Linux用户与用户组操作

1 用户组常用操作

1.1 查看组信息

在Linux中，组（Group）有几个重要的作用和用途：

• 权限管理： 组是一种用于管理文件和目录权限的重要方式。每个文件和目录都有所有者（Owner）、所属组（Group）、和其他用户（Others）的权限。通过将用户分组，管理员可以更容易地控制和分配文件和目录的访问权限。例如，管理员可以创建一个特定组，然后将一组用户添加到该组，并分配该组对某些文件的访问权限。

• 协作和文件共享： 组可用于协作和文件共享。当多个用户需要共享一组文件时，可以将这些用户添加到同一个组中，并分配适当的权限，以便他们可以共享和编辑这些文件。这有助于组织和管理团队工作。

• 进程和权限继承： 当用户属于一个组时，他们通常会继承该组的权限。这意味着，如果一个用户创建了一个文件，该文件通常会继承用户所属组的权限。这样可以确保文件的权限与创建者的意图一致。

• 用户管理： 组也用于组织和管理用户。管理员可以创建不同的组，根据需要将用户分配到这些组中，以便更好地管理用户。例如，一个系统管理员可以创建一个 “开发人员” 组，将所有开发人员分配到这个组中，以便更轻松地管理他们的权限和访问。

总之，组在Linux中是一种强大的权限管理工具，它有助于组织、管理和控制用户对文件和目录的访问，同时也促进了协作和权限继承。管理员可以根据需要创建和配置组，以满足系统的安全性和协作需求。

通过 /etc/group 文件查看所有组信息

/etc/group 文件包含了系统上的所有组的信息，可以使用 cat 或 less 命令来查看此文件的内容，类似于查看 /etc/passwd 文件，每一行代表一个组。每行的格式通常如下：

group_name:password:GID:user_list

其中各字段的含义如下：

• group_name: 组的名称，用于标识组。
• password: 通常是 “x”，表示组密码存储在 /etc/gshadow 文件中。这个字段通常不会直接包含密码，而是指示密码的存在和存储方式。
• GID: 组的唯一数字标识符（Group ID）。这是一个正整数，用于唯一标识组。
• user_list: 属于这个组的用户列表，多个用户名之间用逗号分隔。

例如，以下是 /etc/group 文件的一个示例行：

docker:x:998:user1,anotheruser

使用 getent 命令查看所有组信息

getent 命令也可以用来查询系统数据库中的组信息。以下命令将列出所有组的名称和组 ID：

getent group

使用 cut 和 awk 命令提取组信息

如果您只希望获取组的特定信息，例如组名和组 ID，可以使用 cut 或 awk 来提取并格式化输出。以下命令列出所有组的名称和组 ID：

getent group | cut -d: -f1,3

或者使用 awk：

getent group | awk -F: '{print $1, $3}'

查看当前用户所属组

groups

查看某个用户所属组

groups user1

1.2 创建组

groupadd 是一个用于在Linux系统中创建新用户组的命令。用户组是一组用户的集合，它们通常用于管理文件和目录的访问权限。groupadd 命令允许管理员创建一个新的用户组，并为该组分配一个唯一的组标识符（Group ID，GID）。以下是 groupadd 命令的基本语法和一些常用选项：

基本语法：

groupadd [选项] 组名

常用选项：

-g, --gid GID：指定用户组的 GID。如果不指定，则系统将分配一个未使用的 GID。
-r, --system：创建一个系统用户组。系统用户组通常用于系统进程和服务，其 GID 号

示例用法：

1. 创建一个名为 “developers” 的新用户组：

   groupadd developers
   

2. 创建一个名为 “designers” 的新用户组，并分配特定的 GID=2001：

   groupadd -g 2001 designers
   

3. 创建一个名为 “ftpusers” 的新系统用户组：

   sudo groupadd -r ftpusers
   

注意：

• 通常情况下，groupadd 命令只能由超级用户（root）或具有适当权限的用户执行，因为创建新组可能会影响系统安全性和资源访问权限。
• 用户组的创建是为了更好地组织和管理用户的权限和访问，以确保系统的文件和目录访问受到适当的控制。
• 使用 -r 选项创建的组通常用于系统级别的任务和进程，而不是普通用户。这些组的 GID 通常在较低的范围内。
• 使用 groupadd 命令创建组后，可以使用其他命令（如 usermod）将用户添加到这些组中，从而实现权限管理和协作。

