Linux 系统是一个多用户多任务的分时操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪,并控制他们对系统资源的访问;另一方面也可以帮助用户组织文件,并为用户提供安全性保护。每个用户账号都拥有一个惟一的用户名和各自的口令。用户在登录时键入正确的用户名和口令后,就能够进入系统和自己的主目录。
实现用户账号的管理,要完成的工作主要有如下几个方面:
· 用户账号的添加、删除与修改。
· 用户口令的管理。
· 用户组的管理。
注:此说明适用于Debian、Redhat、suse、Ubuntu、Fedora等众多linux系统,并对多少位没有区别。
用户分类:
超级用户 UID=0 root
普通用户 UID500起。由超级用户或者具有超级用户权限的用户创建的用户
虚拟用户 UID 1-499 存在满足文件或服务启动的需要。一般不能登录系统,只是傀儡
用户关联的四个文件:/etc/passwd /etc/shadow /etc/group /etc/gshadow
一、管理用户命令汇总:
命令
注释说明
useradd
同adduser命令,执行此命令可在系统中添加用户
userdel
删除用户及相关用户的配置文件
passwd
为用户设置密码。更改/etc/shadow
chage
修改用户密码有效期限。管理/etc/shadow
usermod
修改用户命令,可以通过usermod来修改登录名,用户的家目录等等
id
查看用户的UID , GID及所归属的用户组
su
用户角色切换命令
sudo
sudo是通过另一个用户来执行命令,su是用户来切换用户,然后通过切换到的用户来完成相应的任务,但sudo能在命令后面直接接命令执行,如:sudo ls /root,不需要root密码就可以执行只有root才能执行相应的命令或具备的目录权限;这个权限需要通过visudo命令或编辑/etc/sudoers来实现
visudo
visudo配置sudo权限的编辑命令;也可以不用这个命令,直接用vi来编辑/etc/sudoers实现。但推荐用visudo来操作(会自动检查语法)
二、/etc/skel 目录
[root@gin ~]# ll -a /etc/skel
total 20
drwxr-xr-x. 2 root root 4096 May 25 02:54 .
drwxr-xr-x. 81 root root 4096 Oct 9 09:07 ..
-rw-r--r--. 1 root root 18 Oct 16 2014 .bash_logout
-rw-r--r--. 1 root root 176 Oct 16 2014 .bash_profile
-rw-r--r--. 1 root root 124 Oct 16 2014 .bashrc
作用:/etc/skel 目录是用来存放新用户配置文件的目录,当我们添加新用户时,这个目录下的所有文件会自动被复制到新添加的用户的家目录下;默认情况下/etc/skel 目录下的所有文件都是隐藏文件(以点开头的文件);通过修改,添加,删除/etc/skel目录下的文件,我们可为新创建的用户提供统一的,标准的,初始化用户环境。
企业面试题:当新建了一个用户,该用户登录时出现如下提示:请问是什么原因?如何解决?
[root@gin ~]# su - gin
-bash-4.1$
-bash-4.1$
解答:出现这种情况的原因是环境变量有问题,解决方案就是拷贝/etc/skel目录下以bash开头的文件到当前用户的家目录即可!
[root@centos home]# mkdir /home/gin
[root@centos home]# cp -a /etc/skel/.bash* ./gin
[root@centos home]# chmod -R 700 gin
[root@centos home]# chown gin:gin -R gin
三、/etc/login.defs配置文件
/etc/login.defs 是设置用户帐号限制的文件。该文件里的配置对root用户无效。
如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs
# *REQUIRED* required
# Directory where mailboxes reside, _or_ name of file, relative to the
# home directory. If you _do_ define both, MAIL_DIR takes precedence.
# QMAIL_DIR is for Qmail
#
#QMAIL_DIR Maildir
MAIL_DIR /var/spool/mail
#创建用户时,要在目录/var/spool/mail中创建一个用户mail文件
#MAIL_FILE .mail
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 99999
#密码最大有效期
PASS_MIN_DAYS 0
#两次修改密码的最小间隔时间
PASS_MIN_LEN 5
#密码最小长度,对于root无效
PASS_WARN_AGE 7
#密码过期前多少天开始提示
#
# Min/max values for automatic uid selection in useradd
#创建用户时不指定UID的话自动UID的范围
UID_MIN 500
#用户ID的最小值
UID_MAX 60000
#用户ID的最大值
#
# Min/max values for automatic gid selection in groupadd
#自动组ID的范围
GID_MIN 500
#组ID的最小值
GID_MAX 60000
#组ID的最大值
#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD /usr/sbin/userdel_local
#当删除用户的时候执行的脚本
#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is overridden with the -m flag on
