Linux命令--用户和用户组管理

4.1 普通用户的管理

/etc/passwd文件:存储用户的相关信息。(包括用户名、字码、主目录位置等。可以用vipw命令编辑/etc/passwd文件。vipw类似于vi,但在编辑文件时对文件加锁,编辑结束后解锁。文件格式为:Username:encrypted password:UID:GID:full name:home directory:login shell。例:root:x:0:0:root:/root:/bin/bash。因为linux2.0以上版本因为安全性,把密码与用户基本信息分开存储,所以在存放密码的位置为“x”标识。真正的密码在/etc/shadow文件中。用户标识号UID为整数,取值范围为0~65535。0~439一般由系统保留,其中“0”为根用户。用户组标识号GID也为整数,0~439被系统保留,用户组的具体定义在/etc/group文件。个人信息描述 full name记录用户的真实姓名、电话、地址、邮编等信息,各项之间用“,”分隔,该字段可以为空。登录目录home directory是用户登录系统后的默认目录,通常就是用户的主目录,一般在/home下。根用户的登录目录为/root。登录Shell是用户以文本方式登录系统后启动的Shell进程,常用的包括sh(Bourne Shell)、csh(C Shell)、ksh(Korn Shell)、tcsh(TENEX/TOPS-20 type C Shell)、bash(Bourne Again Shell)等。)

/etc/shadow文件:存储用户密码。(passwd文件可被普通用户访问,而shadow文件只能被根用户访问。文件格式为:Username:Encrypted password:Number of days:Minimum password life:Maximum password life:Warning period:Disable account:Account expiration:Reserved,分别表示用户名、密码、从1970年到上次修改密码的天数、密码必须连续使用的天数、密码有效期、密码失效前告警的天数、从密码过期到彻底停用的天数、账号失效日期、保留字段。例:daemon:*:15089:0:99999:7:::。密码由 MD5(Message Digest v5)算法加密。)

pwconv:创建影子文件。(把/etc/passwd中的密码转换为“x”,同时创建影子文件/etc/shadow保存密码。)

pwunconv:从影子文件恢复密文。(与pwconv相反,把/etc/shadow中的密码加入到/etc/passwd文件中,并删除/etc/shadow文件。)

useradd:添加新用户。(adduser是useradd的一个链接。-c comment:用户的注释说明;-d home_dir:登录目录;-e expire_date:帐号失效日期;-f inactive_days:帐号过期到永久停用的天数,值为0时表示帐号到期后立即停用,系统默认值为-1,表示账号不会被停用;-g initial_group:用户默认的用户组或默认用户组ID,必须是已经存在的,默认值为100,表示users组;-G group:设定该用户为若干用户组的成员,每个用户组之间用“,”分隔,且不可夹杂空格;-m:用户目录如不存在则自动建立;-k:把目录 skeleton_dir和/etc/skel的文档复制到用户目录中,默认下-m和-k都不被启用;-M:不建立用户主目录,使用/etc /login.defs系统文件对用户进行设定;-n:系统默认用户组名称与用户名称相同;-r:建立系统帐号,即比定义在/etc /logins.defs中的UID_MIN小的值,UID_MIN的默认值是500,-r不会创建用户主目录,除非指定-m参数;-sehll default_shell:指定用户的登录Shell,默认为/bin/bash;-u uid:用户UID;-D:单独使用时显示当前默认值,与其它选项一起使用表示在默认设置的基础上重新设定默认值。)

usermod:修改用户的帐号。(支持useradd命令的选项,如-c、-d、-e、-f、-g、-G、-s、-u,此外还支持-l login_name:变更用户登录时的名称。)

userdel:删除用户。(删除用户在系统的账户信息。-r删除用户主目录下的文档,不指定该选项则保留主目录。删除用户前,应该等待该用户的进程执行完毕,或用ps -aux | grep "username"终止。此外还应查看是否有该用户的定时任务,用命令crontab -u username -r。)

passwd:修改用户密码。(-k:只有密码过期才需要用户设定密码。-l:通过在用户的密码字段加前缀“!”,对用户进行锁定。锁定的用户无法登录系统。--stdin:从标准输入重新读入密码。-u:与-l相反,删除密码字段前的“!”对锁定的用户进行解锁,口令为空的用户原则上是不允许解锁的,配合-f可强制解锁;-d:快速删除用户的密码。-n mindays:设定最短的密码有效期。-x maxdays:设定最长的密码有效期。-w:密码过期前,提前发出警报的天数。-i inactivedays:密码过期到帐号停用的天数。-S:显示指定用户当前密码状态。passwd单独使用时改变当前用户的密码。根用户可以用 passwd username修改其他用户的密码。)

newusers:批量创建用户。(首先建立一个用户信息文件,格式与/etc/passwd相同,之后用命令newusers < filename来添加文件中定义的用户。如果不使用管道方式“<”,可以在标准输入中输入各行,以ctrl+d表示结束。)

chpasswd:批量创建用户密码。(与newusers类似,从文件中导入密码信息,文件格式为username:password。)

chage:查看帐户密码的有效期。(例:chage -l username。)


4.2 根用户的管理

su:变更用户身份。(例:su username。不输入用户名时,默认的用户为root。)

chroot:改变根目录。(对进程建立新的虚拟根目录“/“,通常保护真正的根目录。chroot newroot [command]。例:创建目录/tmp/empty,把ls链接到该目录,再运行chroot /tmp/empty /ls -Rl /。)


4.3 用户组的管理

/etc/group文件:存储组信息。(文件格式:用户组:加密密码:GID:组成员列表。密码用“x”代替。)

/etc/gshadow文件:存储组密码。(文件格式:用户组名称:加密密码:管理员帐号:组成员列表。管理员可以对该组进行增、删、改等操作。)

groupadd:添加新用户组。(命令格式:groupadd [-g GID [-o]] [-r] [-f] [-K KEY=VALUE] groupname。-g GID:用户组id;-r:创建小于500的系统组,若不指定-g,则按递减顺序从小于500的可用值中挑选;-f:如果所定义的组已存在,则退出并显示成功信息,若-g和-f合用,且-g指定的组已存在,则-g指定的组被忽略且新的group会分配另一个id值;-o允许指定不唯一的GID;-K KEY=VALUE:重载/etc/login.defs中的默认值,例如设置GID_MIN;groupname:用户组名称。)

groupmod:修改用户组属性。(-g GID;-n new groupname。例:groupmod -g 503 -n yourgroup mygroup。)

groupdel:删除用户组。(必须等待该用户组的所有用户退出系统才能正常删除。)

newgrp:切换所属用户组。(一个用户同时可以属于多个用户组,但用户登录系统后,默认只属于一个用户组,newgrp可以使用户在多个用户组之间进行切换。语法:newgrp [-] [groupname]。“-”用于重新加载用户工作环境,否则工作环境不改变。)


4.4 用户和用户组管理的安全防范措施

ac:统计用户连接时间。(ac查看系统总的连接时间。ac -p按用户进行统计。ac -d按天对连接进行汇总。)

last:查询最近的使用者登录时间。(例:last -n 10仅显示10行记录。)

lastb:显示最近登录系统失败的用户信息。

who:查询当前系统中登录的用户。(-H显示标题栏;-i显示空闲时间字段;-T显示用户状态;-m显示使用当前标准输入设备的用户;-q显示所有登录的用户名以及登录用户的数目;-p显示由init进程创建的活动进程。)

w:查看登录用户及其进行的操作。(-f显示登录用户信息,但不显示登录位置。-s以精简模式显示登录用户信息;-h不显示标题栏;w root只查询root用户的信息。)


4.5 其他用户和用户组管理的常用命令

finger:查找并显示用户信息。(finger -l显示用户信息。finger username显示特定用户的信息。)

groups:显示指定用户所属的用户组。(groups显示当前用户所属的用户组。groups username显示特定用户的用户组。)

id:显示用户的UID、GID。(id显示当前用户的UID、 GID、和用户所属的组列表。id username显示特定用户的相应信息。-g显示当前组ID;-G显示用户所属的所有组ID;-u显示用户ID;-n显示名称而非数字;-r显示真实用户ID而非有效用户ID。)

logname:显示登录用户的用户名。

rwho:查看登录本地的用户信息。(与who类似,但可以显示局域网中多台主机的用户登录信息。当rwho命令在11分钟内没有收到主机的反馈信息,则会认为主机已关闭,也不会报告已知的登录用户。除非使用-a选项,否则忽略1小时内没有操作的用户。)

users:显示当前登录的用户。

write:将信息实时传递给登录的用户或终端。(例:write username<回车>this is message<回车>。)

whoami:显示当前用户信息。


4.6 用户及用户组管理命令的综合应用

/etc/nologin文件:引起普通用户无法登录的问题。(通过touch /etc/nologin命令可以建立该文件。删除该文件可以解决普通用户不能登录的问题。ssh不查看/etc/nologin文件,所以即使该文件存在,使用ssh仍可以登录系统。)

你可能感兴趣的:(Linux,linux,shell,存储,加密,login,文档)