linux的用户和用户组

用户是必须的吗?

用户:标识计算机上的资源的归属
密码:对用户的身份做验证

登录的时候计算机如何做身份验证?

在计算机内部预先有一个数据库,在数据库中保存用户名和对应的密码,用户登录时候通过比对数据库来检查用户和密码是否正确

什么是数据库?
用来保存数据的文件,数据库管理软件(oracle mysql sqlserver db2)

保存账号和密码的数据库文件

/etc/passwd   <<<< 保存系统中的全部的用户名
/etc/shadow   <<<< 保存各个用户的密码
/etc/group    <<<< 保存系统中的全部用户组名
/etc/gpasswd  <<<< 保存各个用户组的密码

windows下新建用户

计算机-管理-本地用户和组-用户-新建 (用户名 密码)
计算机-管理-本地用户和组-组-新建(用户组)添加用户
windows下有用户和组,linux中同样有用户和,linux中一个用户也可以同属多个组,100个用户授权的话需要授权100次,直接把用户加到组中,直接授权组

用户和用户组

用户:登录系统的用户名
用户组:多个用户的合集

用户组的作用

方便为多个用户批量授权

用户身份标识

计算机为每一个用户设置一个唯一的数字,当计算机识别用户的时候,通过
该数字来识别的,数字就是UID(User IDentifier)

用户组身份标识

GID

注意:为用户赋权的时候,其实是针对uid赋权的
例子:zs--uid=601
赋权:zs可以访问文件a.txt
本质:让uid为601的用户可以访问a.txt

/etc/passwd文件详解

cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin

文件的作用
这个文件中保存了系统中的全部用户,每行是一个用户
每个用户的信息包括7部分,如下
第一段:用户名
第二段:用户密码占位符,为了安全将密码放在另外一个文件中
(/etc/shadow)
第三段:用户的UID
第四段: 用户所在组的GID(该组是用户的基本组)
第五段:用户的描述信息(可以随便写)
第六段:用户的家目录
第七段:用户的shell类型
    常见的shell类型
     1:/bin/bash <<<< 默认是该shell的时候,可以登录系统
     2:/sbin/nologin  <<<该shell的用户是无法登录系统的
例子:统计有多少用户
    [root@localhost ~]# cat /etc/passwd | wc -l
例子:统计当前系统中有多少用户可以登录系统
    [root@localhost ~]# grep "/bin/bash$" /etc/passwd
    root:x:0:0:root:/root:/bin/bash
    zhangsan:x:500:500::/home/zhangsan:/bin/bash
    lisi:x:502:502::/home/lisi:/bin/bash
    zs:x:503:503::/home/zs:/bin/bash
    [root@localhost ~]# grep "/bin/bash$" /etc/passwd |wc -l
    4

用户的分类

管理员
    UID 0 
    特点:默认只有一个,就是root root不受任何权限的约束
系统用户
    UID 1-499
    特点:在安装完成linux之后或者安装了某个程序执行自动生成
    的用户,这类用户是默认情况不能登录系统的,这类用户存在的
    目的是为了运行特定的服务(程序、进程)
    默认系统用户也没有家目录
普通用户
    UID 500+
    特点:需要运行命令 useradd来创建
    普通用户的权限非常小,通常仅仅能在自己的家目录下进行操作
    该类用户的家目录/home下和用户同名的目录

用户组的分类

用户的基本组(用户的主组)
    在/etc/passwd中第四个字段(GID)所指向的组就是用户的基本组
用户的附件组
注意:一个用户可以属于多个组。同一时间,只能有一个是主组,其他的就是附加组,除了主组之外的其他组就是该用户的附加组

补充:在用useradd创建普通用户的时候,默认情况下,会创建一个组,组名和用户名
相同,该组默认就是该用户的基本组(主组)    
useradd bajie
tail /etc/passwd
cat /etc/group

补充:linux的文件属性
属主:文件的属主(谁创建的文件,文件的属主就是谁)
属组:设置文件对于一个特定用户组所具有的权限,这个组就是该文件的属组
注意:属组、属主默认都只有一个
如果一个用户既不是属主,也不是属组的组内用户,那么该用户就是"其他用户"

三类用户

属主
属组的组内用户
其他用户

创建用户

useradd命令
    作用:新建用户
    格式:useradd [options]用户名
    选项:
        -c "string" 设置新用户的描述信息
        -d "/path/to/dir" 设置用户的家目录
        -e 月月/日日/年年:指定账号的过期日期
        -g GID:指定用户的主组ID号或名称
        -G GID,GID,GID:指定用户的附加组的ID号或名称
        -m 在创建用户的时候,如果用户家目录不存在,则自动创建(该选项
        自动使用)
        -M 不自动创建用户家目录
        -r 创建系统用户
            用此选项创建的用户有以下特点
                1、默认用户无家目录
                2、默认用户uid<500
                3、默认用户的shell是bash
                4、用户可以登录系统
        -s shType:指定用户的shell类型
            常用的shell
                /bin/bash
                /sbin/nologin
        -u UID 指定用户的uid
        -u UID -o 指定让新用户使用一个现有的ID
    [root@localhost ~]# useradd -c "i am tom" tom
    [root@localhost ~]# tail /etc/passwd
    tom:x:505:505:i am tom:/home/tom:/bin/bash

    useradd zhangsan   创建用户zhangsan
    tail /etc/passwd   查看用户是否存在
    id 用户名          可以查看用户是否存在

例子:新建用户jerry,要求主组为gp01,附加组为gp02 和gp03
    [root@localhost ~]# useradd -g gp01 -G gp02,gp03 jerry
    [root@localhost ~]# tail /etc/passwd
    [root@localhost ~]# tail /etc/group

例子:创建一个用户kity,要求将其创建为系统用户(无家目录,uid<500,不能登录系统)
     useradd -r -s /sbin/nologin kity

例子:新建用户2222并指定UID为600
    useradd -u 600 2222
    tail /etc/passwd
    lll:x:507:509::/home/lll:/bin/bash
    2222:x:600:600::/home/2222:/bin/bash

例子:新建用户dog,要求其uid为660,主组为gp02,附加组为gp01,gp03,家目录在/tmp/dog,指定shell类型为bin/bash
    useradd -u 660 -g gp02 -G gp01,gp03 -d /tmp/dog -s /bin/bash dog

groupadd命令
    作用:新建用户组
    格式:groupadd [选项]组名
    选项:-g:指定用户组的组id
    [root@localhost ~]# groupadd gp01 
    [root@localhost ~]# groupadd gp02
    [root@localhost ~]# groupadd gp03
    [root@localhost ~]# tail /etc/group
    gp01:x:506:
    gp02:x:507:
    gp03:x:508:

id命令

作用:显示指定用户的id信息
格式:id[选项]用户名
选项:
     -u:显示用户的UID
     -g:显示用户的主组的ID
     -G:显示用户的全部租的ID列表

     id -g hhhhh 
     useradd 
    [root@localhost ~]# useradd -u 670 -g gp01 -Ggp02,gp03 hhhhh
    [root@localhost ~]# id hhhhh
    uid=670(hhhhh) gid=506(gp01) groups=506(gp01),507(gp02),508(gp03)
    [root@localhost ~]# id -G hhhhh
    506 507 508
    [root@localhost ~]# id -g hhhhh
    506
    [root@localhost ~]# id -u hhhhh
    670

passwd命令

作用:修改用户的密码(给用户设置密码)
格式:passwd[选项]用户名
注意:
    1:passwd 用户 修改指定用户的密码
    2:passwd 修改当前用户的密码
    3:默认情况只有root用户,才能修改其他用户的密码,普通用户只能修改自己的密码
    选项:
    -l:锁定用户(只有root才能进行锁定操作)
    -u:解锁用户
    --stdin:从表示输出来读取内容,为用户设置密码(shell脚本中使用)

影子文件 /etc/shadow

作用:保存密码
root:$6$HhL6V5BM$f29xu.FUgGnQqNtmqLGAyOy/fLMlF/JepDTfgoaqvC4.b7wiVmMc7i3HRDMVNdYQACOK9d3.wsgbZi1hPAEoj/:17997:0:99999:7:::
第一个字段:login name :系统中存在的用户名
第二个字段:encrypted password :这里存放的是加密后的密码(单向加密)
        1:如果密码段中出现!或*,那么就不能用此密码登录系统
        2:如果密码段为空,则表示空密码,但是系统往往禁止使用空密码登录
        3:如果密码开头是*,表示密码被锁定了

第三个字段:date of last password change:密码上次修改的日期,这里所写的是举例
        1970-1-1所经过的天数。
        (1)如果该字段为0,会要求用户在下次登录的时候修改密码
        (2)该文件不能为空
第四个字段:minimum password  age ,两次修改密码的最短时间
        1、为空或者为0,表示没有最短时间限制

第五个字段:maximum password age:密码的最长有效期
        1、如果字段为空或者99999,表示不限制最长有效期
        2、如果最长时间小于最短时间,则禁止该用户修改密码
第六个字段:password warning period
        指定在密码到期前N天发送报警信息
        1、如果为0,表示不会自动发送报警信息
        2、在此期间内,用户可以正常登陆系统
第七个字段:password inactivity period:密码的非活动时间
        1、在此期间登陆系统的时候,必须先修改密码才能登陆系统。
        2、如果在此阶段仍然没有修改密码,那么就真的登陆不上了(找管理员处理)
第八个字段:account expiration date:用户的过期日期
        1、表示方式也是用距离1970.1.1所经过的天数
        2、该字段为空,表示该字段永不过期
        3、0表示用户被禁用

第九个字段:reserved field :尚未使用

注意:
密码过期:修改密码可以继续使用
账户过期:账户再也不能登录系统

/etc/passwd <<<用户基本信息 ,useradd新建用户,用户的信息保存在这里
/etc/group  <<<用户组信息,groupadd新建用户组,用户组的信息保存在这里。
/etc/shadow <<<用户的密码文件,passwd的时候,其实就是修改这个文件中的内容

userdel命令

作用:删除用户
    格式: userdel [options] 用户名
    选项:
    -r :在删除用户的同时,删除用户的家目录

chsh命令

作用:修改用户的shell类型
格式:chsh[-s type]username
(本质上就是修改/etc/passwd中的内容)

chfn命令

作用:修改用户的注释信息

usermod命令

作用:修改用户的基本信息(/etc/passwd)
格式:usermod [options]username
选项:
    -g GID:修改基本组
    -G GID: 修改附加组
    -u UID:修改uid值
    -C string:修改用户的描述
    -d /path/dir:修改用户的家目录
    -s SHELL:修改用户的shell类型
    -l newName:修改用户的名称
    -L 锁定用户
    -U 解锁用户

su命令

作用:切换用户
格式:[options]用户
选项
    -[l]:切换用户,并且继承用户的环境变量
    -c 命令:在不切换用户情况下,以指定用户的身份来执行命令

注意:

su切换用户后返回,需要执行命令exit

例子:以root身份执行mkdir命令

$ su - -c "mkdir /abc1" root

生产环境的注意事项:

在生产环境中,如果员工离职,通常是禁用用户,在短时间内是不会删除用户的,更不会删除用户的家目录以及家目录中的文件。

禁用用户

修改shell类型/sbin/nologin
在密码前加上!
设置账户的过期时间为0(密码文件的第八段)

权限

r:读  可以执行cat、head、more、less等命令读取文件中的内容,也可以用vi打开并读取文件中的内容
w:写  可以用vi或者重定向等操作文件中写入内容或者修改其中的内容
x:执行 可以执行文件(把程序转换成进程)

目录的权限

r:可以执行ls命令来查看目录下的文件有哪些
w:可以在目录下执行文件的创建和删除等操作
x:可以执行cd命令

用户的角色有三类

属主用户(u)user
属组用户(g)group
其他用户(o)other
全部用户(a)all

文件的权限位一共有10位
第一位:表示文件的类型

-:一般文件
d:目录
l:链接文件
s:套接字文件
第二到第四位:表示文件的属主所具有的权限
第五到第七位:表示文件的属组的组内用户所具有的权限
第八到第十位,表示系统中的其他用户所具有的权限
注意:
1、每一类用户的权限的顺序都是:读权限、写权限、执行权限
2、如果用户有对应的权限,就出现字符,如果没有对应的权限就用-表示。

例子:[root@localhost tmp]# ls -l 1.txt 
       -rw-r--r-- 1 root bin 149 Apr 16 18:22 1.txt
文件的属主权限:可读可写
文件的属组用户权限:只读权限
其他用户的权限:只读权限

chown命令

作用:修改文件的属主
格式:chown userName [-R]fileNAme
选项: -R 在修改目录的时候,将目录和目录中的文件都一并修改
例子:将文件a.txt的属主改为zhangsan
chown zhangsan a.txt

例子:将目录yunwei和yunwei中的文件的属主都修改为zhangsan
chown -R zhangsan yunwei

chgrp命令

作用:修改文件的属组
例子:将文件a.txt的属组改为tom
chgrp tom a.txt
例子:将文件a.txt的属主改为zhangsan ,属组改为tom
chown zhangsan.tom a.txt 
或者
chown zhangsan:tom a.txt
注意:
修改属主或者属组的时候,那个用户名和组名是存在的,否则报错。

chmod命令

作用:修改文件的权限
格式:chmod 权限  -R fileName
选项:-R 
方式:
    +:增价某项权限
    -:去除权限
    =:将权限修改为指定的类型(和原来的权限无关)

例子:修改文件a.txt的权限
去除属主的写权限
将属组的权限设置为读和写
给其他用户添加写权限
chmod u-w,g=rw,0+w a.txt

例子:给全部用户都添加上执行权限
chmod ugo+x a.txt
或者
chmod a+x a.txt
或者
chmod +x a.txt

例子:去除其他用户的全部权限
chmod o=  a.txt
chmod o-rwx a.txt

基于数字表示文件的权限

r:4
w:2
x:1
---   000   0
--x   001   1
-w-   010   2
-rx   011   3 
r--   100   4
r-w   101   5
rw-   110   6
rwx   111   7

例子:将文件a.txt的属主改为可读可写,属组改为可读,其他用户没有任何权限

#chmod 640 a.txt

创建用户的原理

和用户相关的文件
1、/etc/passwd
2、/etc/shadow
3、/etc/group
4、/etc/skel                      <<<<用户家目录的模版
5、/etc/login.defs                <<<<控制新建用户的默认属性
6、/etc/defaults/useradd          <<<<控制新建用户的默认属性
7、/var/spool/mail/用户名

新用户的家目录如果生成

1、将/etc/skel目录复制home下,改名为和用户名相同
2、将该目录的属主和属组改为用户名
3、将该目录的权限设改为700
假设新建一个用户laosun
#cp r /etc/skel /home/laosun
#chown -R laosun.laosun /home/laosun
#chmod -R 700 /home/laosun

MAIL_DIR    /var/spool/mail 指定新建用户的邮件文件的默认位置
(默认邮件文件的名称和用户名相同)
PASS_MAX_DAYS   99999
新用户的密码最长有效期

PASS_MIN_DAYS   0
修改密码最短间隔时间

PASS_MIN_LEN    5
普通用户密码的最短长度

PASS_WARN_AGE   7
密码到期前警告时间

UID_MIN           500
新建普通用户的默认UID最小值

UID_MAX         60000
新建普通用户的默认UID最大值

GID_MIN           500
新建普通用户的默认GID最小值

GID_MAX         60000
新建普通用户的默认GID最大值

CREATE_HOME yes
是否默认创建用户家目录

UMASK           077
反向掩码值(用来控制新建文件和目录的默认权限值)

USERGROUPS_ENAB yes
当用户组中没有用户了,是否删除用户组

ENCRYPT_METHOD SHA512
指定加密算法
SHA512
MD5

加密后的密码由三部分构成

$6$qSBbNTqA$ESH1UDekytAKPw4olQNulWQv/uZxOJETUQOcB
$加密算法$随机字符串$加密后的数据
说明:
加密算法:
 1、表示MD5加密
 6、SHA512加密

vim /etc/default/useradd 

# useradd defaults file
GROUP=100                
HOME=/home               <<<<<默认普通用户的家目录的位置
INACTIVE=-1              <<<<<设置新用户账号是否过期。-1表示不启用
EXPIRE=                  <<<<<设置新建账户的过期日期,空白表示不启用
SHELL=/bin/bash          <<<<<设置新建用户的默认shell类型
SKEL=/etc/skel           <<<<<指定新建用户的家目录模版目录
CREATE_MAIL_SPOOL=yes    <<<<<设置是否给新建的用户创建用户邮件

新建用户

useradd
passwd

完成的操作

1、/etc/passwd 添加一行
2、/etc/shadow 添加一行
3、/etc/group  添加一行
4、创建用户家目录
5、创建用户邮件文件

例子:创建用户timi,要求uid 777,主组hadoop (800)

附加组 python (850) hbase(860) 家目录 /home/timi
描述 i am timi
密码设置为123 最少使用3天才能修改,最长使用30天,到期
前5天发送报警,非活动时间2天。

实现步骤:

1、创建用户基本信息(/etc/passwd)
vim /etc/passwd
timi:x:777:800:i am timi:/home/timi:/bin/bash

2、检查用户
id timi
3、使用openssl来生成密码
格式:openssl -1 --salt "string" 
说明:
    -1 表示md5加密算法
    --salt表示在加密的时候掺入杂志(提升安全性)
[root@localhost ~]# openssl passwd -1 -salt "abc123"
Password: 
$1$abc123$uE7.dLhrmG/qKHqAIlwPi.

4、修改密码文件

timi:$1$abc123$uE7.dLhrmG/qKHqAIlwPi.:18005:3:30:5:2::

5、创建用户组
    vim /etc/group

    hadoop:x:800:
    python:x:850:timi
    habse:x:860:timi

6、创建用户家目录
# cp -r /etc/skel /home/timi
# cd /home/
# chown -R timi.hadoop /home/timi/
# chmod -R --reference=*** timi   ***已经存在于/home中
    (把timi的权限参照改为***的权限)
7、创建用户邮件
cd /var/spool/mail/
ls
touch timi
chmod 660 timi
chown timi.mail timi
8、测试用户是否可以正常使用

补充: 
#useradd guizi
useradd 警告:此主目录已经存在。
不从sekl目录里向其中复制任何文件。   <<<<<1
正在创建信箱文件,文件已存在         <<<<<2
新建用户出现这个错误信息,就表示
1、表示用户的家目录已经存在
2、表示用户的邮件文件已经存在