Linux 权限系统和软件安装（一）：用户与用户组管理

在 Linux 的世界里，权限管理是保障系统安全与高效运行的关键环节。对于学习 Java 全栈开发的同学而言，深入理解 Linux 权限系统不仅有助于日常开发环境的搭建与维护，在未来企业级开发中，面对多用户协作的服务器环境，更是不可或缺的技能。今天，让我们一同开启 Linux 权限系统和软件安装系列学习的第一站 ——Linux 用户与用户组管理。

一、Linux 用户 & 用户组基础认知

Linux 作为一款强大的操作系统，支持多用户、多任务同时执行。想象一下，在一个拥有 15 人的开发团队中，5 人属于测试团队，10 人属于运维团队，如何合理分配系统资源与权限，确保工作高效且安全地进行？答案就是巧妙运用 Linux 的用户组机制。

（一）用户组概述

用户组，简单来说，就是一个用于管理用户的组合。它就像是公司里的不同部门，将具有相同权限需求或业务关联的用户归为一组。用户组与用户之间存在多种关系：

1. 一对一：一个用户对应一个用户组。例如，在一个小型项目中，某个核心开发人员被单独划分到一个特定的用户组，以便对其权限进行精准控制。
2. 一对多：一个用户组包含多个用户。这是最为常见的情况，比如前面提到的测试团队和运维团队，各自作为一个用户组，组内有多名成员。在 Java 全栈开发项目中，测试团队成员可能需要对测试环境中的服务器有特定的读写权限，通过将他们归入同一个用户组，就能方便地统一设置权限。
3. 多对多：一个用户可以同时属于多个用户组，一个用户组也可以包含来自不同业务场景的用户。比如，在一个大型项目中，部分技术骨干既参与开发工作，又需要协助运维进行系统测试，他们可能同时属于开发用户组和运维用户组，从而具备两个组的相关权限。

（二）查看用户组

在 Linux 系统中，/etc目录是系统配置的核心所在。要查看用户组资料，我们可以使用以下命令：

cat /etc/group

该文件的格式如下：

root:x:0:

这里，root是用户组名称；x是一个占位符，并非代表用户组有密码（在现代 Linux 系统中，用户组密码通常存储在其他安全机制中）；0是用户组的 ID。用户组 ID 在系统中用于标识不同的用户组，就如同每个人的身份证号码一样，具有唯一性。

（三）添加用户组

添加用户组的命令为groupadd，其基本语法为groupadd [选项 选项值] 用户组的名称。常见选项如下：

• -g：设置组的 ID。若不设置，系统会从 1000 - 60000 之间自动递增分配 ID。例如：

groupadd dev01
groupadd -g 1005 test01

执行上述命令后，我们可以再次使用cat /etc/group查看用户组资料，确认新用户组是否添加成功。在 Java 项目开发中，可能会根据不同的项目模块或开发阶段创建对应的用户组，方便权限管理。比如，为一个新启动的 Java 微服务项目创建microservice_dev01用户组，用于管理参与该项目开发的人员权限。

（四）向用户组添加用户

向用户组添加用户需要用到gpasswd命令，其语法为gpasswd [选项] 用户名称 用户组。常见选项有：

• -a：添加用户到用户组。
• -d：从用户组中删除用户。
• -A：指定用户组的管理员。
• -M：批量添加用户到用户组中。
• -r：删除密码（这里的密码指的是用户组密码，在实际应用中较少使用）。

例如，我们先创建两个用户userwang和userzhang：

useradd userwang
useradd userzhang

然后将他们添加到dev01用户组：

gpasswd -a userwang dev01
gpasswd -a userzhang dev01

添加完成后，使用cat /etc/group查看用户组资料，会发现dev01用户组中已经包含了这两个用户。若要从用户组中删除userwang，则执行：

gpasswd -d userwang dev01

在企业开发中，当有新成员加入项目团队时，管理员可以通过这种方式将其添加到对应的用户组，赋予相应权限。例如，新入职的 Java 开发人员需要加入backend_dev用户组，参与后端代码开发工作，管理员就可以使用gpasswd -a new_dev_user backend_dev命令完成添加操作。

（五）删除用户组

删除用户组使用groupdel命令，语法为groupdel [选项 选项值] 用户组名称。其中，-f选项用于强制删除，当组内还有用户时，使用该选项可以将组内用户全部脱离组并删除用户组。例如：

groupdel -f dev01

删除后，再次查看/etc/group文件，会发现dev01用户组已不存在。在项目结束或团队架构调整时，可能会需要删除不再使用的用户组，以保持系统的整洁与安全。

（六）查看 Linux 用户

Linux 用户主要分为三类：超级用户、系统用户和普通用户。

1. 超级管理员：即root用户，拥有系统的一切权力，其 UID（用户 ID）为 0，在命令行中，其标识符为#。通过查看/etc/passwd文件，可以获取用户相关信息。
2. 系统用户：这类用户是 Linux 操作系统的内置用户，如IP、shutdown等，它们主要用于系统运行的特定功能，不能登录系统，UID 范围是 1 - 999。
3. 普通用户：可以登录 Linux 操作系统进行日常操作的用户，UID 范围是 1000 - 60000，标识符是$。/etc/passwd文件中每行记录的格式如下：

root:x:0:0:root:/root:/bin/bash

各字段含义为：

• root：账号名称。
• x：账号密码占位符（实际密码存储在/etc/shadow文件中，且经过加密处理）。
• 0：用户 ID。
• 0：用户组 ID。
• root：描述信息。
• /root：root账号的家目录，也是登录系统后的默认位置。
• /bin/bash：解释器，/bin/bash表示该用户可以登录系统，/sbin/nologin则表示不能登录。

若要查看单个用户的详细信息，可使用id [用户名]命令。例如，执行id userwang，会显示userwang用户的 UID、所属用户组等信息。在企业开发环境中，通过查看用户信息，可以快速了解用户的权限范围和所属团队，便于进行协作与管理。

（七）添加用户

添加用户使用useradd命令，语法为useradd [选项] 用户名称。常见选项如下：

• -u：指定 UserID。
• -g：指定 User GroudID。
• -G：指定 User GroudName。
• -d：指定家目录。
• -s：指定 Shell 脚本（/sbin/nologin表示不能登录系统，/bin/bash表示可以登录系统）。
• -c：添加备注信息。

例如：

# 新增用户iwe2
useradd iwe2
# 新增用户iwe1，并且添加到test01组中
useradd -G test01 -s /bin/bash -c "将iwe1账号添加到test01组中" iwe1

在 Java 全栈开发中，当搭建开发环境时，可能需要为不同的开发人员创建独立的用户账号，并将其加入相应的用户组，确保每个开发人员都有合适的权限进行代码编写、调试等工作。

（八）设置密码

设置用户密码使用passwd命令，语法为passwd [用户名称]。Linux 系统中的密码规则较为严格，建议使用复杂且难以猜测的密码，例如结合诗词与特殊字符，如Flzx3qc_14yhl9t（对应 “大鹏一日同风起_扶摇直上九万里”）。若普通用户遗忘密码，可联系Root管理员进行重置。在企业环境中，定期更换密码是保障系统安全的重要措施，管理员需要提醒用户设置强密码，并按照规定周期进行密码更新。

（九）查看密码

用户密码信息存储在/etc/shadow文件中，但需要注意的是，普通用户没有权限查看该文件，只有root账号凭借其超级权限可以查看。例如，执行cat /etc/shadow，会看到类似如下的记录：

iwe2:$6$rounds=100000$bmopnLYXKiLJExew$RgFwLB78RAwg6651/G.oFRxVjrZm5rW11kkz1RwbdidFzzQgabBfH6In5UGOhBsc.YRvgWckqXl6ZZH8JTFcZ1:20030:0:99999:7:::

各字段含义为：

• iwe2：用户名称。
• $6$rounds=100000$bmopnLYXKiLJExew$RgFwLB78RAwg6651/G.oFRxVjrZm5rW11kkz1RwbdidFzzQgabBfH6In5UGOhBsc.YRvgWckqXl6ZZH8JTFcZ1：用户密码（经过加密处理）。
• 20030：最后一次修改时间（从 1970 年 1 月 1 日起计算的天数）。
• 0：密码修改的间隔时间（默认单位：天）。
• 99999：密码有效期（默认单位：天）。
• 7：警告天数，提前 7 天提醒用户修改密码。
• ::：宽限时间，密码过期后留给用户的最后时间。
• ::：账号失效时间。
• :：保留字段。

（十）修改用户

修改用户信息使用usermod命令，语法为usermod [选项] 用户名。常见选项如下：

• -u：修改 UserID。
• -g：修改 User GroudID。
• -G：修改附加组。
• -d：修改家目录。
• -s：切换 Shell 命令（/sbin/nologin或/bin/bash）。
• -L：锁定用户，不允许登录。
• -U：解锁用户。
• -c：备注。

例如，要锁定iwe3账号，执行：

usermod -L iwe3

若要解锁，则执行：

usermod -U iwe3

在企业开发中，当员工离职或休假时，管理员可以通过锁定用户账号，确保系统安全。当员工回归岗位时，再进行解锁操作。

（十一）删除用户

删除用户使用userdel命令，语法为userdel [选项] 用户名称。选项-f用于强制删除，-r选项用于删除家目录。例如，执行userdel -r iwe2，会删除iwe2用户及其家目录。在项目人员变动时，及时删除不再使用的用户账号，有助于保持系统的安全性和整洁性。

（十二）切换用户

切换用户使用su命令，语法为su [用户名称]。需要注意的是，root账号切换其他账号，不需要输入密码；而其他账号切换到root账号，需要输入密码。例如，普通用户userwang要切换到root账号，执行su root，然后输入root密码即可完成切换。在日常开发与系统维护中，根据不同的操作需求，合理切换用户账号，确保操作在合适的权限下进行。

二、未来在企业工作的小技巧

1. 定期清理用户与用户组：在企业环境中，随着项目的推进和人员的变动，系统中可能会残留一些不再使用的用户账号和用户组。定期进行清理，不仅可以提高系统性能，还能降低安全风险。可以编写一个定期执行的脚本，检查用户账号的最后登录时间、所属用户组的使用情况等，自动清理长时间未登录且无关联项目的用户账号和空用户组。
2. 基于项目的用户组动态管理：对于 Java 全栈开发项目，项目周期内可能会有人员的加入和离开。采用基于项目的用户组动态管理策略，当项目启动时，创建对应的用户组，并根据人员角色分配权限；项目结束后，及时清理相关用户组和用户账号。例如，使用自动化脚本，在项目创建时，根据预设的项目模板，自动创建用户组、添加用户并分配权限；项目结束时，执行清理脚本，删除不再使用的用户和用户组。
3. 用户权限审计：定期进行用户权限审计，检查用户实际拥有的权限与应有的权限是否一致。可以使用一些工具，如auditd，对系统操作进行日志记录和分析。通过审计，及时发现权限滥用或权限不足的情况，进行调整，保障系统的安全性和稳定性。

通过对 Linux 用户与用户组管理的学习，我们为深入理解 Linux 权限系统奠定了基础。在后续的学习中，我们将继续探索 Linux 权限系统的更多奥秘，以及软件安装的相关知识，不断提升自己在 Linux 环境下的操作技能和开发能力。