一、用户(user)和用户组(group)概念
1、用户(user)的概念
Linux 是典型的多用户操作系统,我们可以建若干用户(user),用于系统服务的运行和权限管理,不同的用户登陆系统,按照设定的权限去操作系统,提高了安全性。在Linux系统中有一些用户是用来完成特定任务的,比如nobody和ftp 等;有的是为了权限安全,比如限制root直接登陆系统,创建一个sshusr用户,登陆sshusr后,再su到root下。可以通过查看/etc/passwd了解Linux系统有哪些帐号。
2、用户组(group)的概念
用户组(group)就是具有相同特征的用户(user)的集合体;比如有时我们要让多个用户具有相同的权限,比如查看、修改某一文件或执行某个命令,这时我们需要用户组,我们把用户都定义到同一用户组,我们通过修改文件或目录的权限,让用户组具有一定的操作权限,这样用户组下的用户对该文件或目录都具有相同的权限。
3、用户和用户组的对应关系
一对一:某个用户可以是某个组的唯一成员;
多对一:多个用户可以是某个唯一的组的成员;
一对多:某个用户可以是多个用户组的成员,有附加组;
多对多:多个用户对应多个用户组,并且几个用户可以是归属相同的组。
二、用户(user)和用户组(group)相关的配置文件、命令或目录
1、与用户和用户组相关的配置文件;
1)与用户相关的配置文件;
/etc/passwd 注:用户的配置文件;
/etc/shadow 注:用户影子口令(密码)文件;
2)与用户组相关的配置文件;
/etc/group 注:用户组配置文件;
/etc/gshadow 注:用户组的影子口令文件;
2、管理用户和用户组的相关工具或命令;
1)管理用户的工具或命令;
useradd :添加用户
adduser :添加用户
userdel :删除用户
passwd :为用户设置密码
usermod :修改用户命令,可以通过usermod 来修改登录名、用户的家目录等等;
pwcov :同步用户从/etc/passwd 到/etc/shadow
pwck :pwck是校验用户配置文件/etc/passwd 和/etc/shadow 文件内容是否合法或完整;
pwunconv :是pwcov 的立逆向操作,是从/etc/shadow和 /etc/passwd 创建/etc/passwd ,然后会删除 /etc/shadow 文件;
finger :查看用户信息工具
id :查看用户的UID、GID及所归属的用户组
chfn :更改用户信息工具
su :用户切换工具
sudo :sudo 是通过另一个用户来执行命令(execute a command as another user),su 是用来切换用户,然后通过切换到的用户来完成相应的任务,但sudo 能后面直接执行命令,比如sudo 不需要root 密码就可以执行root 赋与的执行只有root才能执行相应的命令;但得通过visudo 来编辑/etc/sudoers来实现;
visudo :visodo 是编辑 /etc/sudoers 的命令;也可以不用这个命令,直接用vi 来编辑 /etc/sudoers 的效果是一样的;
sudoedit :和sudo 功能差不多;
2)管理用户组的工具或命令;
groupadd :添加用户组;
groupdel :删除用户组;
groupmod :修改用户组信息
groups :显示用户所属的用户组
grpck :用于验证组文件的完整性
grpconv :通过/etc/group和/etc/gshadow 的文件内容来同步或创建/etc/gshadow ,如果/etc/gshadow 不存在则创建;
grpunconv 注:通过/etc/group 和/etc/gshadow 文件内容来同步或创建/etc/group ,然后删除gshadow文件;
3、/etc/skel 目录
/etc/skel目录一般是存放用户启动文件的目录,这个目录是由root权限控制,当我们添加用户时,这个目录下的文件自动复制到新添加的用户的家目录下;/etc/skel 目录下的文件都是隐藏文件,也就是类似.file格式的;我们可通过修改、添加、删除/etc/skel目录下的文件,来为用户提供一个统一、标准的、默认的用户环境;
[root@localhost beinan]# ls -la /etc/skel/
总用量 92
drwxr-xr-x 3 root root 4096 8月 11 23:32 .
drwxr-xr-x 115 root root 12288 10月 14 13:44 ..