# useradd command line.
#
CREATE_HOME yes
#使用useradd的时候是够创建用户目录
# The permission mask is initialized to this value. If not specified,
# the permission mask will be initialized to 022.
UMASK 077
# This enables userdel to remove user groups if no members exist.
#
USERGROUPS_ENAB yes
#用MD5加密密码
为什么新建用户时会从该目录下拷贝文件到用户家目录呢?因为有/etc/default/useradd文件的存在!~
四、/etc/default/useradd 文件
/etc/default/useradd 文件是在使用useradd添加用户时的一个需要调用的一个默认的配置文件,可以使用“useradd -D”参数,这样的命令格式来修改文件里的内容。该文件的内容如下:
[root@gin gin]# cat /etc/default/useradd
# useradd defaults file
GROUP=100 ## 表示 用户组ID (依赖于/etc/login.defs的USERGROUPS_ENAB参数,如果为no,则由此处控制)
HOME=/home ## 把用户家目录建在/home中
INACTIVE=-1 ## 是否启用账号过期停权,-1表示不启用
EXPIRE= ## 账号是否启用过期设置 无表示不启用
SHELL=/bin/bash ## 账号使用shell种类
SKEL=/etc/skel ## 配置新用户目录的默认文件存放路径
CREATE_MAIL_SPOOL=yes ## 是否创建邮箱缓存 yes表示创建
五、Linux系统用户账号的管理
用户账号的管理工作主要涉及到用户账号的添加、修改和删除。添加用户账号就是在系统中创建一个新账号,然后为新账号分配用户号、用户组、主目录和登录Shell等资源。刚添加的账号是被锁定的,无法使用。
useradd命令修改的文件:/etc/passwd , /etc/shadow , /etc/group , /etc/gshadow
控制useradd命令默认行为的文件:/etc/default/useradd , /etc/login.defs
1、添加新的用户账号
当使用useradd命令不加参数选项,后面直接跟所添加的用户名时,系统首先会读取配置文件/etc/login.defs and /etc/default/useradd中的定义的参数或规则,根据设置的规则添加用户,同时会向/etc/passwd and /etc/group文件添加新建用户和用户组记录。
当然/etc/passwd and /etc/group的加密资讯文件/etc/shadow and /etc/gshadow也会同步生成记录,同时系统还会根据/etc/default/useradd文件中所配置的信息建立用户的家目录,并复制/etc/skel中的所有文件(包括隐藏的环境配置文件)到新用户的家目录中。
添加新用户帐号使用useradd命令,其语法及选项如下:
useradd 选项 用户名
-c comment 指定一段注释性描述。
-d 目录 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。
-g 用户组 指定用户所属的用户组。
-G 用户组,用户组 指定用户所属的附加组。
-s Shell文件 指定用户的登录Shell。
-u 用户号 指定用户的用户号,如果同时有-o选项,则可以重复使用其他用户的标识号。
-e expire_date 账号终止日期,日期的指定格式为 MM/DD/YY
-f inactive_days 账号过期几日后永久停权。当值为0时账号则立刻停权。为-1时则关闭此功能,预设值为-1
-m 自动建立用户的登入目录。
-M 不要自动建立用户的登入目录。
-n 取消建立以用户名称为名的群组。
-r 创建系统账户
例1:-d , -m参数的使用
# useradd –d /home/olcs -m sam
此命令创建了一个用户sam,
其中-d和-m选项用来为登录名sam产生一个主目录/home/olcs(/home为默认的用户主目录所在的父目录)。
例2:-s , -G参数的使用
# useradd -s /bin/bash -g olcs –G olcs,root gem
此命令新建了一个用户gem,该用户的登录Shell是/bin/bash,它属于olcs用户组,同时又属于root用户组,其中olcs用户组是其主组。
例3:useradd -c -u -G -s -d 多个参数组合例子
自定义用户的家目录,shell类型,所归属的用户组等:添加用户poe6,并设置其用户注释信息为HandsomeBoy,UID指定为806,归属为用户组root , poe , sa成员,其shell类型为/bin/sh,设置家目录为/poe6
