.1.2 让 umask 设置生效

# source ~/.bashrc

3.2 全局设置 umask 的方法
3.2.1 通过修改 /etc/profile 文件实现
3.2.1.1 通过修改 /etc/profile 文件实现案例一
3.2.1.1.1 在 /etc/profile 文件里设置全局 umask 参数

# vim /etc/profile

将以下内容：

......
if [ $UID -gt 199 ] && 
    [ "`/usr/bin/id -gn`" = "`/usr/bin/id un`" ]; then
    umask 002 
else
    umask 022
fi
......

修改为：

......
if [ $UID -gt 199 ] && 
    [ "`/usr/bin/id -gn`" = "`/usr/bin/id un`" ]; then
    umask 002 
else
    umask 022
fi
......

（
补充：
1) 这里以将 umask 设置为 022 为例
2) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

3.2.1.1.2 让 umask 设置生效

# source /etc/profile

3.2.1.2 通过修改 /etc/profile 文件实现案例二
3.2.1.2.1 在 /etc/profile 文件里设置全局 umask 参数

# vim /etc/profile

添加以下内容：

......
umask 022

（
补充：
1) 这里以将 umask 设置为 022 为例
2) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

3.2.1.2.2 让 umask 设置生效

# source /etc/profile

3.2.2 通过修改 /etc/bashrc 文件实现
3.2.2.1 通过修改 /etc/bashrc 文件实现案例一
3.2.2.1.1 在 /etc/bashrc 文件里设置全局 umask 参数

# vim /etc/bashrc

将以下内容：

......
if [ $UID -gt 199 ] && 
    [ "`/usr/bin/id -gn`" = "`/usr/bin/id un`" ]; then
    umask 002 
else
    umask 022
fi
......

修改为：

......
if [ $UID -gt 199 ] && 
    [ "`/usr/bin/id -gn`" = "`/usr/bin/id un`" ]; then
    umask 002 
else
    umask 022
fi
......

（
补充：
1) 这里以将 umask 设置为 022 为例
2) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

3.2.2.1.2 让 umask 设置生效

# source /etc/bashrc

3.2.2.2 通过修改 /etc/bashrc 文件实现案例二
3.2.2.2.1 在 /etc/bashrc 文件里设置全局 umask 参数

# vim /etc/bashrc

添加以下内容：

......
umask 022

（
补充：
1) 这里以将 umask 设置为 022 为例
2) 补充 /etc/bashrc 文件会比 /etc/profile 文件更有优先级
）

3.2.2.2.2 让 umask 设置生效

# source /etc/bashrc

案例一：给某一个文件或目录添加 acl
1.1 给某一个文件或目录添加一个用户的 acl
1.2 给某一个文件或目录添加一个组的 acl
1.3 递归给某一个目录和目录里的所有内容添加一个 acl

案例二：删除某一个文件或目录的 acl
2.1 删除某一个文件或目录一个用户的 acl
2.2 删除某一个文件或目录一个组的 acl
2.3 删除某一个文件或目录的所有 acl
2.4 递归删除某一个文件或目录的 acl
2.5 递归删除某一个文件或目录的所有 acl

