Linux 基本用户和组命令
1有关用户的命令
(1).新增用户
Useradd + 用户名
(2).查看用户是否存在
id + 用户名
(3).删除用户
sudo userdel 用户名 只会删除用户本身
sudo userdel -r +用户名 将 linux 下的用户彻底删除干净(包括用户的家目录/home/username 和邮件池/var/mail/username)
(4).用户切换
su+用户名
注:从超级用户切换到其他普通用户是不需要输入密码的,而普通用户切换到其他用户
时需要输入密码进行验证,成功后会切换用户。
例
[root@localhost Desktop]# sudo userdel -r haha
[root@localhost Desktop]# id haha
id: haha: no such user
[root@localhost Desktop]# useradd haha
[root@localhost Desktop]# id haha
uid=1001(haha) gid=1001(haha) groups=1001(haha)
[root@localhost Desktop]# sudo userdel -r haha
[root@localhost Desktop]# id haha
id: haha: no such user
[root@localhost Desktop]# su westos
[westos@localhost Desktop]$
2.linux用户包括普通用户和root用户,普通用户不能建立新的用户,需要root用户授权。
(1).授权方法1:编辑vim /etc/sudoers
root ALL=(ALL) ALL 允许用户执行所有命
用户名 登入者主机名=可切换的身份(sudo -v执行后,默认的执行指令的身份) 可下达的指令
授权方法2:visudo(和上一种本质一样),但是visudo在退出文件时,系统会检查/etc/sudoers语法是否正确
例
[root@localhost Desktop]# visudo
root ALL=(ALL) ALL 找到该行
haha ALL=(ALL) ALL 新增这行,则haha用户通过sudo拥有所有权限
haha ALL=(root) !/usr/bin/pass wd.!/USR/BIN/passwd root
允许haha'用户通过sudo来修改其他所有用户的密码,但不能修改root的密码
(2)。visudo 利用群组授权
将多个用户放在一个组里,一起授权
方法1:在visudo中编辑(别名)
例
[root@localhost Desktop]# visudo
User_Alias ADMINS = 用户名1,用户名2
ADMINS server=(root) NOPASSWD:ALL 使用sudo不需要密码
方法2:命令行中添加用户到群组
例
编辑vi /etc/group
test:x:10: 增加test组
[root@localhost Desktop]# usermod -a -G test
将test加入到root的组中,对test群组授权,任何加入test这个群组中的使用着,就能够使用sudo切换任何身份来操作任何命令
编辑visudo
%test ALL =(ALL) ALL
%代表后面接一个群组,格式和单用户授权一样
(3).删除组
groupdel 组名
3.usermod 命令详解
-d <登入目录>修改用户登入时的目录。
-e <有效期限>修改帐号的有效期限。
-f <缓冲天数>修改在密码过期后多少天即关闭该帐号。
-g <群组>修改用户所属的群组。
-G <群组>修改用户所属的附加群组。
-L 锁定用户密码,使密码无效。
-s
-u
-U 解除密码锁定。
4. 与 linux 用户和组相关的文件
在 linux 操作系统中,对用户的管理是以文件形式存在的。与用户相关的主要包括以
下几个文件:
/etc/passwd 存储用户的信息
/etc/group 存储这组相关的信息
/etc/shadow 用户密码信息
/etc/gshadow 组的密码信息
/home/username 普通用户的家目录
(1)/etc/passwd
这个文件里记录了 linux 系统的帐号信息,每一行代表着一个帐号。如下所示:
root:x:0:0:root:/root:/bin/bash
每一行包括有 7 个部分,他们之间由:分隔。解释如下:
1):用户名
2):密码(已经加密)
3):UID 用户标识
4):GID 组标识。
5):用户全名或本地帐号
6):开始目录
7):登录使用的 Shell,就是对登录命令进行解析的工具。
(2)/etc/group
/etc/group 文件中存放着用户组信息,一共有四列。中间也是用:分隔。
Group_name:Password:Group_ID:User_list
1)Group_name: 用户组名称
2)Password:用户组密码,和 passwd 文件一样,如果口令字段为 x 的话,表示
有一个/etc/gshadow 用于存放组口令。但一般来说,组口令很少用到,因此不必
太在意这个字段。即使该字段为空,也不需要担心安全问题。
3)Group_ID:用户组 ID,简称 GID。GID 用于标识一个组,和 UID 一样,应
保证 GID 的唯一性。
4)User_list:用户组列表,每个用户用逗号分隔。本字段可以为空,如果字段
为空表示用户组为 GID 的用户名。如果一个用户属于/etc/passwd 中所指定的某个组,
但没有出现在/etc/group 文件相应的组中,那么应该以/etc/passwd 文件中的设置为准。
(5)shadow
为了增强系统的安全性,Linux 系统还可以为用户提供 MD5 和 Shadow 安全密
码服务。如果在安装 Linux 时在相关配置的选项上选中了 MD5 和 Shadow 服务,
那么将看到的/etc/passwd 文件里的 passwd 项上无论是什么用户,都是一个“x”,这就
表示这些用户都登录不了;系统其实是把真正的密码数据放在了/etc/shadow 文件里。