1.3 修改组（慎用）

要修改组的信息，包括组名和组ID（GID），可以使用 groupmod 命令。groupmod 命令用于修改已存在的用户组的属性。以下是 groupmod 命令的基本语法和一些常用选项：

基本语法：

groupmod [选项] 组名

常用选项：

-g, --gid GID：修改组的GID，即唯一的组标识符。
-n, --new-name NEW_NAME：修改组的名称。

示例用法：

1. 修改组名，将 “oldgroup” 修改为 “newgroup”：

   groupmod -n newgroup oldgroup
   

2. 修改组的GID，将 “mygroup” 的GID 修改为 1001：

   groupmod -g 1001 mygroup
   

注意：

当使用 groupmod 命令修改组的名称或GID时，已经属于该组的用户的组信息不会自动更新。这意味着用户仍然会属于旧组名或旧GID的组，直到手动更新这些用户的组成员资格。这是因为Linux系统通常不会自动更新用户的组成员资格，以防止潜在的意外影响。

为了确保用户的组成员资格与组的修改保持一致，需要执行以下步骤：

1. 查找和列出属于旧组的所有用户： 可以使用命令 getent group oldgroup 来查看旧组的成员列表，或者查看 /etc/group 文件以找到相关信息。

2. 使用 usermod 命令将用户添加到新组： 对于每个用户，使用usermod命令将他们添加到新组。例如：

   usermod -aG newgroup username
   

   其中，username 是用户的用户名，newgroup 是新组的名称。

3. 使用 usermod 命令将用户从旧组中删除（可选）： 如果需要，您还可以使用 usermod 命令将用户从旧组中删除。这是可选的，如果您想保留用户在旧组中的成员资格，可以跳过这一步。

1.4 删除组（慎用）

groupdel 是一个用于在Linux系统中删除用户组的命令。当不再需要某个用户组时，您可以使用 groupdel 命令将其从系统中删除。删除用户组时，通常会同时删除该组的组ID（GID）以及系统中的相关组信息。

groupdel 命令的基本语法如下：

groupdel [选项] 组名

常用选项：

-r, --remove：同时删除与组相关的文件，如组的主目录。这是可选的。

示例用法：

1. 删除名为 “mygroup” 的用户组：

   groupdel mygroup
   

2. 删除用户组并删除与该组关联的主目录：

   groupdel -r mygroup
   

请注意，删除用户组时要小心，确保没有任何用户依赖于该组，否则可能会导致权限问题，如果删除了一个组，而该组中仍有用户，通常会有以下后果和注意事项：

• 组中的用户将失去该组的成员身份： 当您删除一个组时，系统不会自动将该组中的用户移动到其他组中。这意味着这些用户将不再属于该组，而是成为没有任何附加组的用户。这可能会影响到这些用户的文件和目录访问权限，因为他们不再具有与该组相关联的权限。

• 文件和目录的组所有者可能需要更新： 如果该组是某些文件和目录的组所有者（通常用于共享资源），那么在删除组后，这些文件和目录的组所有者将变成无效的组。您可能需要使用 chown 命令将这些文件和目录的组所有者更改为有效的组。

• 注意权限问题： 删除组可能会导致权限问题，因为之前授予了与该组相关的访问权限。用户可能无法再访问以前他们有权限访问的文件和目录。

• 备份和数据丢失： 如果删除了组，相关数据可能会丢失，特别是如果组的主目录（通常是 /home/组名）被删除。在删除组之前，应确保备份重要数据。

1.5 使用newgrp临时切换组

newgrp 是一个用于切换到不同的用户组的命令。在Linux和Unix系统中，每个用户都属于一个或多个用户组，而用户组通常用于管理文件和目录的访问权限。通过使用 newgrp 命令，用户可以暂时切换到另一个组，以便访问该组具有访问权限的文件和目录。

newgrp 命令的基本语法如下：

newgrp [组名]

用户可以运行 newgrp 命令，然后输入目标用户组的名称，系统将要求用户输入与目标组关联的密码（前提是该组设置了密码）。如果密码验证成功，用户将暂时切换到目标组，并且新的 shell 进程将反映该组的权限。这意味着用户可以访问目标组具有访问权限的文件和目录，而不需要永久更改其组成员身份。