案例三：显示某一个文件或目录的 acl

案例四：备份和还原某一个文件或目录的 acl
4.1 备份某一个文件或目录的 acl
4.2 还原某一给文件或目录的 acl

具体的案例：

案例一：给某一个文件或目录添加 acl
1.1 给某一个文件或目录添加一个用户的 acl

# setfacl -m u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上给 zhumingyu 用户设置读和执行的 acl 权限为例）

1.2 给某一个文件或目录添加一个组的 acl

# setfacl -m g:zhumingyu:r-x /var

（补充：这里以在 /var 目录上给 zhumingyu 组设置读和执行的 acl 权限为例）

1.3 递归给某一个目录和目录里的所有内容添加一个 acl

# setfacl -Rm u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上递归给 zhumingyu 组设置读和执行的 acl 权限为例）

案例二：删除某一个文件或目录的 acl
2.1 删除某一个文件或目录一个用户的 acl

# setfacl -x u:zhumingyu /var

（补充：这里以在 /var 目录上删除 zhumingyu 用户的 acl 权限为例）

2.2 删除某一个文件或目录一个组的 acl

# setfacl -x g:zhumingyu /var

（补充：这里以在 /var 目录上删除 zhumingyu 组的 acl 权限为例）

2.3 删除某一个文件或目录的所有 acl

# setfacl -b /var

（补充：这里以在 /var 目录上删除所有 acl 权限为例）

2.4 递归删除某一个文件或目录的 acl

# setfacl -Rx u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上递归删除 zhumingyu 用户的 acl 权限为例）

2.5 递归删除某一个文件或目录的所有 acl

# setfacl -Rb /var

（补充：这里以在 /var 目录上递归删除所有 acl 权限为例）

案例三：显示某一个文件或目录的 acl

# getfacl /var

（补充：这里以显示 /var 目录的 acl 权限为例）

案例四：备份和还原某一个文件或目录的 acl
4.1 备份某一个文件或目录的 acl

# getfacl -R /var > /acl.backup

（补充：这里以备份 /var 目录的 acl 权限为例）

4.2 还原某一给文件或目录的 acl

# setfacl --restore /acl.backup

（补充：这里以还原 /var 目录的 acl 权限为例）

# vim /etc/sudoers

添加以下内容：

……
zhumingyu ALL=(ALL) /usr/bin/mysql

（补充：这里以给用户 zhumingyu 添加 /usr/bin/mysql 命令为例）

步骤二：设置用户使用自己的密码实现 sudo 提权

# vim /etc/sudoers

将以下内容：

......
#Defaults targetpw   # ask for the password of the target user i.e. root
#ALL    ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
......

修改为：

......
Defaults targetpw   # ask for the password of the target user i.e. root
ALL    ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
......

服务器系统配置好可用的软件源

步骤二：安装 cockpit

# yum -y install cockpit cockpit-dashaboard

（补充：cockpit 是管理单台主机的程序，cockpit-dashaboard 是管理多台主机的程序）

步骤三：启动 cockpit

# systemctl start cockpit

步骤四：登录 cockpit

使用浏览器登录：https://<服务器的/ IP 地址>:9090

# usermod -u 1005 zhumingyu

（补充：这里以将 zhumingyu 用户的 uid 修改为 1005 为例）

案例二：修改用户的备注

# usermod -c "admin zhumingyu" zhumingyu

（补充：这里以将 zhumingyu 用户的备注修改为 admin zhumingyu 为例）

案例三：修改用户的运行环境

# usermod -s /sbin/nologin zhumingyu

（补充：这里以将 zhumingyu 用户的执行环境修改为 /sbin/nologin 为例）

案例四：修改用户的家目录

# useradd -d /home/zhumingyu zhumingyu

（补充：这里以将 zhumingyu 用户的家目录修改为 /home/zhumingyu 为例）

案例五：修改用户的主要所属组，以名称的方式

# usermod -g root zhumingyu

（补充：这里以将 zhumingyu 用户的主要组修改为 root 组为例）

案例六：修改用户的主要所属组，以 gid 的方式

# usermod -g 1200 zhumingyu

（补充：这里以将 zhumingyu 用户的 gid 修改为 1200 为例）

案例七：修改用户的附属所属组

# usermod -G root zhumingyu

（补充：这里以将 zhumingyu 用户的附属所属组修改为 root 组为例）

（注意：此用户的从库会同时包含 root 组和 zhumingyu 组）

案例八：给用户添加一个附属所属组

# usermod -a -G root zhumingyu

（补充：这里以给 zhumingyu 用户再添加一个 root 附属组为例）

# userdel <user>

内容二：删除用户的同时还要删除家目录

# userdel -r <user>

1) uid 从 200 到 999 的是系统用户
2) uid 大于 1000 的是普通用户

（注意：如果创建用户时没有特意说明，则 uid 是会随即产生的）

内容二： 用户添加命令 useradd 的使用案例
2.1 案例一

# useradd -u 1005 zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它 uid 设置为 1005 为例）

2.2 案例二

# useradd -c "admin zhumingyu" zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它的备注设置为 admin zhumingyu 为例）

2.3 案例三

# useradd -s /sbin/nologin zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它的执行环境设置为 /sbin/nologin 为例）

2.4 案例四

# useradd -g root zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它的主要组设置为 root 组 为例）

2.5 案例五

# useradd -G root zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它的从组设置为 root 组 为例）

（注意：此用户的从库会同时包含 root 组和 zhumingyu 组）

2.6 案例六

# useradd -g 1200 zhumingyu

（补充：这里以添加 zhumingyu 用户，并将它的 gid 设置为 1200 为例）

2.7 案例七

# useradd -d /home/zhumingyu zhumingyu

（补充：这里以添加 zhumingyu 用户，并指定它的家目录为 /home/zhumingyu 为例）

2.8 案例八

# useradd -m zhumingyu zhumingyu

（补充：这里以添加 zhumingyu 用户，但是不设置家目录为为例）

2.8 案例九

# useradd -p 123 zhumingyu

（补充：这里以添加 zhumingyu 用户，并设置密码 123 为例）

# chown root test.txt

或者：

# chown root: test.txt

案例二：将 test.txt 的所属组设置为 root

# chown :root test.txt

案例三：将 test.txt 的所数主设置为 root，所属组设置为 root

# chown root:root test.txt

# head -1 /etc/shadow
root:$6$qnQA3KzPOeJP$Kb0zwnZsuEcHXkEXwzYJPKbhbbstdtDuU7mrn3FdKULpMkG5x6WR963olxLAX/E75knAlgwfj/bFHi9R0IMS1.:18331::::::

内容二：/etc/shadow 文件信息字段的含义

1) 字段 1：用户
2) 字段 2：加密了的密码字符串
3) 字段 3：最后一次修改密码的时间，从 1970.01.01 到修改时的天数
4) 字段 4：密码的最短使用时间，默认值为 0，单位为天
5) 字段 5：密码的最长使用时间，默认值为 99999，单位为天
6) 字段 6：密码快要到期的警告天数，默认值为 7，单位为天
7) 字段 7：密码过期之后用户还可以有效使用的天数
8) 字段 8：用户失效了多时间，默认值为空，从 1970.01.01 到现在的天数
9) 字段 9：保留字段

（
注意：
1) 如果加密了的密码字符串为：!!，则代表是没有密码
2) 如果加密了的密码字符串为：*，则代表密码被锁定了
）

# passwd

案例二：修改指定用户的密码

# passwd zhumingyu

（补充：这里以修改 zhumingyu 用户的密码为例）

案例三：清空密码

# passwd -d zhumingyu

（补充：这里以清空 zhumingyu 用户的密码为例）

案例四：锁定用户密码

# passwd -l zhumingyu 

（补充：这里以锁定 zhumingyu 用户的密码为例）

案例五：解锁用户密码

# passwd -u zhumingyu

（补充：这里以解锁 zhumingyu 用户的密码为例）

案例六：显示用户密码的锁定状态

# passwd -S zhumingyu

（补充：这里以显示 zhumingyu 用户的锁定状态为例）

内容一：普通权限的管理
1.1 普通权限的介绍
1.1.1 对于文件而言
1.1.2 对于目录而言
1.1.3 用数字代替权限的方法
1.2 管理权限案例
1.2.1 给一个文件或目录添加权限的案例
1.2.1.1 案例一
1.2.1.2 案例二
1.2.1.3 案例三
1.2.1.4 案例四
1.2.2 给一个文件或目录撤销权限的案例
1.2.2.1 案例一
1.2.2.2 案例二
1.2.2.3 案例三
1.2.2.4 案例四
1.2.3 设定某一个文件或目录的权限的案例
1.2.3.1 案例一
1.2.3.2 案例二
1.2.3.3 案例三
1.2.3.4 案例四
1.2.3.5 案例五
1.2.3.6 案例六
1.2.3.7 案例七

内容二：特殊权限的管理
2.1 特殊权限 SUID
2.1.1 SUID 介绍
2.1.2 SUID 权限的添加的案例
2.1.2.1 添加 SUID 权限的案例
2.1.2.2 显示 SUID 权限的添加情况的案例
2.1.2.2.1 显示有 SUID 权限，但是所属主没有执行权限的文件的案例
2.1.2.2.2 显示有 SUID 权限，并且所属主有执行权限的文件的案例
2.2 特殊权限 SGID
2.2.1 SGID 介绍
2.2.2 SGID 权限的添加的案例
2.2.2.1 添加 SGID 权限的案例
2.2.2.2 显示 SGID 权限的添加情况的案例
2.2.2.2.1 显示有 SGID 权限，但是所属组没有执行权限的目录的案例
2.2.2.2.2 显示有 SGID 权限，并且所属组有执行权限的目录的案例
2.3 特殊权限 SBIT
2.3.1 SBIT 介绍
2.3.2 SBIT 权限的添加的案例
2.3.2.1 添加 SBIT 权限的案例
2.3.2.2 显示 SBIT 权限的添加情况的案例
2.3.2.2.1 显示有 SBIT 权限，但是所属主没有执行权限的目录的案例
2.3.2.2.2 显示有 SBIT 权限，并且所属主有执行权限的目录的案例

具体的内容：

内容一：普通权限的管理
1.1 普通权限的介绍
1.1.1 对于文件而言

1) r 代表读权限
2) w 代表写权限
3) x 代表执行权限

1.1.2 对于目录而言

1) r 代表可以看到目录
2) w 代表可以对目录进行增、删、改、查和在里面创建文件和目录
3) x 代表可以进入目录

1.1.3 用数字代替权限的方法

1) 0 代表 —
2) 1 代表 –x
3) 2 代表 -w-
4) 3 代表 -wx
5) 4 代表 r–
6) 5 代表 r-x
7) 6 代表 rw-
8) 7 代表 rwx

1.2 管理权限案例
1.2.1 给一个文件或目录添加权限的案例
1.2.1.1 案例一

# chmod u+x test.txt

（补充：这里以给 test.txt 文件的所属主添加执行权限为例）

1.2.1.2 案例二

# chmod u+r,g+w test.txt

（补充：这里以给 test.txt 文件的所属主添加执行权限，给文件的所属组添加写权限）

1.2.1.3 案例三

# chmod +x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户添加执行权限）

1.2.1.4 案例四

# chmod a+x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户添加执行权限）

1.2.2 给一个文件或目录撤销权限的案例
1.2.2.1 案例一

# chmod u-x test.txt

（补充：这里以给 test.txt 文件的所属主撤销执行权限）

1.2.2.2 案例二

# chmod u-r,g-w test.txt

（补充：这里以给 test.txt 文件的所属主撤销执行权限，给文件的所属组撤销写权限）

1.2.2.3 案例三

# chmod -x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户撤销执行权限）

1.2.2.4 案例四

# chmod a-x test.txt

（补充：这里以给 test.txt 文件的所属主、所属组和其他用户撤销执行权限）

1.2.3 设定某一个文件或目录的权限的案例
1.2.3.1 案例一

# chmod u=rwx test.txt 

（补充：这里以设置 test.txt 文件的所属主拥有读、写和执行的权限）

1.2.3.2 案例二

# chmod u=rw- test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限）

1.2.3.3 案例三

# chmod u=--- test.txt

（补充：这里以设置 test.txt 文件的所属主没有任何权限）

1.2.3.4 案例四

# chmod u=

（补充：这里以设置 test.txt 文件的所属主没有任何权限）

1.2.3.5 案例五

# chmod u=rw,g=, test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限。设置文件的所属组没有任何权限）

1.2.3.6 案例六

# chmod u=rw,g=---,0= test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读和写的权限，但是没有执行的权限。设置文件的所属组没有任何权限。设置文件的其他用户没有任何权限）

1.2.3.7 案例七

# chmod 755 test.txt

（补充：这里以设置 test.txt 文件的所属主拥有读、写和执行的权限。设置文件的所属组有读和执行的权限。设置文件的其他用户有读和执行的权限）

内容二：特殊权限的管理
2.1 特殊权限 SUID
2.1.1 SUID 介绍

1) SUID：全名 Set UID
2) SUID 的作用：让没有此文件执行权限的用户，可以执行这个文件
3) SUID 的权限数字 4000

2.1.2 SUID 权限的添加的案例
2.1.2.1 添加 SUID 权限的案例

# chmod u+s test.txt

或者：

# chmod 4644 test.txt

（补充：这里以对 test.txt 文件进行操作为例）

2.1.2.2 显示 SUID 权限的添加情况的案例
2.1.2.2.1 显示有 SUID 权限，但是所属主没有执行权限的文件的案例

# ls -l test.txt 
-rwSr--r-- 1 root root 0 12月  8 05:27 test.txt

（补充：这里以对 test.txt 文件进行操作为例）

2.1.2.2.2 显示有 SUID 权限，并且所属主有执行权限的文件的案例

# ls -l test.txt 
-rwsr--r-- 1 root root 0 12月  8 05:27 test.txt

（补充：这里以对 test.txt 文件进行操作为例）

2.2 特殊权限 SGID
2.2.1 SGID 介绍

1) SGID：全名 Set GID
2) SGID 的作用：在此目录下创建的文件，将都和此目录的所属组一样
3) SGID 的权限数字 2000

2.2.2 SGID 权限的添加的案例
2.2.2.1 添加 SGID 权限的案例

# chmod g+s test

或者：

# chmod 2644 test

（补充：这里以对 test.txt 文件进行操作为例）

2.2.2.2 显示 SGID 权限的添加情况的案例
2.2.2.2.1 显示有 SGID 权限，但是所属组没有执行权限的目录的案例

# ls -l test
-rw-r-Sr-- 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.2.2.2.2 显示有 SGID 权限，并且所属组有执行权限的目录的案例

# ls -l test
-rw-r-sr-- 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.3 特殊权限 SBIT
2.3.1 SBIT 介绍

1) SBIT：全名 Sticky Bit
2) SBIT 的作用：在此目录下创建的文件，只有创建此文件的用户和 root 用户可以删除
3) SBIT 的权限数字 1000

2.3.2 SBIT 权限的添加的案例
2.3.2.1 添加 SBIT 权限的案例

# chmod o+t test

或者：

# chmod 1644 test

（补充：这里以对 test.txt 文件进行操作为例）

2.3.2.2 显示 SBIT 权限的添加情况的案例
2.3.2.2.1 显示有 SBIT 权限，但是所属主没有执行权限的目录的案例

# ls -l test
-rw-r--r-T 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

2.3.2.2.2 显示有 SBIT 权限，并且所属主有执行权限的目录的案例

# ls -l test
-rw-r--r-t 1 root root 0 12月  8 05:27 test

（补充：这里以对 test.txt 文件进行操作为例）

# last -n 10

或者：

# last -10

案例二：指定 btmp 为查询文件

# last -10 -f /var/log/btmp

案例三：将 IP 地址转换为主机

# last -10 -d

案例四：显示 2019 年 10 月 10 日之前的 10 条记录

# last -10 -t 201910100000

案例五：显示最后一次重启的时间

# last | grep reboot | head -1

或者：

# last reboot | head -1

案例六：显示最后一次关机的时间

# last | grep -i shutdown | head -1

案例七：显示系统运行等级的变化

# last -x | grep runlevel

（补充：这里 -x 的作用是把系统运行等级的显示也显示出来，同时显示全系统 kernel 的变换）

案例八：显示系统 kernel （内核）的变化

# last -xF | egrep "reboot|shutdown|runlevel|system"

（
补充：
1) 这里 -x 的作用是把系统运行等级的显示也显示出来，同时显示全系统 kernel 的变换）
2) 这里 -F 的作用是加大显示结果
）