为保证系统用户的安全性,/etc/shadow 文件权限应设置为‘-rw-------’或‘-r--------’,即只
能以 root 用户来浏览。
与 passwd 文件格式类似,shadow 文件由多条记录组成,每条记录占一行,记录一
个用户账号的密钥信息。每行记录由 9 个字段组成,字段间用冒号隔开,各个字段用途
如下:
1)账号名称:
第一个字段是账号,必须与/etc/passwd 相同。
2)密码:
这个字段才是真正的密码,该密码经过编码。假如此字段为空,则表示该账号不需
要密码就可以登录。如果密码栏的第一个字符为‘*’或者是‘!’,表示这个账号不能用来
登录。可以使用这个方法来开启或关闭一个账户的登录权限。另外‘!!’两个叹号表示
这个账号目前没有密码,也不能用于登录,通常为一些系统账号。
3)最近更改密码的日期:
这个字段记录了‘更改密码那一天’的日期。该字段使用 1970 年以来的总日数设
定。
4)密码不可被更改的天数:
第四个字段记录了这个账号的密码需要经过多少天才允许被更改,如果是 0,则表
示密码可随时改动。
5)密码需要重新更改的天数:
该字段表示拥护必须在这个时间内重新设置密码,否者这个账号将暂时失效。如果该
字段的值为 99999,表示没有要求用户指定天数内重新更改密码。
6)密码需要更改期限前的警告期限:
当账号的密码失效期快到的时候,就是上面‘必须变更密码’的那个时间,系统会根
据这个字段的设定,发出‘警告’信息,提醒用户再过 n 天后密码失效。
7)密码过期的恕限时间:
4西部开源技术中心
如果用户过了警告期限仍没有重新设定密码,致密码失效,仍可以使用这个失效密
码在 n 天内登录系统。若再这个期间仍没更改密码,则账号失效。
8)账号失效日期:
这个账号在此字段规定的日期之后,将无法再使用。该字段与第 3 个字段一样,
使用 1970 年以来的总日数设定。
9)保留:
最后一个字段是保留的,看以后有没有新功能加入。
(4)/home/username
用户的家目录,包括登陆 shell 的预读信息、桌面、文档等相关目录。
5.当我们使用 useradd 时,系统会参考以下几个文件和目录中的内容:
/etc/default/useradd 该文件中我们对添加用户时会指定相应的默认值
/etc/login.defs 该文件设置用户帐号限制(优先级低于 shadow)
/etc/skel/* linux 用户的骨架文件(如果没有这些,shell 提示会显得非常空洞)。6.用户的邮件文件
对用户所发送的邮件都存储在/var/mail 目录下:
/var/mail/username
7使用 sudo
sudo 是 Unix/Linux 平台上的一个非常有用的工具,它允许系统管理员分配给普通用户一些合理的“权利”,让他们执行一些只有超级用户或其他特许用户才能完成的任务,,这样以来,就不仅减少了 root 用户的登陆次数和管理时间,也提高了系统安全性。
配置 sudo 的方法有以下两种:
(1) 直接编辑/etc/sudoers
(2) 在超级用户的身份下键入 visudo(普通用户的权限不够)
我们建议使用第二种方法来配置 sudo,主要考虑以下原因:
(1) visudo 避免了两个用户同时修改 sudo 的配置文件。如下图所示,我们在一个控制台键入 visudo 后进入 sudo 的配置文件,在另外一个控制台再次键入 visudo 修改时会提示/etc/sudoers 比较繁忙。
(2) 二是 visudo 命令能够进行有效的语法检测,当命令执行完成后如果/etc/sudoers 文件编辑有语法错误的时候它会进行报错。当错误地修改了 visudo 时,它会抛出错误的行号,并且让使用者选择接下来需要做的处理,键入‘e’按钮可以再次的进行编辑,这次编辑不管修改是否合法都不会再给出提示;键入‘x’则是不保存使用者的修改,直接退出 visudo;键入‘Q’是保存并退出。不过不管是 e还是 Q 的修改,如果/etc/sudoers 的语法是有问题的话,sudo 命令是不会生效的。直到错误被更正。
sudo 配置实例:
(1) 让普通用户具有超级用户的所有权限(普通用户==root):
解释:
haha和 root 是授权的用户名
第一个 ALL:网络中的主机
第二个 ALL:目标用户,以谁的身份去执行命令
第三个 ALL:指该授权用户可以执行的命令
简称为“3W1C”原则:
Who where whom command
当我们切换到普通用户 zhangchi,并且创建新的用户的时候,系统给出了警告提示,毕竟 sudo 命令是相当于一种信托一样的机制。需要有足够的责任感。在键入完 haha的密码之后就执行了 sudo 之后的命令.在密码验证完成之后,该用户会获得一个 5 分钟的时间券。在此时间段内执行 sudo 命
令不需要输入密码。
(2) 多个用户的设置(非同一个组群)
1.对于不同需求的用户:可以按照上面的方法依次增加多行,每行对应一个用户。
2.对于相同需求的多个用户采用定义用户别名。如下所示:
User_Alias UUU=user1,user2......
注意:User_Alias 后的名称必须要大写,否则在退出编辑时系统会报错。
(3) 多个命令定义为一个命令别名
可以把同一类型的操作定义成一个命令组,每次可以把这个命令组赋予用户,方便了
visudo 的书写。
Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dh
client, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial,
/sbin/iwconfig,sbin/mii-tool
haha ALL = (root) NETWORKING
(4)让一个组群的用户拥有指定命令
## Allows members of the users group to mount and unmount the
## cdrom as root
%haha ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom