linux用户、用户组

Linux添加/删除用户和用户组

 

1.1  关于/etc/passwd和 UID

/etc/passwd 是系统识别用户的一个文件,做个不恰当的比喻,/etc/passwd 是一个花名册,系统所有的用户都在这里有登录记载。

 

[root@dave ~]# useradd dave

[root@dave ~]# passwd dave

Changing password for user dave.

New password:

BAD PASSWORD: it is too short

BAD PASSWORD: is too simple

Retype new password:

passwd: all authentication tokens updated successfully.

[root@dave ~]#

 

当我们以dave 这个账号登录时,系统首先会查阅 /etc/passwd 文件,看是否有dave 这个账号,然后确定dave的UID,通过UID 来确认用户和身份,如果存在则读取/etc/shadow 影子文件中所对应的dave的密码;如果密码核实无误则登录系统,读取用户的配置文件。

 

[root@dave ~]# cat/etc/passwd|grep dave

dave:x:54322:54323::/home/dave:/bin/bash

 

[root@dave ~]# cat/etc/shadow|grep dave

dave:$6$vOI742LC$Rb4oNevqA1c5gXB0isGqvSK3l9Q/QcJ.Dc40xJ01gMad2qonM/dwXzkrRSIZV7gF.FHNlu/nBPkMybnnoV9DV/:15800:0:99999:7:::

[root@dave ~]#

 

 

1.1.1 /etc/passwd 的内容理解

 

在/etc/passwd 中,每一行都表示的是一个用户的信息;一行有7个段位;每个段位用:号分割。 如下:

 

[root@dave ~]# tail -5/etc/passwd

oprofile:x:16:16:Specialuser account to be used by OProfile:/home/oprofile:/sbin/nologin

vboxadd:x:496:1::/var/run/vboxadd:/bin/false

oracle:x:54321:54321::/home/oracle:/bin/bash

nx:x:495:490::/usr/NX/home/nx:/usr/NX/bin/nxserver

dave:x:54322:54323::/home/dave:/bin/bash

[root@dave ~]#

 

第一字段:用户名(也被称为登录名);

第二字段:口令;在例子中我们看到的是一个x,其实密码已被映射到/etc/shadow 文件中;

第三字段:UID ;请参看本文的UID的解说;

第四字段:GID;请参看本文的GID的解说;

第五字段:用户名全称,这是可选的,可以不设置,在oprofile这个用户中,用户的全称是Special user account to be used by OProfile;而其他用户没有设置全称;

第六字段:用户的家目录所在位置;oracle 这个用户是/home/oracle

第七字段:用户所用SHELL 的类型,oracle用户用的是 bash ;所以设置为/bin/bash ;

 

1.1.2 关于UID 的理解

UID 是用户的ID 值,在系统中每个用户的UID的值是唯一的。更确切的说每个用户都要对应一个唯一的UID ,系统管理员应该确保这一规则。系统用户的UID的值从0开始,是一个正整数,至于最大值可以在/etc/login.defs 可以查到,一般Linux发行版约定为60000。

 

[root@dave~]# cat /etc/login.defs |grep -v ^#

MAIL_DIR        /var/spool/mail

 

PASS_MAX_DAYS   99999

PASS_MIN_DAYS   0

PASS_MIN_LEN    5

PASS_WARN_AGE   7

 

UID_MIN                   500

UID_MAX                 60000

 

GID_MIN                   500

GID_MAX                 60000

 

 

CREATE_HOME     yes

 

UMASK           077

 

USERGROUPS_ENAB yes

 

ENCRYPT_METHOD SHA512

 

[root@dave ~]#

 

在Linux 中,root的UID是0,拥有系统最高权限。 UID 在系统中具有唯一特性,做为系统管理员应该确保这一标准,UID 的唯一性关系到系统的安全,应该值得我们关注!

 

比如我在/etc/passwd 中把dave的UID 改为0后,你设想会发生什么呢?dave这个用户会被确认为root用户。dave这个帐号可以进行所有root的操作。

 

[root@dave ~]# cat/etc/passwd|egrep 'root|dave'

root:x:0:0:root:/root:/bin/bash

operator:x:11:0:operator:/root:/sbin/nologin

dave:x:54322:54323::/home/dave:/bin/bash

 

UID 是确认用户权限的标识,用户登录系统所处的角色是通过UID 来实现的,而非用户名,切记;把几个用户共用一个UID 是危险的,比如我们上面所谈到的,把普通用户的UID 改为0,和root共用一个UID ,这事实上就造成了系统管理权限的混乱。如果我们想用root权限,可以通过su或sudo来实现;切不可随意让一个用户和root分享同一个UID 。

 

UID是唯一性,只是要求管理员所做的,其实我们修改/etc/passwd 文件,可以修改任何用户的UID的值为0,一般情况下,每个Linux的发行版都会预留一定的UID和GID给系统虚拟用户占用,虚拟用户一般是系统安装时就有的,是为了完成系统任务所必须的用户,但虚拟用户是不能登录系统的,比如ftp、nobody、adm、rpm、bin、shutdown等;

 

linux系统会把前499 个UID和GID 预留出来,我们添加新用户时的UID 从500开始的,GID也是从500开始。

 

有的系统可能会有出入,具体预留多少,可以查看/etc/login.defs文件中的 UID_MIN 的最小值; 我们这里UID_MIN是500,而UID_MAX 值为60000,也就是说我们通过adduser默认添加的用户的UID的值是500到60000之间;

 

通过adduser不指定UID来添加用户,每次添加都会从用户手工添加用户的UID和GID的最大值往上增加1。

 

[root@dave home]# useradddave

[root@dave home]# cat/etc/passwd|grep dave

dave:x:501:502::/home/dave:/bin/bash

[root@dave home]# cat/etc/group|grep dave

dave:x:502:

 

1.2  关于/etc/shadow

 

1.2.1 /etc/shadow 概说

/etc/shadow文件是/etc/passwd 的影子文件,这个文件并不由/etc/passwd 而产生的,这两个文件是应该是对应互补的;shadow内容包括用户及被加密的密码以及其它/etc/passwd 不能包括的信息,比如用户的有效期限等;这个文件只有root权限可以读取和操作,权限如下:

 

[root@dave home]# ll/etc/shadow

----------.1 root root1137 Apr  6 06:40 /etc/shadow

 

/etc/shadow 的权限不能随便改为其它用户可读,这样做是危险的。如果您发现这个文件的权限变成了其它用户组或用户可读了,要进行检查,以防系统安全问题的发生;

 

如果我们以普通用户查看这个文件时,应该什么也查看不到,提示是权限不够:

[root@dave home]# su - dave

[dave@dave ~]$ cat/etc/shadow

cat: /etc/shadow: Permissiondenied

[dave@dave ~]$

 

 

1.2.2 /etc/shadow 的内容分析

 

/etc/shadow 文件的内容包括9个段位,每个段位之间用:号分割;如下:

 

从/etc/shadow文件中取了如下内容:

sync:*:15064:0:99999:7:::

shutdown:*:15064:0:99999:7:::

oprofile:!!:15566::::::

vboxadd:!!:15566::::::

oracle:$6$M1THq……ONvuu5RCfuLb9c63u0:15566:0:99999:7:::

dave:$6$ASwiI……dNSPfmWfNiij9/7Hbw.86.:15800:0:99999:7:::

 

第一字段:用户名(也被称为登录名),在/etc/shadow中,用户名和/etc/passwd 是相同的,这样就把passwd 和shadow中用的用户记录联系在一起;这个字段是非空的;

 

第二字段:密码(已被加密),这里有4种值,*,! 和!!,还有就是加密后的密码。这个字段是非空的;

"NP" or "!" or null - No password, the accounthas no password.
"LK" or "*" - the account is Locked, user will be unable tolog-in
"!!" - the password has expired

 

第三字段:上次修改口令的时间;这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔(天数),可以通过passwd 来修改用户的密码,然后查看/etc/shadow中此字段的变化;

 

第四字段:两次修改口令间隔最少的天数;如果设置为0,则禁用此功能;也就是说用户必须经过多少天才能修改其口令;此项功能用处不是太大;默认值是通过/etc/login.defs文件定义中获取,PASS_MIN_DAYS 中有定义;

 

第五字段:两次修改口令间隔最多的天数;这个能增强管理员管理用户口令的时效性,应该说在增强了系统的安全性;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_MAX_DAYS 中定义;

 

第六字段:提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_WARN_AGE 中定义;

 

第七字段:在口令过期之后多少天禁用此用户;此字段表示用户口令作废多少天后,系统会禁用此用户,也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用;

 

第八字段:用户过期日期;此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,帐号永久可用;

 

第九字段:保留字段,目前为空,以备将来Linux发展之用;如果更为详细的,请用 man shadow来查看帮助,您会得到更为详尽的资料;

 

看具体的分析:

[root@dave home]# cat/etc/shadow|grep root

root:$6$rhOLRand$64hQaBfM12GZeliBxpuVCJ5OCKealgHXUruEVnR2KUTOhKoBGa6D/NoEi30D1dWxgUXEWEGNKAOs0mIbil5OG/:15566:0:99999:7:::

 

第一字段:用户名,root

第二字段:被加密的密码

 

第三字段:表示上次更改口令的天数(距1970年01月01日),在例子中root用户更改密码的时间距1970年01月01日的天数为15566;

 

我们估算一下今天到1970年1月1号的时间差:

[root@dave home]#time1=$(($(date +%s -d '2013-04-09') - $(date +%s -d '1970-01-01 00:00:00')));

[root@dave home]# echo$time1

1365465600

[root@dave home]# expr1365465600 / 3600 / 24

15804

[root@dave home]#

 

相差15804天。基本和我们里面的值差不多。

 

我们用passwd命令重置一下root用户的密码:

[root@dave home]# cat/etc/shadow|grep root

root:$6$C40per4D$4Nc/UXf3tj9/gJ1hZUz.z/bIKM04qOtOs/15HhCfHJdqGk1fh.mNFGMaYfSGRAGNRGT09TmgM3kRvPipTx/Wl.:15801:0:99999:7:::

这里显示的15801天,和我们上面估算的就很接近了。

 

 

第四字段:禁用两次口令修改之间最小天数的功能,设置为0

 

第五字段:两次修改口令间隔最多的天数,在例子中都是99999天;这个值如果在添加用户时没有指定的话,是通过/etc/login.defs来获取默认值,PASS_MAX_DAYS 99999;可以查看/etc/login.defs来查看具体的值;

 

第六字段:提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时由/etc /login.defs文件定义中获取,在PASS_WARN_AGE 中定义;在例子中的值是7 ,表示在用户口令将过期的前7天警告用户更改期口令;

 

第七字段:在口令过期之后多少天禁用此用户;此字段表示用户口令作废多少天后,系统会禁用此用户,也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用;在例子中,此字段两个用户的都是空的,表示禁用这个功能;

 

第八字段:用户过期日期;此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,帐号永久可用;在例子中,我们看到 beinan这个用户在此字段是空的,表示此用户永久可用;而linuxsir这个用户表示在距1970年01月01日后13108天后过期,算起来也就是2005年11月21号过期;哈哈,如果有兴趣的的弟兄,自己来算算,大体还是差不多的;);

 

第九字段:保留字段,目前为空,以备将来Linux发展之用;

 

 

二. 关于用户组

 

具有某种共同特征的用户集合起来就是用户组(Group)。用户组(Group)配置文件主要有 /etc/group和/etc/gshadow,其中/etc/gshadow是/etc/group的加密信息文件。

 

2.1 /etc/group 解说

/etc/group 文件是用户组的配置文件,内容包括用户和用户组,并且能显示出用户是归属哪个用户组或哪几个用户组,因为一个用户可以归属一个或多个不同的用户组;同一用户组的用户之间具有相似的特征。

比如我们把某一用户加入到root用户组,那么这个用户就可以浏览root用户家目录的文件,如果root用户把某个文件的读写执行权限开放,root用户组的所有用户都可以修改此文件,如果是可执行的文件(比如脚本),root用户组的用户也是可以执行的。

 

用户组的特性在系统管理中为系统管理员提供了极大的方便,但安全性也是值得关注的,如某个用户下有对系统管理有最重要的内容,最好让用户拥有独立的用户组,或者是把用户下的文件的权限设置为完全私有;另外root用户组一般不要轻易把普通用户加入进去。

 

 

2.2  /etc/group 内容具体分析

/etc/group 的内容包括用户组(Group)、用户组口令、GID及该用户组所包含的用户(User),每个用户组一条记录;格式如下:

group_name:passwd:GID:user_list

 

[root@dave home]# cat/etc/group |grep root

root:x:0:root

bin:x:1:root,bin,daemon

daemon:x:2:root,bin,daemon

sys:x:3:root,bin,adm

adm:x:4:root,adm,daemon

disk:x:6:root

wheel:x:10:root

[root@dave home]#

 

在/etc/group 中的每条记录分四个字段:

第一字段:用户组名称;

第二字段:用户组密码;

第三字段:GID

第四字段:用户列表,每个用户之间用,号分割;本字段可以为空;如果字段为空表示用户组为GID的用户名;

 

 

示例说明:

(1)root:x:0:root,linuxsir  

注:用户组root,x是密码段,表示没有设置密码,GID是0,root用户组下包括root、linuxsir以及GID为0的其它用户(可以通过/etc/passwd查看)

 

 

(2)beinan:x:500:linuxsir 

注:用户组beinan,x是密码段,表示没有设置密码,GID是500,beinan用户组下包括linuxsir用户及GID为500的用户(可以通过/etc/passwd查看)

 

(3)linuxsir:x:502:linuxsir 

注:用户组linuxsir,x是密码段,表示没有设置密码,GID是502,linuxsir用户组下包用户linuxsir及GID为502的用户(可以通过/etc/passwd查看)

 

(4)helloer:x:503:  

注:用户组helloer,x是密码段,表示没有设置密码,GID是503,helloer用户组下包括GID为503的用户,可以通过/etc/passwd查看;

 

 

而/etc/passwd对应的相关的记录为:

root:x:0:0:root:/root:/bin/bash

beinan:x:500:500:beinansun:/home/beinan:/bin/bash

linuxsir:x:505:502:linuxsir open,linuxsiroffice,13898667715:/home/linuxsir:/bin/bash

helloer:x:502:503::/home/helloer:/bin/bash

 

由此可以看出helloer用户组包括 helloer用户;所以我们查看一个用户组所拥有的用户,可以通过对比/etc/passwd和/etc/group来得到;

 

2.3  关于GID

GID和UID类似,是一个正整数或0,GID从0开始,GID为0的组让系统付予给root用户组;系统会预留一些较靠前的GID给系统虚拟用户(也被称为伪装用户)之用;

 

每个系统预留的GID都有所不同, Linux预留了500个,我们添加新用户组时,用户组是从500开始的;

查看系统添加用户组默认的GID范围应该查看 /etc/login.defs 中的 GID_MIN 和GID_MAX 值;我们可以对照/etc/passwd和/etc/group 两个文件;我们会发现有默认用户组之说;我们在 /etc/passwd 中的每条用户记录会发现用户默认的GID ;

 

在/etc/group中,我们也会发现每个用户组下有多少个用户;在创建目录和文件时,会使用默认的用户组;

 

 

示例:我们将dave用户添加到root用户组:

[root@dave home]# usermod -a-G root dave

 

/etc/passwd文件中的记录:

[root@dave home]# cat/etc/passwd|grep dave

dave:x:501:502::/home/dave:/bin/bash

 

dave用户的默认GID 为502.

 

[root@dave home]# cat /etc/group|grepdave

root:x:0:root,dave

dave:x:502:

 

而502的GID 在/etc/group中查到是dave用户组;

 

因此我们看到dave用户组的GID 为502,而dave 用户归属为root、dave用户组;

 

 

我们用dave来创建一个目录,以观察dave用户创建目录的权限归属;

[root@dave home]# su - dave

[dave@dave ~]$ mkdir test

[dave@dave ~]$ ll

total 4

drwxrwxr-x. 2 dave dave 4096Apr  6 12:18 test

[dave@dave ~]$

 

通过我们用dave来创建目录时发现,test的权限归属仍然是dave用户和dave用户组的;而没有归属root用户组;但值得注意的是,判断用户的访问权限时,默认的GID 并不是最重要的,只要一个目录让同组用户可以访问的权限,那么同组用户就可以拥有该目录的访问权,在这时用户的默认GID 并不是最重要的。

 

2.4  /etc/gshadow 解说

/etc/gshadow是/etc/group的加密资讯文件,比如用户组(Group)管理密码就是存放在这个文件。/etc/gshadow和 /etc/group是互补的两个文件;对于大型服务器,针对很多用户和组,定制一些关系结构比较复杂的权限模型,设置用户组密码是极有必要的。

 

比如我们不想让一些非用户组成员永久拥有用户组的权限和特性,这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性,这时就要用到用户组密码。

 

/etc/gshadow格式如下,每个用户组独占一行:

groupname:password:admin,admin,...:member,member,...

 

第一字段:用户组

第二字段:用户组密码,这个段可以是空的或!,如果是空的或有!,表示没有密码;

第三字段:用户组管理者,这个字段也可为空,如果有多个用户组管理者,用,号分割;

第四字段:组成员,如果有多个成员,用,号分割;

 

举例:

beinan:!::linuxsir

linuxsir:oUS/q7NH75RhQ::linuxsir

 

第一字段:这个例子中,有两个用户组beinan用linuxsir

第二字段:用户组的密码,beinan用户组无密码;linuxsir用户组有已经,已经加密;

第三字段:用户组管理者,两者都为空;

第四字段:beinan用户组所拥有的成员是linuxsir ,然后还要对照一下/etc/group和/etc/passwd 查看是否还有其它用户,一般默认添加的用户,有时同时也会创建用户组和用户名同名称; linuxsir 用户组有成员linuxisir ;

 

如何设置用户组的密码? 我们可以通过 gpasswd 来实现;不过一般的情况下,没有必要设置用户组的密码;不过自己实践一下也有必要;下面是一个为linuxsir用户组设置密码的例子: 注:gpasswd 的用法: gpasswd 用户组

[root@localhost ~]# gpasswdlinuxsir

正在修改 linuxsir 组的密码

新密码:

请重新输入新密码:

 

 

用户组之间的切换,应该用 newgrp ,这个有点象用户之间切换的su ;示例:

[beinan@localhost ~]$ newgrplinuxsir

密码:

[beinan@localhost ~]$ mkdirlingroup

[beinan@localhost ~]$ ls -ldlingroup/

drwxr-xr-x  2 beinan linuxsir 4096 10月 18 15:56 lingroup/

 

 

三. 通过用户和用户组配置文件来查询或管理用户

 

3.1 用户和用户组查询的方法

 

3.1.1 通过查看用户(User)和用户组的配置文件的办法来查看用户信息

我们对用户(User)和用户组(Group)的配置文件已经有个基本的了解,通过查看用户(User)和用户组的配置文件,我们就能做到对系统用户的了解,当然您也可以通过id 或finger 等工具来进行用户的查询等任务。

 

对于文件的查看,我们可以通过 more 或cat 来查看,比如 more /etc/passwd 或cat /etc/passwd ;其它工具也一样,能对文本查看就行,比如less 也好比如我们可以通过more 、cat 、less命令对/etc/passwd 的查看,虽然命令不同,但达到的目的是一样的, 都是得到/etc/passwd的内容:

[root@localhost ~]# more/etc/passwd

[root@localhost ~]# cat /etc/passwd

[root@localhost ~]# less/etc/passwd

 

3.1.2 通过id和finger 工具来获取用户信息

    除了直接查看用户(User)和用户组(Group)配置文件的办法除外,我们还有 id和finger工具可用,我们一样通过命令行的操作,来完成对用户的查询;

 

id和finger,是两个各有测重的工具:

(1)id工具更测重用户、用户所归属的用户组、UID 和GID 的查看;

(2)finger测重用户资讯的查询,比如用户名(登录名)、电话、家目录、登录SHELL类型、真实姓名、空闲时间等等。

 

id 命令用法:id 选项  用户名

比如:我想查询beinan和linuxsir 用户的UID、GID 以及归属用户组的情况:

[root@localhost ~]# idbeinan  

uid=500(beinan)gid=500(beinan) groups=500(beinan)

 

注:beinan的UID 是 500,默认用户组是beinan,默认用户组的GID 是500,归属于beinan用户组;

 

[root@localhost ~]# idlinuxsir 

uid=505(linuxsir)gid=502(linuxsir) groups=502(linuxsir),0(root),500(beinan)

 

注:linuxsir的UID 是505,默认用户组是linuxsir,默认用户组的GID 是502,归属于linuxsir(GID为502)、root(GID为0),beinan(GID为500);

 

 

finger的用法:finger 选项 用户名1 用户名2 ... 

 

在Linux 6.3 版本里需要单独的安装这个工具包。

[root@dave home]# yuminstall finger.x86_64

 

 

如果finger 不加任何参数和用户,会显示出当前在线用户,和w命令类似;对比一下;不过各有测重。

[root@dave home]# finger

Login     Name      Tty      Idle  Login Time  Office     Office Phone

root      root      tty1    18:01  Apr  518:35 (:0)

root      root      pts/0    8:58  Apr  603:35 (192.168.1.1)

root      root      pts/1          Apr  6 03:36 (192.168.1.1)

[root@dave home]#

 

[root@dave home]# w

 12:35:50 up 18:02,  3 users, load average: 0.39, 0.20, 0.07

USER     TTY     FROM              LOGIN@   IDLE  JCPU   PCPU WHAT

root     tty1    :0               Fri18   18:01m 10.12s 10.12s /usr/bin/Xorg :0 -nr-verbose -auth /var/r

root     pts/0   192.168.1.1      03:35    8:59m 0.06s  0.06s -bash

root     pts/1   192.168.1.1      03:36   0.00s  0.38s  0.09s w

 

 

如果我们在finger 后面加上用户名,就可以看到用户更为详细的信息,可以一次查看多个用户,用空格分开,比如下面的例子中,我们一次查询两个用户beinan和linuxsir的信息:

 

[root@localhost~]# finger beinan linuxsir

Login: beinan 注:用户名(也是登录名) Name: beinan sun (用户名全称)

Directory: /home/beinan 注:家目录 Shell: /bin/bash 注:所用SHELL类型

On since Tue Oct 18 13:53(CST) on tty2 10 minutes 55 seconds idle 注:空闲时间;

On since Tue Oct 18 13:57(CST) on pts/0 from :0.0

No mail.

No Plan.

 

Login: linuxsir Name:linuxsir open

Directory: /home/linuxsirShell: /bin/bash

Office: linuxsir office,+1-389-866-7715

On since Tue Oct 18 13:39(CST) on tty1 24 minutes 58 seconds idle

No mail.

No Plan.

 

3.1.3 用户组查询的办法

我们可以通过用户来查询所归属的组,用groups 来查询;比如我查询beinan和linuxsir 所归属的组,我们可以用groups 来查询;

[root@localhost ~]# groupsbeinan linuxsir 

beinan : beinan

linuxsir : linuxsir rootbeinan

 

注:这是通过groups 同时查看了用户beinan和linuxsir所归属的组;

 

3.2 通过修改用户(User)和用户组(Group)配置文件的办法来添加

在前面说过,可以通过修改配置文件的办法来管理用户,所以此主题应该包括此内容;当然通过用户及用户组管理工具(比如 adduser、userdel、usermod、userinfo、groupadd 、groupdel 、groupmod等)也是可以的。

 

通过修改用户(User)和用户组(Group)配置文件的方法管理用户之用户的添加流程:

 

我们先以添加用户为例,对用户的删除和修改都比较简单。

 

3.2.1 修改 /etc/passwd ,添加用户记录

我们按/etc/passwd的格式的约定来添加新的用户记录;当然您要让一个用户失效,可以删除您想要删除的用户记录;值得注意的是,不能让UID 重复。

 

比如我想添加anqing 这个用户,发现UID 508没有用户用,并且我想把其用户组也设置为anqing ,用户组的GID 也设置为508,如果GID 没有占用的话;我们要打开 /etc/passwd ,在最下面加一行:

anqing:x:508:508::/home/anqing:/bin/bash

 

然后执行pwconv ,让/etc/passwd 和/etc/shadow同步,您可以查看 /etc/shadow的内容是否同步;

[root@dave home]# pwconv

[root@dave home]# cat/etc/shadow|grep anqing

anqing:x:15801:0:99999:7:::

[root@dave home]#

 

 

3.2.2 修改/etc/group

首先,我们得查看是否有anqing用户组,以及GID 508 是否被其它用户组占用;

[root@dave home]# cat/etc/group|grep anqing

[root@dave home]# cat/etc/group|grep 508

 

通过查看,我们发现没有被占用;所以我们要添加anqing的记录到 /etc/group中:

anqing:x:508:

 

其次,是运行 grpconv 来同步/etc/group 和/etc/gshadow内容,然后通过查看/etc/gshadow的内容变化确认是不是添加组成功了。

 

[root@dave home]# grpconv

[root@dave home]# cat/etc/gshadow |grep anqing

anqing:x::

[root@dave home]#

 

 

3.2.3 创建用户的家目录,并把用户启动文件也复制过去

创建用户的家目录,我们要以/etc/passwd 中添加的新用户的记录为准,我们在/etc/passwd 中添加新用户anqing ,她的家目录是处于/home/anqing ;另外我们还需要把/etc/skel 目录下的.*隐藏文件复制过去:

 

[root@dave home]# cd/etc/skel/

[root@dave skel]# ls -la

total 40

drwxr-xr-x.   4 root root 4096 Aug 15  2012 .

drwxr-xr-x. 115 root root12288 Apr  6 12:42 ..

-rw-r--r--.   1 root root    18 Mar 29 2011 .bash_logout

-rw-r--r--.   1 root root  176 Mar 29  2011 .bash_profile

-rw-r--r--.   1 root root  124 Mar 29  2011 .bashrc

drwxr-xr-x.   2 root root 4096 Nov 20  2010 .gnome2

-rw-r--r--.   1 root root  121 May  2  2012 .kshrc

drwxr-xr-x.   4 root root 4096 Aug 15  2012 .mozilla

 

[root@dave home]# cp -R/etc/skel/ /home/anqing

[root@dave skel]# cd/home/anqing

[root@dave anqing]# ls -la

total 32

drwxr-xr-x. 4 root root 4096Apr  6 12:43 .

drwxr-xr-x. 5 root root 4096Apr  6 12:43 ..

-rw-r--r--. 1 root root   18 Apr 6 12:43 .bash_logout

-rw-r--r--. 1 root root  176 Apr 6 12:43 .bash_profile

-rw-r--r--. 1 root root  124 Apr 6 12:43 .bashrc

drwxr-xr-x. 2 root root 4096Apr  6 12:43 .gnome2

-rw-r--r--. 1 root root  121 Apr 6 12:43 .kshrc

drwxr-xr-x. 4 root root 4096Apr  6 12:43 .mozilla

 

3.2.4 改变新增用户家目录的属主和权限

我们发现新增用户的家目录的属主目前是root ,并且家目录下的隐藏文件也是root权限:

[root@dave anqing]# ls -ld/home/anqing/

drwxr-xr-x. 4 root root 4096Apr  6 12:43 /home/anqing/

 

所以我们要通过chown 命令来改变/home/anqing目录归属为anqing用户;

[root@dave anqing]# chown -Ranqing:anqing /home/anqing

 

 

查看是否已经更换了属主为lanhaitun用户所有:

[root@dave anqing]# ls -ld/home/anqing

drwxr-xr-x. 4 anqing anqing4096 Apr  6 12:43 /home/anqing

 

[root@dave anqing]# ls -la/home/anqing

total 32

drwxr-xr-x. 4 anqing anqing4096 Apr  6 12:43 .

drwxr-xr-x. 5 root   root  4096 Apr  6 12:43 ..

-rw-r--r--. 1 anqinganqing   18 Apr  6 12:43 .bash_logout

-rw-r--r--. 1 anqinganqing  176 Apr  6 12:43 .bash_profile

-rw-r--r--. 1 anqinganqing  124 Apr  6 12:43 .bashrc

drwxr-xr-x. 2 anqing anqing4096 Apr  6 12:43 .gnome2

-rw-r--r--. 1 anqinganqing  121 Apr  6 12:43 .kshrc

drwxr-xr-x. 4 anqing anqing4096 Apr  6 12:43 .mozilla

[root@dave anqing]#

 

看来已经实现了;但这样还是不够的,因为/home/anqing/的目录权限可能会过于公开:

drwxr-xr-x. 4 anqing anqing4096 Apr  6 12:43 /home/anqing

 

我们看到 /home/anqing目录的权限为 drwxr-xr-x ,也就是同组用户和其它用户组所能查看,为了保密,我们有理由把新增用户家目录的权限设置为只有其自己可读可写可执行;于是... ...

 

[root@dave anqing]# chmod700 /home/anqing/

[root@dave anqing]# ls -ld/home/anqing

drwx------. 4 anqing anqing4096 Apr  6 12:43 /home/anqing

 

我们用其它用户,当然得把具有超级权限的root用户除外;比如我以dave用户来查看anqing的家目录会得到如下信息;

[root@dave anqing]# su -dave

[dave@dave ~]$ ls -la/home/anqing

ls: cannot open directory /home/anqing:Permission denied

 

3.2.5 设置新增用户的密码

以上各步骤都就序了,我们得为新增用户设置密码了;要通过passwd命令来生成;这个没有办法通过修改文件解决;

 

passwd 的用法:passwd 用户名

[root@dave anqing]# passwdanqing

Changing password for useranqing.

New password:

BAD PASSWORD: it is based ona dictionary word

BAD PASSWORD: is too simple

Retype new password:

passwd: all authenticationtokens updated successfully.

[root@dave anqing]#

 

3.2.6 测试添增用户是否成功

您可以用新增用户登录测试,也可以通过su 来切换用户测试:

[root@dave anqing]# su -dave

[dave@dave ~]$ su - anqing

Password:

[anqing@dave ~]$ cd ~

[anqing@dave ~]$ pwd

/home/anqing

[anqing@dave ~]$ ls -la

total 32

drwx------. 4 anqing anqing4096 Apr  6 12:43 .

drwxr-xr-x. 5 root   root  4096 Apr  6 12:43 ..

-rw-r--r--. 1 anqinganqing   18 Apr  6 12:43 .bash_logout

-rw-r--r--. 1 anqinganqing  176 Apr  6 12:43 .bash_profile

-rw-r--r--. 1 anqinganqing  124 Apr  6 12:43 .bashrc

drwxr-xr-x. 2 anqing anqing4096 Apr  6 12:43 .gnome2

-rw-r--r--. 1 anqinganqing  121 Apr  6 12:43 .kshrc

drwxr-xr-x. 4 anqing anqing4096 Apr  6 12:43 .mozilla

[anqing@dave ~]$ mkdirtestdir

[anqing@dave ~]$ ls -lh

total 4.0K

drwxrwxr-x. 2 anqing anqing4.0K Apr  6 12:49 testdir

[anqing@dave ~]$

 

通过上面一系列动作,验证anqing用户已经成功。

 

3.3 通过修改用户(User)和用户组(Group)配置文件的办法来修改用户或用户组

 

我们可以修改/etc/passwd 和/etc/group 来达到修改用户和用户所归属的组,这个过程和添加新用户时差不多;比如我想修改anqing的用户名全称、公司以及电话等信息;我们可以修改/etc/passwd 实现。

 

 

3.3.1 修改用户信息

 

--原始记录:

[root@dave anqing]# cat/etc/passwd|grep anqing

anqing:x:508:508::/home/anqing:/bin/bash

 

我们可以修改为

anqing:x:508:508:david dai,Officeanqing,13800000000:/home/anqing:/bin/bash

 

当然我们还可以修改用户的bash 类型,家目录等,当然如果修改家目录,还得进行建家目录、属主和权限的操作,这和前面添加用户的办法在程序上有些是相同的;修改完成后,我们要进行pwconv 同步,通过finger 来查看用户的信息等。

 

[root@dave anqing]# pwconv

[root@dave anqing]# fingeranqing

Login: anqing                           Name: david dai

Directory: /home/anqing                 Shell: /bin/bash

Office: Office anqing,+1-380-000-0000

Never logged in.

No mail.

No Plan.

[root@dave anqing]#

 

3.3.2 修改用户所归属的组,可以通过/etc/group 修改实现

当然修改用户和用户组,不仅能通过修改配置文件来实现,还能过过 usermod 及chfn来实现;这里我们先讲一讲如何通过修改配置文件来达到目的;如果我们想把anqing 这个用户归属到root用户组,所以我们还能修改/etc/group 的办法来达到目的;找到/etc/group 中的root开头的一行,按其规划加入anqing;

root:x:0:root,anqing

 

 

然后执行 grpconv 命令来同步/etc/group 和/etc/gshadow两个文件的内容。

 

[root@dave anqing]# grpconv

[root@dave anqing]# idanqing

uid=508(anqing)gid=508(anqing) groups=508(anqing),0(root)

 

 

3.3.3 删除用户及用户组的办法

这个比较简单,我们可以通过删除/etc/passwd 和/etc/group 相应的用户和用户组记录就能达到目的,也能过过userdel 和groupdel 来实现对用户及用户组的删除;如果是通过修改用户和用户组配置文件的办法来删除用户,就是删除相应的记录就行了,如果不想保留其家目录,删除就是了。

 

只删除anqing用户,其家目录和mail等仍会保存:

[root@localhost ~]# userdel  anqing

 

加上-r 参数,是删除家目录及mail等:

[root@localhost ~]# userdel  -r anqing

 

用userdel 删除用户的同时,也会把其用户组删除;我们可以通过/etc/passwd 和/etc/group 的内容变化来查看。

 

[root@dave anqing]# cat/etc/passwd |grep anqing

[root@dave anqing]# cat/etc/group|grep anqing

[root@dave anqing]# cat/etc/group|grep root

root:x:0:root,dave

bin:x:1:root,bin,daemon

daemon:x:2:root,bin,daemon

sys:x:3:root,bin,adm

adm:x:4:root,adm,daemon

disk:x:6:root

wheel:x:10:root

[root@dave anqing]#

本文总结了Linux添加或者删除用户和用户组时常用的一些命令和参数。
1、建用户:
adduser phpq                             //新建phpq用户
passwd phpq                               //给phpq用户设置密码

2、建工作组
groupadd test                          //新建test工作组

3、新建用户同时增加工作组
useradd -g test phpq                      //新建phpq用户并增加到test工作组

注::-g 所属组 -d 家目录 -s 所用的SHELL


4、给已有的用户增加工作组
usermod -G groupname username

或者:gpasswd -a user group

5、临时关闭:在/etc/shadow文件中属于该用户的行的第二个字段(密码)前面加上*就可以了。想恢复该用户,去掉*即可。

或者使用如下命令关闭用户账号:
passwd peter –l

重新释放:
passwd peter –u

6、永久性删除用户账号
userdel peter

groupdel peter

usermod –G peter peter   (强制删除该用户的主目录和主目录下的所有文件和子目录)

7、从组中删除用户
编辑/etc/group 找到GROUP1那一行,删除 A
或者用命令
gpasswd -d A GROUP

8、显示用户信息
id user
cat /etc/passwd

更详细的用户和用户组的解说请参考
Linux 用户和用户组详细解说
本文主要讲述在Linux 系统中用户(user)和用户组(group)管理相应的概念;用户(user)和用户组(group)相关命令的列举;其中也对单用户多任务,多用户多任务也做以解说。

本篇文章来源于 PHP资讯 原文链接:http://www.phpq.net/linux/linux-add-delete-user-group.html

 

Linux 用户(user)和用户组(group)管理概述

 

、理解Linux的单用户多任务,多用户多任务概念;

Linux 是一个多用户、多任务的操作系统;我们应该了解单用户多任务和多用户多任务的概念;


1、Linux 的单用户多任务;

单用户多任务;比如我们以beinan 登录系统,进入系统后,我要打开gedit 来写文档,但在写文档的过程中,我感觉少点音乐,所以又打开xmms 来点音乐;当然听点音乐还不行,MSN 还得打开,想知道几个弟兄现在正在做什么,这样一样,我在用beinan 用户登录时,执行了gedit 、xmms以及msn等,当然还有输入法fcitx ;这样说来就有点简单了,一个beinan用户,为了完成工作,执行了几个任务;当然beinan这个用户,其它的人还能以远程登录过来,也能做其它的工作。


2、Linux 的多用户、多任务;

有时可能是很多用户同时用同一个系统,但并不所有的用户都一定都要做同一件事,所以这就有多用户多任务之说;

举个例子,比如LinuxSir.Org 服务器,上面有FTP 用户、系统管理员、web 用户、常规普通用户等,在同一时刻,可能有的弟兄正在访问论坛;有的可能在上传软件包管理子站,比如luma 或Yuking 兄在管理他们的主页系统和FTP ;在与此同时,可能还会有系统管理员在维护系统;浏览主页的用的是nobody 用户,大家都用同一个,而上传软件包用的是FTP用户;管理员的对系统的维护或查看,可能用的是普通帐号或超级权限root帐号;不同用户所具有的权限也不同,要完成不同的任务得需要不同的用户,也可以说不同的用户,可能完成的工作也不一样

值得注意的是:多用户多任务并不是大家同时挤到一接在一台机器的的键盘和显示器前来操作机器,多用户可能通过远程登录来进行,比如对服务器的远程控制,只要有用户权限任何人都是可以上去操作或访问的;


3、用户的角色区分;

用户在系统中是分角色的,在Linux 系统中,由于角色不同,权限和所完成的任务也不同;值得注意的是用户的角色是通过UID和识别的,特别是UID;在系统管理中,系统管理员一定要坚守UID 唯一的特性;

root 用户:系统唯一,是真实的,可以登录系统,可以操作系统任何文件和命令,拥有最高权限;
虚拟用户:这类用户也被称之为伪用户或假用户,与真实用户区分开来,这类用户不具有登录系统的能力,但却是系统运行不可缺少的用户,比如bin、daemon、adm、ftp、mail等;这类用户都系统自身拥有的,而非后来添加的,当然我们也可以添加虚拟用户;
普通真实用户:这类用户能登录系统,但只能操作自己家目录的内容;权限有限;这类用户都是系统管理员自行添加的;


4、多用户操作系统的安全;

多用户系统从事实来说对系统管理更为方便。从安全角度来说,多用户管理的系统更为安全,比如beinan用户下的某个文件不想让其它用户看到,只是设置一下文件的权限,只有beinan一个用户可读可写可编辑就行了,这样一来只有beinan一个用户可以对其私有文件进行操作,Linux 在多用户下表现最佳,Linux能很好的保护每个用户的安全,但我们也得学会Linux 才是,再安全的系统,如果没有安全意识的管理员或管理技术,这样的系统也不是安全的。

从服务器角度来说,多用户的下的系统安全性也是最为重要的,我们常用的Windows 操作系统,它在系纺权限管理的能力只能说是一般般,根本没有没有办法和Linux或Unix 类系统相比;


二、用户(user)和用户组(group)概念;


1、用户(user)的概念;

通过前面对Linux 多用户的理解,我们明白Linux 是真正意义上的多用户操作系统,所以我们能在Linux系统中建若干用户(user)。比如我们的同事想用我的计算机,但我不想让他用我的用户名登录,因为我的用户名下有不想让别人看到的资料和信息(也就是隐私内容)这时我就可以给他建一个新的用户名,让他用我所开的用户名去折腾,这从计算机安全角度来说是符合操作规则的;

当然用户(user)的概念理解还不仅仅于此,在Linux系统中还有一些用户是用来完成特定任务的,比如nobody和ftp 等,我们访问LinuxSir.Org 的网页程序,就是nobody用户;我们匿名访问ftp 时,会用到用户ftp或nobody ;如果您想了解Linux系统的一些帐号,请查看 /etc/passwd ;


2、用户组(group)的概念;

用户组(group)就是具有相同特征的用户(user)的集合体;比如有时我们要让多个用户具有相同的权限,比如查看、修改某一文件或执行某个命令,这时我们需要用户组,我们把用户都定义到同一用户组,我们通过修改文件或目录的权限,让用户组具有一定的操作权限,这样用户组下的用户对该文件或目录都具有相同的权限,这是我们通过定义组和修改文件的权限来实现的;

举例:我们为了让一些用户有权限查看某一文档,比如是一个时间表,而编写时间表的人要具有读写执行的权限,我们想让一些用户知道这个时间表的内容,而不让他们修改,所以我们可以把这些用户都划到一个组,然后来修改这个文件的权限,让用户组可读,这样用户组下面的每个用户都是可读的;

用户和用户组的对应关系是:一对一、多对一、一对多或多对多;

一对一:某个用户可以是某个组的唯一成员;
多对一:多个用户可以是某个唯一的组的成员,不归属其它用户组;比如beinan和linuxsir两个用户只归属于beinan用户组;
一对多:某个用户可以是多个用户组的成员;比如beinan可以是root组成员,也可以是linuxsir用户组成员,还可以是adm用户组成员;
多对多:多个用户对应多个用户组,并且几个用户可以是归属相同的组;其实多对多的关系是前面三条的扩展;理解了上面的三条,这条也能理解;


三、用户(user)和用户组(group)相关的配置文件、命令或目录;


1、与用户(user)和用户组(group)相关的配置文件;


1)与用户(user)相关的配置文件;

/etc/passwd 注:用户(user)的配置文件;
/etc/shadow 注:用户(user)影子口令文件;