-rw-r--r-- 1 root root 24 5月 11 00:15 .bash_logout
-rw-r--r-- 1 root root 191 5月 11 00:15 .bash_profile
-rw-r--r-- 1 root root 124 5月 11 00:15 .bashrc
-rw-r--r-- 1 root root 5619 2005-03-08 .canna
-rw-r--r-- 1 root root 438 5月 18 15:23 .emacs
-rw-r--r-- 1 root root 120 5月 23 05:18 .gtkrc
drwxr-xr-x 3 root root 4096 8月 11 23:16 .kde
-rw-r--r-- 1 root root 658 2005-01-17 .zshrc
/etc/skel 目录下的文件,一般是我们用useradd 和adduser 命令添加用户(user)时,系统自动复制到新添加用户(user)的家目录下;如果我们通过修改 /etc/passwd 来添加用户时,我们可以自己创建用户的家目录,然后把/etc/skel 下的文件复制到用户的家目录下,然后要用chown 来改变新用户家目录的属主;
4、/etc/login.defs 配置文件
/etc/login.defs 文件是当创建用户时的一些规划,比如创建用户时,是否需要家目录,UID和GID的范围;用户的期限等等,这个文件是可以通过root来定义的;
比如Fedora 的 /etc/logins.defs 文件内容;
# *REQUIRED*
# Directory where mailboxes reside, _or_ name of file, relative to the
# home directory. If you _do_ define both, MAIL_DIR takes precedence.
# QMAIL_DIR is for Qmail
#
#QMAIL_DIR Maildir
MAIL_DIR /var/spool/mail 注:创建用户时,要在目录/var/spool/mail中创建一个用户mail文件;
#MAIL_FILE .mail
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 99999 注:用户的密码最长过期天数;
PASS_MIN_DAYS 5 注:密码最小过期天数;
PASS_MIN_LEN 5 注:密码最小长度;
PASS_WARN_AGE 7 注:密码过期警告天数
#
# Min/max values for automatic uid selection in useradd
#
UID_MIN 500 注:最小UID为500 ,也就是说添加用户时,UID 是从500开始的;
UID_MAX 60000 注:最大UID为60000;
#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN 500 注:GID 是从500开始;
GID_MAX 60000
#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD /usr/sbin/userdel_local
#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is ORed with the -m flag on
# useradd command line.
#
CREATE_HOME yes 注:是否创用户家目录,要求创建;
# The permission mask is initialized to this value. If not specified,
# the permission mask will be initialized to 022.
UMASK 077
# Use SHA512 to encrypt password.
ENCRYPT_METHOD SHA512
5、/etc/default/useradd 文件
通过useradd 添加用户时的规则文件;
# useradd defaults file
GROUP=100
HOME=/home 注:把用户的家目录建在/home中;
INACTIVE=-1 注:是否启用帐号过期停权,-1表示不启用;
EXPIRE= 注:帐号终止日期,不设置表示不启用;
SHELL=/bin/bash 注:所用SHELL的类型;
SKEL=/etc/skel 注: 默认添加用户的目录默认文件存放位置;也就是说,当我们用adduser添加用户时,用户家目录下的文件,都是从这个目录中复制过去的;
三、用户组的管理
1、创建一个用户组
命令格式:
groupadd [选项] [用户组]
选项:
-g :GID 指定新用户组的组标识号(GID)。
-o :一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。
例1:创建group1,GID会自动在系统已创建的基础上增加1# groupadd group1
例2:创建一个新组group2,同时指定新组的组标识号是101。#groupadd -g 101 group2
2、删除一个用户组
命令格式:
groupdel [用户组]
例:此命令从系统中删除组group1。#groupdel group1
3、修改用户组的属性
命令格式:
groupmod [选项] [用户组]
选项:
-g :GID 为用户组指定新的组标识号。
-o :与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。
-n :新用户组 将用户组的名字改为新名字
例:此命令将组group2的组标识号修改为102。# groupmod -g 102 group2
例:此命令将组group2的标识号改为10000,组名修改为group3。# groupmod –g 10000 -n group3 group2
4、用户切换用户组
如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。
例如:
$ newgrp root
这条命令将当前用户切换到root用户组,前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理,用户组的管理也可以通过集成的系统管理工具来完成。
四、用户管理
(一),添加用户
1.命令
useradd或adduser命令用来建立用户帐号和创建用户的起始目录,使用权限是超级用户。
2.命令格式
useradd [-d home] [-s shell] [-c comment] [-m [-k template]] [-f inactive] [-e expire ] [-p passwd] [-r] name
3.主要参数
-c:加上备注文字,备注文字保存在passwd的备注栏中。
-d:指定用户登入时的主目录,替换系统默认值/home/<用户名>
-D:变更预设值。
-e:指定账号的失效日期,日期格式为MM/DD/YY,例如06/30/12。缺省表示永久有效。
-f:指定在密码过期后多少天即关闭该账号。如果为0账号立即被停用;如果为-1则账号一直可用。默认值为-1.
-g:指定用户所属的群组。值可以使组名也可以是GID。用户组必须已经存在的,期默认值为100,即users。
-G:指定用户所属的附加群组。
-m:自动建立用户的登入目录。
-M:不要自动建立用户的登入目录。
-n:取消建立以用户名称为名的群组。
-r:建立系统账号。
-s:指定用户登入后所使用的shell。默认值为/bin/bash。
-u:指定用户ID号。该值在系统中必须是唯一的。0~499默认是保留给系统用户账号使用的,所以该值必须大于499。
例:创建用户tom,没有登陆权限# useradd -s /sbin/nologin tom
4.说明
useradd可用来建立用户账号,它和adduser命令是相同的。账号建好之后,再用passwd设定账号的密码。使用useradd命令所建立的账号,实际上是保存在/etc/passwd文本文件中。
(二)用户的删除
命令格式:
userdel [用户名] #只是删除用户名,用户目录和邮件账户目录还在
userdel -r [用户名] #清除用户的家目录和邮件目录
(三)设置用户密码
root用户登陆时执行,如果是当前用户登陆,passwd回车后按提示设置密码即可。
1,命令格式:
echo [密码] | passwd --stdin [用户名]
例如:新建用户test,密码test,另外添加usertest组
#useradd test
#echo "test" | passwd --stdin test
#groupadd usertest
2,用户的密码文件
用户修改的密码信息存在/etc/shadow中,
# sed -n '$p' /etc/shado`w`
nalex:$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI.:17551:0:99999:7:0:17897:
--用户名
--密码
--从1970年1月1日起到上次修改密码所经过的天数
--密码再过几天可以被变更(0表示随时可以改变)
--密码再过几天必须被变更(99999表示永不过期)
--密码过期前几天提醒用户(默认为一周)
--密码过期几天后帐号被禁用
--从1970年1月1日算起,多少天后账号失效
(四)修改用户属性
1.用usermod修改用户属性
语 法:usermod [参数选项] [用户帐号]
补充说明:usermod可用来修改用户帐号的各项设定。
选 项:
-a|--append ##把用户追加到某些组中,仅与-G选项一起使用
-c|--comment ##修改/etc/passwd文件第五段comment
-d|--home ##修改用户的家目录通常和-m选项一起使用
-e|--expiredate ##指定用户帐号禁用的日期,格式YY-MM-DD
-f|--inactive ##用户密码过期多少天后采用就禁用该帐号,0表示密码一过期就禁用帐号,-1表示禁用此功能,默认值是-1
-g|--gid ##修改用户的gid,改组一定存在
-G|--groups ##把用户追加到某些组中,仅与-a选项一起使用
-l|--login ##修改用户的登录名称
-L|--lock ##锁定用户的密码
-m|--move-home ##修改用户的家目录通常和-d选项一起使用
-s|--shell ##修改用户的shell
-u|--uid ##修改用户的uid,该uid必须唯一
-U|--unlock ##解锁用户的密码
2.示例
1).新建用户alex,密码alex,另外添加galex组
#useradd alex
#echo "alex" | passwd --stdin alex
#groupadd galex
2).把alex用户加入galex组#usermod -aG galex alex #多个组之间用空格隔开
# id alex
uid=1005(alex) gid=1006(alex) 组=1006(alex),1007(galex)
3).修改alex用户的家目录为galex
# usermod -md /home/galex alex
# cat /etc/passwd|grep "alex"
alex:x:1005:1006::/home/galex:/bin/bash
4).修改用户名
# usermod -l nalex alex
# cat /etc/passwd|grep "alex"
nalex:x:1005:1006::/home/galex:/bin/bash
5).锁定nalex的密码
# sed -n '$p' /etc/shadow
nalex:$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI
.:17551:0:99999:7:::
#usermod -L nalex
# sed -n '$p' /etc/shadow
nalex:!$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI
.:17551:0:99999:7:::
锁定后用户冒号后面会多一个感叹号“!”
6).解锁nalex的密码#usermod -U nalex
去除用户后面的感叹号
7).修改用户的shell
#sed '$!d' /etc/passwd
nalex:x:500:500::/home/usertest:/bin/bash
#usermod -s /bin/sh nalex
#sed -n '$p' /etc/passwd
nalex:x:500:500::/home/galex:/bin/sh
8)指定帐号过期日期
# sed -n '$p' /etc/shadow
nalex:$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI
.:17551:0:99999:7:::
# usermod -e 2019-01-01 nalex
]# sed -n '$p' /etc/shadow
nalex:$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI
.:17551:0:99999:7::17897:
多了时间限制
9).指定用户帐号密码过期多少天后,禁用该帐号
# usermod -f 0 nalex
# sed -n '$p' /etc/shadow
nalex:$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI
.:17551:0:99999:7:0:17897: