7.1用户配置文件
7.1.1用户信息文件 etc/passwd
1、用户管理简介
◆所以越是对服务器安全性要求高的服务器,越需要建立合理的用户权限等级制度和服务器操作规范。
◆在Linux中主要是通过用户配置文件来查看和修改用户信息
2、/etc/ passwd :用户基本信息文件(一共7个字段)(
more /etc/passwd)
如: root:x:0:0:root:/root:/bin/bash
◆第1字段:用户名称
◆第2字段:x密码标志,表示它是有密码的,存放在/etc/shadow中
◆第3字段:UID(用户ID)
0:超级用户
1-499:系统用户(伪用户)
500-65535:普通用户
◆第4字段:GID(用户初始组ID)
◆第5字段:用户说明
◆第6字段:家目录
普通用户:/home/用户名/
超级用户:/root
◆第7字段:登录之后的 Shell
3、初始组和附加组
◆初始组:就是指用户一登录就立刻拥有这个用户组的相关权限,每个用户的初始组只能有一个,一般就是和这个用户的用户名相同的组名作为这个用户的初始组。每个人必须有一个用户组且只能有一个
◆附加组:指用户可以加入多个其他的用户组,并拥有这些组的权限,附加组可以有多个
4、Shell是什么
◆Shell是 Linux的命令解释器。
◆在 etc/passwd当中,除了标准Shell是/ bin /bash之外(普通用户和超级用户都是这个,才可以正常登录),还可以写如/sbin/ nologin(伪用户-禁止登录)。
7.1.2用户配置文件-影子文件/etc/shadow
看通过命令:ll /etc/passwd 看权限
ll /etc/shadow 看权限(在shadow中保护的是加密的密码串)
vim /etc/shadow
可以看到如下信息:
1 root:$6$e9Gr95N8uPZGB6D8$dDoz1ABUn2EaKPt3B75Yi.HvlO2.1IvjR 2/OI/CdJbSowAXcyQRoONQ1dUpJHlCQ8MVRyFBNw4c/B5ElCkB7m/:18384:0:99999:7:::
2 bin:*:17246:0:99999:7:::
····················································································
1、影子文件/etc/ shadow
◆第1字段:用户名
◆第2字段:加密密码
加密算法升级为SHA512散列加密算法
如果密码位是“!!”或“*”代表没有密码,不能登录
◆第3字段:密码最后一次修改日期
使用1970年1月1日作为标准时间,每过一天时间戳加1
◆第4字段:两次密码的修改间隔时间(和第3字段相比)
◆第5字段:密码有效期(和第3字段相比)
◆第6字段:密码修改到期前的警告天数(
和第5字段相比)
◆第7字段:密码过期后的宽限天数(和第5字段相比)
0:代表密码过期后立即失效(没写也是,到期后就会失效)
-1:则代表密码永远不会失效
◆第8字段:账号失效时间
要用时间戳表示
◆第9字段:保留
2、时间戳换算
◆把时间戳换算为日期
命令:date -d "1970-01-01 16066 days"
只要改掉里面的时间戳“16066”,就可以计算相应日期了
◆把日期换算为时间戳
echo $(($(date --date="2014/01/06" +%s)/86400+1))
表示:把当前的是时间2014-1-6号 加 %s换算成秒(与1970-1-1相比过去了多少秒),之后除以一天的秒数86400,之后加1,就可以得到时间戳
7.1.3用户配置文件组信息文件 etc/group和组密码文件/etc/gshadow
1、组信息文件 /etc/group
◆第一字段:组名
◆第二字段:组密码标志
◆第三字段:GID
◆第四字段:组中附加用户
2、组密码文件 /etc/gshadow(不推荐使用)
第一字段:组名
第二字段:组密码
第三字段:组管理员用户名
第四字段:组中附加用户
7.2用户管理相关文件
普通用户是$,超级用户是#
1、用户的家目录
◆普通用户:home/用户名/,所有者和所属组都是此用户,权限是700
命令:ll /home/
可以看到有哪些普通用户
如: home/usr1/ 是usr1的家目录
◆超级用户:/root/,所有者和所属组都是root用户,权限是550
命令:ll -d /root
可以看到超级用户有哪些
将普通用户变为超级用户:
vim /etc/passwd
然后把usr1的UID改为root用户所在的组ID ,即改为0
如:usr1:x:0:502::/home/usr1:/bin/bash
登录usr1,就可以看到提示符变为#,但是其家目录(pwd)还是在/home/usr1下,只是改变了
2、用户的邮箱:/var/spool/mail/用户名/
先 cd /val/spool/mail/
然后ls,可以看有哪些用户有mail目录
最后用 more 用户名
就可以查看该用户收到的邮件了
3、用户模板目录
◆/etc/skel/
添加用户时自动创建的一些隐藏文件,是从这个目录拷贝来的。
7.3用户管理命令
7.3.1用户添加命令useradd
1、 useradd命令格式
[root@localhost ~]# useradd [选项] 用户名
如:useradd -g root usr1
新建一个用户usr1并且加入root组
选项:
-u UID:手工指定用户的UID号
-d 家目录:手工指定用户的家目录
-c 用户说明:手工指定用户的说明
-g 组名:手工指定用户的初始组
-G 组名:指定用户的附加组(可以多个),用逗号做分隔符
-s shell:手工指定用户的登录 shell 默认是bin/bash
2、添加默认用户[root@localhost ~]# useradd sc
[root@localhost ~]# grep sc/etc/passwd
[root@localhost ~]# grep sc /etc/shadow
root @localhost】# grep sc/etc/group
[root@localhost ~]# grep sc /etc/gshadow
[root@localhost ~]# ll -d /home/用户名 :看到家目录
[root@localhost ~]# ll /var/spool/mail/用户名 :邮箱
3、指定选项添加用户
useradd -u 550 -G root, bin -d/home/lamp1 \
-c "test user" -s /bin/bash sc
其他没写的值,是在下面两个默认文件中的