2)与用户组(group)相关的配置文件;

/etc/group 注:用户组(group)配置文件;
/etc/gshadow 注:用户组(group)的影子文件;


2、管理用户(user)和用户组(group)的相关工具或命令;


1)管理用户(user)的工具或命令;

useradd    注:添加用户 
adduser    注:添加用户
passwd     注:为用户设置密码
usermod  注:修改用户命令,可以通过usermod 来修改登录名、用户的家目录等等;
pwcov       注:同步用户从/etc/passwd 到/etc/shadow 
pwck         注:pwck是校验用户配置文件/etc/passwd 和/etc/shadow 文件内容是否合法或完整;
pwunconv  注:是pwcov 的立逆向操作,是从/etc/shadow和 /etc/passwd 创建/etc/passwd ,然后会删除 /etc/shadow 文件;
finger        注:查看用户信息工具
id              注:查看用户的UID、GID及所归属的用户组
chfn          注:更改用户信息工具
su             注:用户切换工具
sudo         注:sudo 是通过另一个用户来执行命令(execute a command as another user),su 是用来切换用户,然后通过切换到的用户来完成相应的任务,但sudo 能后面直接执行命令,比如sudo 不需要root 密码就可以执行root 赋与的执行只有root才能执行相应的命令;但得通过visudo 来编辑/etc/sudoers来实现;
visudo      注:visodo 是编辑 /etc/sudoers 的命令;也可以不用这个命令,直接用vi 来编辑 /etc/sudoers 的效果是一样的;
sudoedit  注:和sudo 功能差不多;



2)管理用户组(group)的工具或命令;

groupadd  注:添加用户组;
groupdel         注:删除用户组;
groupmod        注:修改用户组信息
groups     注:显示用户所属的用户组
grpck
grpconv   注:通过/etc/group和/etc/gshadow 的文件内容来同步或创建/etc/gshadow ,如果/etc/gshadow 不存在则创建;
grpunconv   注:通过/etc/group 和/etc/gshadow 文件内容来同步或创建/etc/group ,然后删除gshadow文件;

 


3、/etc/skel 目录;

/etc/skel目录一般是存放用户启动文件的目录,这个目录是由root权限控制,当我们添加用户时,这个目录下的文件自动复制到新添加的用户的家目录下;/etc/skel 目录下的文件都是隐藏文件,也就是类似.file格式的;我们可通过修改、添加、删除/etc/skel目录下的文件,来为用户提供一个统一、标准的、默认的用户环境;

[root @localhost beinan]# ls -la /etc/skel/
总用量 92
drwxr-xr-x    3 root root  4096  8月 11 23:32 .
drwxr-xr-x  115 root root 12288 10月 14 13:44 ..
-rw-r--r--    1 root root    24  5月 11 00:15 .bash_logout
-rw-r--r--    1 root root   191  5月 11 00:15 .bash_profile
-rw-r--r--    1 root root   124  5月 11 00:15 .bashrc
-rw-r--r--    1 root root  5619 2005-03-08  .canna
-rw-r--r--    1 root root   438  5月 18 15:23 .emacs
-rw-r--r--    1 root root   120  5月 23 05:18 .gtkrc
drwxr-xr-x    3 root root  4096  8月 11 23:16 .kde
-rw-r--r--    1 root root   658 2005-01-17  .zshrc

 

/etc/skel 目录下的文件,一般是我们用useradd 和adduser 命令添加用户(user)时,系统自动复制到新添加用户(user)的家目录下;如果我们通过修改 /etc/passwd 来添加用户时,我们可以自己创建用户的家目录,然后把/etc/skel 下的文件复制到用户的家目录下,然后要用chown 来改变新用户家目录的属主;

4、/etc/login.defs 配置文件;

/etc/login.defs 文件是当创建用户时的一些规划,比如创建用户时,是否需要家目录,UID和GID的范围;用户的期限等等,这个文件是可以通过root来定义的;

比如Fedora 的 /etc/logins.defs 文件内容;

# *REQUIRED*
#   Directory where mailboxes reside, _or_ name of file, relative to the
#   home directory.  If you _do_ define both, MAIL_DIR takes precedence.
#   QMAIL_DIR is for Qmail
#
#QMAIL_DIR      Maildir
MAIL_DIR        /var/spool/mail  注:创建用户时,要在目录/var/spool/mail中创建一个用户mail文件;
#MAIL_FILE      .mail

# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   99999   注:用户的密码不过期最多的天数;
PASS_MIN_DAYS   0       注:密码修改之间最小的天数;
PASS_MIN_LEN    5       注:密码最小长度;
PASS_WARN_AGE   7       注:

#
# Min/max values for automatic uid selection in useradd
#
UID_MIN                   500  注:最小UID为500 ,也就是说添加用户时,UID 是从500开始的;
UID_MAX                 60000   注:最大UID为60000;

#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN                   500   注:GID 是从500开始;
GID_MAX                 60000

#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD    /usr/sbin/userdel_local

#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is ORed with the -m flag on
# useradd command line.
#
CREATE_HOME     yes   注:是否创用户家目录,要求创建;

 


5、/etc/default/useradd 文件;

通过useradd 添加用户时的规则文件;

# useradd defaults file
GROUP=100
HOME=/home  注:把用户的家目录建在/home中;
INACTIVE=-1  注:是否启用帐号过期停权,-1表示不启用;
EXPIRE=   注:帐号终止日期,不设置表示不启用;
SHELL=/bin/bash  注:所用SHELL的类型;
SKEL=/etc/skel   注: 默认添加用户的目录默认文件存放位置;也就是说,当我们用adduser添加用户时,用户家目录下的文件,都是从这个目录中复制过去的;

 


后记:

关于用户(user)和用户组(group)管理内容大约就是这么多;只要把上面所说的内容了解和掌握,用户(user)和用户组(group)管理就差不多了;由于用户(user)和用户组(group)是和文件及目录权限联系在一起的,所以文件及目录权限的操作也会独立成文来给大家介绍;

你可能感兴趣的:(linux用户、用户组)