Linux基础知识及系统管理(五):Linux用户管理
一、用户管理配置文件
1、用户信息文件:/etc/passwd
格式:account:password:UID:GID:GECOS:directory:shell
用户名:密码位:UID:GID:描述信息:宿主目录:shell
eg:root:x:0:0:root:/root:/bin/bash
(1)用户名 root
(2)密码 密码位
(3)UID 用户标识号
linux用户分为三种
超级用户(root,UID=0)
普通用户(UID 500-60000)
伪用户(UID 1-499)
伪用户与系统和程序服务相关;伪用户通常不需要或无法登陆系统;可以没有宿主目录
(4)GID 缺省组标识号
每个用户都至少属于一个用户组;每个用户组可以包括多个用户;统一用户组的用户享有改组权限
(5)注释性描述 例如存放用户全名等信息
(6)宿主目录 :用户登陆系统后的缺省目录
(7)命令解释器:用户使用的shell,默认位bash
2、密码文件:/etc/shadow
root:$1$IiS6co3I$4WrfYyOK.1NxVJhRa.Vcz/:17568:0:99999:7:::
用户名:加密密码:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:账号闲置时间:失效时间:标志
echo "123456" | md5sum
pwunconv shadow到passwd
pwconv passwd到shadow
3、用户组文件:/etc/group
4、用户组密码文件:/etc/gshadow
5、用户配置文件:
/etc/login.defs
/etc/default/useradd
6、新用户信息文件:/etc/skel
7、登陆信息:/etc/motd
# cat /etc/issue
welcome to WDN Linux
二、用户管理命令
1、SetUID(4)的定义:当一个可执行程序具有SetUID权限,用户执行这个程序时,将以这个程序所有者的身份执行。
设置SetUID;chomd 4755/u+s ...
取消SetUID:chomd 755/u-s ...
查找SetUID程序:
find -perm -4000 -o
2、SetGID(2)的定义:
设置SetGID;chomd 2755/g+s ...
取消SetGID:chomd 755/g-s ...
查找SetGID程序:
find -perm -2000 –o
3、同时设置SetUID,SetGUD chomd 6755
eg:# mkdir /brother
# touch /brother/newfile
# chmod 777 /brother
# ls -ld /brother
drwxrwxrwx 2 root root 4096 01-15 19:31 /brother
# ls -ld /brother/newfile
-rw-r--r-- 1 root root 0 01-15 19:31 /brother/newfile
# su - wdn002
$ rm /brother/newfile
rm:是否删除有写保护的 一般空文件 “/brother/newfile”? y
$ ls /brother
只要对目录有写权限,就可以把里面的文件删了
4、粘着位(1) 如果一个权限为777的目录,被设置了粘着位,每个用户都可以在目录下创建文件,但只可以删除自己是所有者的文件
设置粘着位 chmod o+t
eg;/tmp 目录
5、添加用户
(1)、useradd设置选项用户名 -D查看缺省参数
eg:useradd -u 6666 -g root -G sys,apache -d /backup -s /bin/bash -c "project wdn" -e 2019-02-15 jackzhang
-u:UID
-g:缺省所属用户组GID
-G:指定用户所属多个组
-d:宿主目录
-s:命令解释器Shell
-c:描述信息
-e:指定用户失效时间
(2)、passwd sam
(3)、手工添加用户
6、删除用户
(1)、userdel -r 用户名
-r:删除用户目录
(2)、手工删除
7、设定密码 chage
-l:查看用户密码设置
-m:密码修改最小天数
-M:密码修改最大天数
-d:密码最后修改的日期
-I:密码过期后,锁定账户的天数
-E:设置密码的过期日期,如果为0,代表密码立即过期;如果未-1,代表密码永不过期
-W:设置密码过期前,开始警告的天数
8、启动或停用shadow的功能
pwconv/pwunconv
grpconv/grpunconv
system-config-users(启动图形化工具)
authconfig、/etc/sysconfig/authconfig
9、锁定、恢复用户
锁定用户 passwd -l 用户名
usermod -L 用户名
恢复用户 passwd -u 用户名
usermod -U 用户名
三、用户组管理命令
1、添加用户组 groupadd
groupadd -g 888 webadmin 创建用户组webadmin,其GID为888
2、删除用户组 groupdel 组名
3、修改用户组信息 groupmod
groupmod -n apache webadmin
4、设置组密码及管理组内成员 gpasswd
-a 添加用户到用户组
-d 从用户组中删除用户
-A 设置用户组管理员
-r 删除用户组密码
-R 禁止用户切换为该组
5、向一个组添加用户
usermod -G 组名 用户名
gpasswd -a 用户名 组名
6、groups 查看用户隶属于哪些用户组
newgrp 切换用户组
grpck 用户组配置文件检测
chgrp 修改文件所属组
vigr 编辑/etc/group文件(锁定文件)
pwck 检测/etc/passwd文件(锁定文件)
vipw 编辑/etc/passwd文件
id 查看用户详细信息
finger 查看用户详细信息
su 切换用户(su - 环境变量切换)
passwd -S 查看用户密码状态
who、w 查看当前登录用户信息
7、授权用户jack和mary对目录/software有写权限
#mkdir /software
# ls -ld /software
drwxr-xr-x 2 root root 4096 01-16 12:40 /software
# useradd jack
# useradd mary
# passwd jack
Changing password for user jack.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
# passwd mary
Changing password for user mary.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
# groupadd softadm
# grep softadm /etc/group
softadm:x:505:
# usermod -G softadm jack
# gpasswd -a mary softadm
正在将用户“mary”加入到“softadm”组中
# grep softadm /etc/group
softadm:x:505:jack,mary
# ls -ld /software
drwxr-xr-x 2 root root 4096 01-16 12:40 /software
# chgrp softadm /software
# ls -ld /software
drwxr-xr-x 2 root softadm 4096 01-16 12:40 /software
# chmod g+w /software
# ls -ld /software
drwxrwxr-x 2 root softadm 4096 01-16 12:40 /software
# su - mary
$ touch /software/adc
四、批量添加用户
1、命令
newusers;导入用户信息文件
pwunconv:取消shadow password功能
chpasswd:导入密码文件
(格式 用户名:密码)
pwconv:将密码写入shadow文件
2、实例1:一次批量添加5个用户
# vi user.info
1 wang01::1001:504::/home/wang01:/bin/bash
2 wang02::1002:504::/home/wang02:/bin/bash
3 wang03::1003:504::/home/wang03:/bin/bash
4 wang04::1004:504::/home/wang04:/bin/bash
5 wang05::1005:504::/home/wang05:/bin/bash
"user.info" 5L, 205C written
You have new mail in /var/spool/mail/root
# newusers < user.info
# tail -5 /etc/passwd
wang01:x:1001:504::/home/wang01:/bin/bash
wang02:x:1002:504::/home/wang02:/bin/bash
wang03:x:1003:504::/home/wang03:/bin/bash
wang04:x:1004:504::/home/wang04:/bin/bash
wang05:x:1005:504::/home/wang05:/bin/bash
# ls /home
jack mary wang01 wang03 wang05 wdn002
lost+found shadow wang02 wang04 wdn001 wdn123
]# pwunconv
# vi pass.info
1 wang01:wang
2 wang02:wang
3 wang03:wang
4 wang04:wang
5 wang05:wang
"pass.info" [New] 5L, 60C written
# chpasswd < pass.info
# tail -5 /etc/passwd
wang01:$1$gOKA1/kP$gh2IU0VtWWTaPg6IHO8Jz1:1001:504::/home/wang01:/bin/bash
wang02:$1$gOKA1/kP$gh2IU0VtWWTaPg6IHO8Jz1:1002:504::/home/wang02:/bin/bash
wang03:$1$gOKA1/kP$gh2IU0VtWWTaPg6IHO8Jz1:1003:504::/home/wang03:/bin/bash
wang04:$1$gOKA1/kP$gh2IU0VtWWTaPg6IHO8Jz1:1004:504::/home/wang04:/bin/bash
wang05:$1$gOKA1/kP$gh2IU0VtWWTaPg6IHO8Jz1:1005:504::/home/wang05:/bin/bash
# pwconv
# tail -5 /etc/shadow
wang01:$1$gOKA1/kP$gh2IU0VtWWTaPg6IHO8Jz1:17912:0:99999:7:::
wang02:$1$gOKA1/kP$gh2IU0VtWWTaPg6IHO8Jz1:17912:0:99999:7:::
wang03:$1$gOKA1/kP$gh2IU0VtWWTaPg6IHO8Jz1:17912:0:99999:7:::
wang04:$1$gOKA1/kP$gh2IU0VtWWTaPg6IHO8Jz1:17912:0:99999:7:::
wang05:$1$gOKA1/kP$gh2IU0VtWWTaPg6IHO8Jz1:17912:0:99999:7:::
# su - wang01
$ pwd
/home/wang01
$ exit
logout
五、用户授权
1、限制用户su为root
# groupadd sugroup
# chmod 4550 /bin/su
# ls -l /bin/su
-r-sr-x--- 1 root root 23960 2010-03-01 /bin/su
# chgrp sugroup /bin/su
# ls -l /bin/su
-r-xr-x--- 1 root sugroup 23960 2010-03-01 /bin/su
# usermod -G sugroup wang01
# chmod 4550 /bin/su
# su - wang01
$ su - root
口令:
# su - wang02
$ su - root
-bash: /bin/su: 权限不够
2、用sudo代替su:
-在执行sudo命令使,临时成为root
-不会泄露root口令
-仅向用户提供有限的命令使用权限
配置文件:/etc/sudoers,编辑配置文件命令visudo
普通用户使用命令sudo
格式:用户名(组名) 主机地址=命令(绝对路径)
3、实例:普通用户管理Apache服务器
所需要的功能,编辑Apache配置文件(httpd.conf);使用Apache启动脚本;更新网页
(1)、a 设置用户为配置文件的所有者 chmod
b 改变所属组,把用户加入组,授予 w 权限
c visodu 用户 地址=/bin/vi /etc/httpd/conf/httpd.conf
(2)、visudo 用户 地址=/etc/rc.d/init.d/httpd start,/etc/rc.d/init.d/httpd reload,/etc/rc.d/init.d/httpd fullstatus,/etc/rc.d/init.d/httpd configest
(3)、/var/www/html 改变所有者 改变所属组