示例用法：

切换到docker组，并按照提示输入密码，如果未设置密码则使用sudo提权，无sudo权限则需要使用sudoers添加：

newgrp docker

切换回原始用户组：

newgrp 原始用户组名称

2 用户常用操作

2.1 查看所有用户信息

查看/etc/passwd文件

查看/etc/passwd文件cat /etc/passwd，在终端中建议使用less，以便可以逐页查看按下空格键向下翻页，按 q 键退出，/etc/passwd 文件包含了系统上的用户信息，每一行代表一个用户，每行中的字段用冒号 : 分隔，通常情况下，/etc/passwd 的每行包含以下字段：

• 用户名 (User Name)：这是用户的登录名。当用户登录时，他们将使用此名称来标识自己。
• 密码 (Password)：在过去，此字段包含用户的密码哈希值，但现在通常用 “x” 代替，实际的密码哈希值存储在 /etc/shadow 文件中，只有超级用户才能访问。这个字段的存在表明密码已设置，但不直接包含密码信息。
• 用户 ID (User ID or UID)：每个用户都有一个唯一的数字标识符，称为用户 ID。这个字段是用户在系统中的唯一标识。
• 组 ID (Group ID or GID)：此字段通常表示用户所属的主要组的标识符（主要组是用户的默认组）。与用户一样，每个组也有一个唯一的数字标识符。
• 用户信息 (User Information)：这个字段通常包含有关用户的额外信息，例如全名、联系信息等。但并不是所有系统都使用这个字段来存储用户信息。
• 家目录 (Home Directory)：这是用户的主目录，用户在登录时会进入这个目录。通常，每个用户都有自己的唯一家目录。
• 登录 shell (Login Shell)：这是用户登录后要使用的默认 shell。当用户登录时，系统会启动此 shell。常见的 shell 包括 Bash、Zsh、和 Dash 等。

以下是 /etc/passwd 文件的一个示例行：

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync

使用 getent 命令查看所有用户

getent 命令可以用来查询系统数据库中的用户信息，以下命令将列出所有用户的名称，输出结果与/etc/passwd相同

getent passwd

使用 cut 和 awk 命令来提取用户信息

在取用户的特定信息（例如用户名和用户 ID）时，可以使用 cut 或 awk 来提取并格式化输出。

例如，要列出所有用户的用户名和用户 ID，可以执行以下命令，这些命令将提供一个简化的列表，其中包含用户名和用户 ID：

getent passwd | cut -d: -f1,3

或者使用 awk：

getent passwd | awk -F: '{print $1, $3}'

2.2 创建用户

useradd 是一个用于在Linux系统中创建新用户的命令。它允许管理员创建一个新的用户账户，并为该用户分配所需的系统资源和权限。以下是 useradd 命令的基本语法和一些常用选项：

基本语法：

useradd [选项] 用户名

常用选项：

-c, --comment COMMENT：用于添加有关用户的注释，通常是用户的全名或其他信息。
-d, --home HOME_DIR：指定用户的家目录，即用户登录后所在的目录。
-g, --gid GROUP：指定用户的初始登录组（主要组）。
-G, --groups GROUPS：将用户添加到其他附加组。
-m, --create-home：自动创建用户的家目录。
-s, --shell SHELL：指定用户的默认登录 shell。
-p, --password PASSWORD：设置用户的密码哈希值。
-e, --expiredate EXPIRE_DATE：设置用户账户的过期日期。

示例用法：

1. 创建一个新用户 “newuser”：

   useradd -m newuser
   

2. 设置新用户的密码，按照提示输入并确认密码：

   passwd newuser
   

3. 创建一个新用户 “testuser”，并设置密码：

   useradd -m -p $(openssl passwd -1 mypassword) testuser
   

4. 创建一个新用户 “johndoe”，并指定其家目录：

   useradd -m -d /home/johndoe johndoe
   

5. 创建一个新用户 “developer”，并将其添加到 “developers” 组：

   sudo useradd -g developers developer
   

6. 创建一个新用户 “webadmin”，并将其添加到多个组：

   sudo useradd -G developers,designers,sysadmins webadmin
   

2.3 修改用户

usermod 是一个用于修改用户帐户属性的命令，它允许管理员在不创建新用户的情况下更改现有用户的属性。usermod 命令允许您修改用户的各种属性，包括用户名、密码、家目录、登录 shell、组成员资格等。以下是 usermod 命令的基本语法和一些常用选项：

基本语法：

usermod [选项] 用户名

常用选项：

-c, --comment COMMENT：修改用户的注释信息，通常是用户的全名或其他相关信息。
-d, --home HOME_DIR：修改用户的家目录。
-e, --expiredate EXPIRE_DATE：设置用户账户的过期日期。
-g, --gid GROUP：修改用户的主要组。
-G, --groups GROUPS：设置用户的附加组。
-l, --login NEW_LOGIN：修改用户的登录名（用户名）。
-s, --shell SHELL：修改用户的默认登录 shell。
-p, --password PASSWORD：设置用户的密码哈希值。
-L, --lock：锁定用户帐户，禁止用户登录。
-U, --unlock：解锁用户帐户，允许用户登录。

示例用法：

1. 修改用户 “johndoe” 的全名注释信息：

   usermod -c "John Doe" johndoe
   

2. 修改用户 “johndoe” 的家目录：

   usermod -d /new/home/directory johndoe
   

3. 修改用户 “johndoe” 的登录 shell：

   usermod -s /bin/zsh johndoe
   

4. 修改用户 “johndoe” 的附加组：

   usermod -G developers,designers johndoe
   

5. 修改用户 “johndoe” 的密码：

   usermod -p $(openssl passwd -1 newpassword) johndoe
   

2.4 删除用户

userdel 是一个用于在Linux系统中删除用户帐户的命令。当不再需要某个用户帐户时，您可以使用 userdel 命令将其从系统中删除。删除用户帐户将删除用户的相关信息和家目录（如果选择的话），但不会删除与用户相关的文件，如用户的邮件或其他用户数据。

userdel 命令的基本语法如下：

userdel [选项] 用户名

常用选项：

-r, --remove：删除用户的家目录以及相关文件。

示例用法：

1. 删除名为 “johndoe” 的用户帐户：

   userdel johndoe
   

2. 删除用户帐户并同时删除用户的家目录及其内容：

   userdel -r johndoe
   

注意，如果删除一个正在使用的用户帐户，可能会引发以下问题和后果：

• 用户无法登录： 删除用户帐户后，该用户将无法登录到系统。这可能导致用户在进行重要工作时被中断。

• 用户数据丢失： 如果您使用 -r 选项删除用户，将同时删除用户的家目录及其内容。这可能会导致用户数据的永久丢失，包括文档、设置文件、邮件等。

• 进程问题： 如果用户有正在运行的进程或服务，这些进程可能会受到影响。通常，当用户注销或退出时，与其关联的进程也会终止。但如果删除了用户帐户，可能会导致某些进程无法终止或出现错误。

• 文件权限问题： 如果删除用户帐户，与该用户相关的文件和目录的所有者和所属组信息将不再与有效的用户帐户匹配。这可能导致权限问题，例如，其他用户可能无法访问或修改这些文件。

• 系统日志问题： 用户活动通常会被记录在系统日志中。删除用户帐户后，与该用户帐户相关的日志可能会变得不明确，这可能会使故障排除和审计变得更加困难。

3 使用sudo提权

在Linux系统中，sudo 命令用于以超级用户或其他特权用户的身份来执行特定命令。要使用 sudo，用户必须在系统的 sudoers 文件中被明确授权。这通常由系统管理员配置。

使用 visudo 命令来编辑 sudoers 文件，这个命令会检查并验证文件的语法，以确保不会破坏文件。运行以下命令：

visudo

在打开的 sudoers 文件中，添加或修改用户 “user1” 的权限。例如，要让用户 “user1” 能够使用 sudo 命令，可以添加以下行：

user1 ALL=(ALL:ALL) ALL

这行的含义是允许用户 “user1” 在所有主机上以所有用户的身份执行所有命令，需要输入密码。

保存并关闭文件。

然后用户 “user1” 就可以使用 sudo 命令了。

4 使用示例

2.1 创建一个用户并其docker权限

创建用户test

useradd -m test

设置密码

passwd test

分配docker权限

usermod -aG docker test