[root@gin gin]# useradd -c "HandsomeBoy" -u 806 -G root,poe,sa -s /bin/sh -d /poe6 poe6
## 这三个组必须要先存在
增加用户账号就是在/etc/passwd文件中为新用户增加一条记录,同时更新其他系统文件如/etc/shadow, /etc/group等。
2、删除帐号
如果一个用户的账号不再使用,可以从系统中删除。删除用户账号就是要将/etc/passwd等系统文件中的该用户记录删除,必要时还删除用户的主目录。删除一个已有的用户账号使用userdel命令,其格式如下:
userdel 选项 用户名
常用的选项是-r,它的作用是把用户的主目录一起删除。
# userdel -r olcs
此命令删除用户olcs在系统文件中(主要是/etc/passwd, /etc/shadow, /etc/group等)的记录,同时删除用户的主目录。
3、修改帐号
修改用户账号就是根据实际情况更改用户的有关属性,如用户号、主目录、用户组、登录Shell等。
修改已有用户的信息使用usermod命令,其格式如下:
usermod 选项 用户名
常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等,这些选项的意义与useradd命令中的选项一样,可以为用户指定新的资源值。另外,有些系统可以使用如下选项:
usermod参数选项
注释说明
-c comment
增加用户账号/etc/passwd中的注解说明栏(第5栏)
-d home_dir
更新用户新的家目录,组合-m选项,用户旧的家目录会搬到新的家目录去,如旧的家目录不存在则创建新的家目录
-e expire_date
加上用户账号停止日期。格式为MM/DD/YY
-f inactive_days
账号过期几日后永久停权。当值为0时账号则立刻被停权。而当值为-1时则关闭此功能。预设值为-1
-g initial_group
更新用户的起始登入用户组。用户组名须已存在。用户组ID必须参照既有的用户组,用户组ID预设值为1
-G group.[..]
定义用户为一堆groups的成员,每个用户组使用逗号分隔
-l login_name
修改用户login时的名称为login_name,其余信息不变
-s shell
指定登录shell
-u uid
指定用户UID值。除非接-o参数(usermode -u 505 -o andy),否则ID值必须是唯一的数字(不能为负数)
-L
冻结用户的密码。实际就是间接修改/etc/shadow的密码栏。在密码栏的开头加上!号,即表示冻结。这个冻结密码的功能和usermod -e , useradd -e , chage -E , passwd -l 等命令参数都有类似的功效,那就是让用户无法正常登陆
-U
取消冻结的密码,使之恢复登陆,实际同样是修改/etc/shadow的密码栏,在密码栏的开头取消“! ”号,即表示恢复
实例1:使用不同的方法修改/etc/passwd中用户的说明栏
[root@bruce bruce]# tail -1 /etc/passwd #-->为了进行对比,在修改前进行查看
andy:x:802:803::/home/andy:/bin/bash
[root@centos andy]# usermod -c "AndyLaw" andy
[root@bruce bruce]# tail -1 /etc/passwd
andy:x:802:803:AndyLaw:/home/andy:/bin/bash
实例2:测试 -c , -u , -G , -s , -d等参数!要求添加用户andy6,并设置用户注释为HandsomeBoy,UID指定为806,归属为用户组root,andy , sa成员,其shell类型为/bin/sh,设置家目录为/andy6
[root@bruce bruce]# useradd -c HandsomeBoy -u 806 -s /bin/sh -G root,andy,sa -d /andy6 andy6
[root@bruce bruce]# grep andy6 /etc/passwd
andy6:x:806:806:HandsomeBoy:/andy6:/bin/sh
[root@bruce bruce]# id andy6
uid=806(andy6) gid=806(andy6) groups=806(andy6),0(root),803(andy),804(sa)
提示:在添加新用户时,如果不使用-n参数,系统会自动创建一个与用户同名的用户组,如本例就自动生成了一个andy6的用户组
下面使用usermod命令进行修改 : 要求注释改为uptowngirl,UID修改为1806,归属修改为用户组root , sa成员,其shell类型修改为/bin/tcsh,设置家目录为/tmp/andy6:
[root@bruce bruce]# usermod -c uptowngirl -u 1806 -G root,sa -s /bin/tcsh -d /tmp/andy6
冻结密码
[root@bruce bruce]# grep andy6 /etc/shadow
andy6:$6$V/bwRYJd$aUnJt/DUupmwv00G8kCzmqg61Z0GWCU7aNp7rgeA.YFb2PROvqcZM.WVIlqZjesmIfQgoJR/QoL6b.VdrLybd.:17129:0:99999:7::17131:
[root@bruce bruce]# usermod -L andy6
[root@bruce bruce]# grep andy6 /etc/shadow
andy6:!$6$V/bwRYJd$aUnJt/DUupmwv00G8kCzmqg61Z0GWCU7aNp7rgeA.YFb2PROvqcZM.WVIlqZjesmIfQgoJR/QoL6b.VdrLybd.:17129:0:99999:7::17131:
[root@bruce bruce]# usermod -U andy6
4、用户口令的管理
用户管理的一项重要内容是用户口令的管理。用户账号刚创建时没有口令,但是被系统锁定,无法使用,必须为其指定口令后才可以使用,即使是指定空口令。
指定和修改用户口令的Shell命令是passwd。超级用户可以为自己和其他用户指定口令,普通用户只能用它修改自己的口令。命令的格式为:
passwd 选项 用户名
可使用的选项:
-l , --lock 锁定口令,即禁用账号。
-u , --unlock 口令解锁。
-d , --delete 使账号无口令。
-f , --force 强迫用户下次登录时修改口令。
--stdin 从stdin读入密码 (root only) , 如果默认用户名,则修改当前用户的口令。
-n , --minimun=DAYS 两次密码修改的最小天数,后面接数字,仅root权限操作
-x , --maximun=DAYS 两次密码修改的最大天数,后面接数字,仅root权限操作
-w , --warning=DAYS 在距多少天提醒用户修改密码,仅root权限操作
-i ,--inactive=DASY 在密码过期后多少天,用户被禁掉,仅root权限操作
-S , --status 查询用户的密码状态,仅root权限操作
实例1:我们用-l参数来锁定andy用户,使之不能修改密码,然后再用-u参数来解除锁定
[root@bruce bruce]# passwd -S andy #锁定前查看andy账户的状态
andy PS 2016-11-24 0 99999 7 -1 (Password set, SHA512 crypt.)
[root@bruce bruce]# grep andy /etc/shadow #查看andy账户的密码状态
andy:$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::
[root@bruce bruce]# passwd -l andy
Locking password for user andy.
passwd: Success
[root@bruce bruce]# grep andy /etc/shadow #再次查看密码状态,发现密码前多了两个!!号
andy:!!$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::
#锁定之后,用andy账户登录系统,再修改密码会提示:
[andy@bruce ~]$ passwd
passwd: Authentication token manipulation error
#解除锁定
[root@bruce bruce]# passwd -u andy
Unlocking password for user andy.
passwd: Success
[root@bruce bruce]# grep andy /etc/shadow #解除锁定后,/etc/shadow文件中密码字段前面两个!!号消失
andy:$6$i5dcb9oB$6U2HlaHJqIVZWZNElMgzab.Y7M5nALaE/PT54kq2hrrP6hGjmbQhoqVktDTlX5Kxt.JyB.RNlm.7PkYFO7odG0:17129:0:99999:7:::
实例2:举一个组合参数-x -n -w -i控制密码时效的例子。要求andy用户7天内不能更改密码,60天以后必须修改密码,过期前10天通知andy用户,过期后30天后禁止用户登陆
[root@bruce bruce]# passwd -n 7 -x 60 -w 10 -i 30 andy
Adjusting aging data for user andy.