4、用户默认值文件
vim /etc/default/useradd
GROUP=100 #用户默认组
HOME=/home #用户家目录
INACTIVE=-1 #密码过期宽限天数( shadow文件7字段)
EXPIRE= #密码失数时间(8)
SHELL= /bin/bash #默认 shell
SKEL= /etc/skel #模板目录
CREATE_MAIL_SPOOL=yes #是否建立邮箱
◆/etc/ login.defs
PASS_MAX_DAYS 99999#密码有效期(5)
PASS_MIN DAYS 0 #密码修改间隔(4)
PASS_MIN_LEN 5 #密码最小5位(PAM)
PASS_WARN_AGE 7#密码到期警告(6)
UID_MIN 500#最小和最大UID范国
GID_MAX 60000
ENCRYPT_METHOD SHA512#加密模式
7.3.2修改用户密码 passwd
1)# passwd [选项] 用户名
注意:passwd 直接回车表示修改当前用户的密码。普通用户想要修改密码就是要用这个方法
选项:
-S 查询用户密码的密码状态。仅root用户可用。
-l 暂时锁定用户。仅root用户可用
如:passwd -l usr2 :锁定之后,这个用户就无法登陆了
-u 解锁用户。仅root用户可用
--stdin可以通过管道符输出的数据作为用户的密码。
如:echo "124" | passwd --stdin lamp
表示lamp用户用“124”作为密码
2)查看密码状态
passwd -S lamp
结果:lamp PS 2013-01-06 0 99999 7 -1
用户名密码设定时间(201301-06)密码修改间隔时间(0)
密码有效期(99999) 警告时间(7)密码不失效(-1)
7.3.3修改用户信息 usermod
与useradd的区别是:useradd是增加新用户的同时,可以修改其默认信息。usermod是修改已经存在的用户的信息
[root@localhost ~]#usermod [选项] 用户名
选项:
-u UID: 修改用户的UID号
-c 用户说明: 修改用户的说明信息
-G 组名: 修改用户的附加组
-L: 临时锁定用户(Lock)
-U: 解锁用户锁定(Unlock)
[root@localhost ~]# usermod -c "test user" lamp
修改用户的说明
[root@localhost ~]# usermod -G root lamp
把lamp用户加入root组
[root@localhost ~]# usermod -L lamp
锁定用户
[root@localhost ~]# usermod -U lamp
解锁用户
修改用户密码状态 chage
[root@localhost ~]#chage [选项] 用户名
选项:
-l: 列出用户的详细密码状态
-d 日期: 修改密码最后一次更改日期(shadow3字段)
-m 天数: 两次密码修改间隔(4字段)
-M 天数: 密码有效期(5字段)
-W 天数: 密码过期前警告天数(6字段)
-I 天数: 密码过后宽限天数(7字段)
-E 日期: 账号失效时间(8字段)
如:[root@localhost ~]# chage -d 0 lamp
这个命令其实是把密码修改日期归0了(shadow第3字段)#这样就强制用户一登陆就要修改密码
7.3.4删除用户 userdel
1、删除用户userdel
[root@localhost ~]# userdel [-r] 用户名
选项:
-r 删除用户的同时删除用户家目录
如:userdel -r liming
手工删除用户
[root@localhost ~]# vi /etc/passwd
[root@localhost ~]# vi /etc/shadow
[root@localhost ~]# vi /etc/group
[root@localhost ~]# vi /etc/gshadow
[root@localhost ~]# rm -rf /var/spool/mail/lamp
[root@localhost ~]# rm -rf /home/lamp/
(删除每一个目录中,该用户相关的信息,所在的行)
2、查看用户ID
[root@localhost ~]# id 用户名
3、切换用户身份su (whoami 命令可以查看当前用户是谁)
[root@localhost ~]# su [选项] 用户名
选项:
- : 选项只使用“-”代表连带用户的环境变量一起切换 (env命令查看当前环境变量)
-c 命令: 仅执行一次命令,而不切换用户身份 。暂时调用root身份,执行root才能执行的一些命令
[lamp@localhost ~]$ su – root
#切换成root (一定要加“-”,这样切换用户时,才能连同操作环境一起切换。exit退回前一个用户)
[lamp@localhost ~]$ su - root -c "useradd user3"
#不切换成root,但是执行useradd命令添加user1用户
7.4、用户组管理命令 more /etc/group
1、添加用户组
[root@localhost ~]# groupadd [选项] 组名
选项:
-g GID 指定组ID
2、修改用户组
[root@localhost ~]# groupmod [选项] 组名
选项:
-g GID 修改组ID
-n 新组名 修改组名
例:[root@localhost ~]# groupmod -n testgrp group1
#把组名group1 修改为testgrp
3、删除用户组
[root@localhost ~]# groupdel [选项] 组名
tips:删除组的时候,组内不允许有初始用户存在。
$ groupadd lol
$ useradd -g lol timo
(添加一个新用户timo,把它初始组改为lol)
$ useradd -G lol yasuo
添加一个新用户yasuo,把它附加组改为lol
因为timo是初始组是lol。删除lol会导致timo没有初始组。所以不可删。需要先删除用户。
而yasuo是附加组。可删。
4、把用户添加入组或从组中删除
[root@localhost ~]# gpasswd [选项] 组名
选项:(gpasswd操作的是附加组)
-a 用户名: 把用户加入组
-d 用户名: 把用户从组中删除
如:gpasswd -a liming root
把用户liming加入root组
(可以在 /etc/group文件下看到 liming已经加入root组)