passwd: Success
#当然使用chage命令也可以实现同样的效果只是参数略有不同:chage -m 7 -M 60 -W 10 -I 30 andy
在root账户下修改andy的密码,然后回到andy账户,再次修改密码出现如下提示:
passwd: Authentication token manipulation error
例如,假设当前用户是olcs,则下面的命令修改该用户自己的口令:
$ passwd
Old password:******
New password:*******
Re-enter new password:*******
如果是超级用户,可以用下列形式指定任何用户的口令:
# passwd olcs
New password:*******
Re-enter new password:*******
普通用户修改自己的口令时,passwd命令会先询问原口令,验证后再要求用户输入两遍新口令,如果两次输入的口令一致,则将这个口令指定给用户;而超级用户为用户指定口令时,就不需要知道原口令。
为了系统安全起见,用户应该选择比较复杂的口令,例如最好使用8位长的口令,口令中包含有大写、小写字母和数字,并且应该与姓名、生日等不相同。
为用户指定空口令时,执行下列形式的命令:
# passwd -d sam
此命令将用户sam的口令删除,这样用户sam下一次登录时,系统就不再询问口令。
passwd命令还可以用-l(lock)选项锁定某一用户,使其不能登录,例如:
# passwd -l olcs
备注:/usr/bin/passwd 是修改用户密码的程序 密码记录在 /etc/shadow
/etc/passwd是用户数据库,其中的域给出了用户名、加密口令和用户的其他信息. /etc/shadow是在安装了影子(shadow)口令软件的系统上的影子口令文件。影子口令文件将/etc/passwd 文件中的加密口令移动到/etc/shadow中,而后者只对超级用户( r o o t )可读。
Linux /etc/shadow文件中的记录行与/etc/passwd中的一一对应,它由pwconv命令根据/etc/passwd中的数据自动产生。
5、口令时效
口令时效是系统管理员用来防止机构内不良口令的一种技术。在Linux系统上,口令时效是通过chage命令来管理的,格式为:chage [option] username
下面列出了chage命令的选项说明:
-m days: 指定用户必须改变口令所间隔的最少天数。如果值为0,口令就不会过期。
-M days: 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时,用户在使用该帐号前就必须改变口令。
-d days: 指定从1970年1月1日起,口令被改变的天数。
-E date: 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期,也可以使用自1970年1月1日后经过的天数。
-W days: 指定口令过期前要警告用户的天数。
-I --inactive: 在密码过期后多少天,用户被禁掉,仅能以root操作
-l --list :显示账户年龄信息
该命令记住两个参数-E , -l即可,其它的选项可以使用passwd来替代!
例如下面的命令要求用户user1两天内不能更改口令,并且口令最长的存活期为30天,口令过期前5天通知用户
chage -m 2 -M 30 -W 5 user1
可以使用如下命令查看用户user1当前的口令时效信息:chage -l user1
提示:
1)可以使用chage 进入交互模式修改用户的口令时效。
2)修改口令实质上就是修改影子口令文件/etc/shadow中与口令时效相关的字段值。
动态密码:第三方提供也可自己开发 http://wiki.radiowar.org/
六、Linux系统用户组的管理
每个用户都有一个用户组,系统可以对一个用户组中的所有用户进行集中管理。不同Linux 系统对用户组的规定有所不同,如Linux下的用户属于与它同名的用户组,这个用户组在创建用户时同时创建。用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。
groupadd参数选项
注释说明
-g
指定用户组GID值。除非接-o参数(如:groupadd -g 1234 -o andy),否则ID值必须是唯一的数字(不能为负数)。如果不指定-g参数,则预设值会从500开始。
-r
建立系统用户组。GID值会比/etc/login.defs中定义的UID_MIN值小。
如:groupadd -r ett;grep ett /etc/group #-->分号分隔两个命令
ett:x:105: #-->GID为105,小于500了
-f
新增一个账户,强制覆盖一个已经存在的用户组账号。
1、增加一个新的用户组
增加一个新的用户组使用groupadd命令,其格式如下:
groupadd 选项 用户组
可以使用的选项有:
-g GID 指定新用户组的组标识号(GID)。
-o 一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。
# groupadd olcs
此命令向系统中增加了一个新组olcs,新组的组标识号是在当前已有的最大组标识号的基础上加1。
#groupadd -g 101 group1
此命令向系统中增加了一个新组group2,同时指定新组的组标识号是101。
2、删除已有用户组
如果要删除一个已有的用户组,使用groupdel命令,其格式如下:
groupdel 用户组
例如:
#groupdel group1
此命令从系统中删除组group1。
3、修改用户组的属性
修改用户组的属性使用groupmod命令。其语法如下:
groupmod 选项 用户组
常用的选项有:
-g GID 为用户组指定新的组标识号。
-o 与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。
-n新用户组 将用户组的名字改为新名字
# groupmod -g 102 group1
此命令将组group1的组标识号修改为102。
# groupmod –g 10000 -n group2 group1
此命令将组group1的标识号改为10000,组名修改为group2。
4、用户在用户组间切换
如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。例如:
$ newgrp root