一、用户(user)和用户组(group)概念

1、用户(user)的概念

Linux 是典型的多用户操作系统,我们可以建若干用户(user),用于系统服务的运行和权限管理,不同的用户登陆系统,按照设定的权限去操作系统,提高了安全性。在Linux系统中有一些用户是用来完成特定任务的,比如nobody和ftp 等;有的是为了权限安全,比如限制root直接登陆系统,创建一个sshusr用户,登陆sshusr后,再su到root下。可以通过查看/etc/passwd了解Linux系统有哪些帐号。

2、用户组(group)的概念

用户组(group)就是具有相同特征的用户(user)的集合体;比如有时我们要让多个用户具有相同的权限,比如查看、修改某一文件或执行某个命令,这时我们需要用户组,我们把用户都定义到同一用户组,我们通过修改文件或目录的权限,让用户组具有一定的操作权限,这样用户组下的用户对该文件或目录都具有相同的权限。

3、用户和用户组的对应关系

一对一:某个用户可以是某个组的唯一成员; 多对一:多个用户可以是某个唯一的组的成员; 一对多:某个用户可以是多个用户组的成员,有附加组; 多对多:多个用户对应多个用户组,并且几个用户可以是归属相同的组。

二、用户(user)和用户组(group)相关的配置文件、命令或目录

1、与用户和用户组相关的配置文件;

1)与用户相关的配置文件; /etc/passwd 注:用户的配置文件; /etc/shadow 注:用户影子口令(密码)文件; 2)与用户组相关的配置文件; /etc/group 注:用户组配置文件; /etc/gshadow 注:用户组的影子口令文件; 2、管理用户和用户组的相关工具或命令; 1)管理用户的工具或命令; useradd :添加用户 adduser :添加用户 userdel :删除用户 passwd :为用户设置密码 usermod :修改用户命令,可以通过usermod 来修改登录名、用户的家目录等等; pwcov :同步用户从/etc/passwd 到/etc/shadow pwck :pwck是校验用户配置文件/etc/passwd 和/etc/shadow 文件内容是否合法或完整; pwunconv :是pwcov 的立逆向操作,是从/etc/shadow和 /etc/passwd 创建/etc/passwd ,然后会删除 /etc/shadow 文件; finger :查看用户信息工具 id :查看用户的UID、GID及所归属的用户组 chfn :更改用户信息工具 su :用户切换工具 sudo :sudo 是通过另一个用户来执行命令(execute a command as another user),su 是用来切换用户,然后通过切换到的用户来完成相应的任务,但sudo 能后面直接执行命令,比如sudo 不需要root 密码就可以执行root 赋与的执行只有root才能执行相应的命令;但得通过visudo 来编辑/etc/sudoers来实现; visudo :visodo 是编辑 /etc/sudoers 的命令;也可以不用这个命令,直接用vi 来编辑 /etc/sudoers 的效果是一样的; sudoedit :和sudo 功能差不多;

2)管理用户组的工具或命令; groupadd :添加用户组; groupdel :删除用户组; groupmod :修改用户组信息 groups :显示用户所属的用户组 grpck :用于验证组文件的完整性 grpconv :通过/etc/group和/etc/gshadow 的文件内容来同步或创建/etc/gshadow ,如果/etc/gshadow 不存在则创建; grpunconv 注:通过/etc/group 和/etc/gshadow 文件内容来同步或创建/etc/group ,然后删除gshadow文件;

3、/etc/skel 目录

/etc/skel目录一般是存放用户启动文件的目录,这个目录是由root权限控制,当我们添加用户时,这个目录下的文件自动复制到新添加的用户的家目录下;/etc/skel 目录下的文件都是隐藏文件,也就是类似.file格式的;我们可通过修改、添加、删除/etc/skel目录下的文件,来为用户提供一个统一、标准的、默认的用户环境; [root@localhost beinan]# ls -la /etc/skel/ 总用量 92 drwxr-xr-x 3 root root 4096 8月 11 23:32 . drwxr-xr-x 115 root root 12288 10月 14 13:44 .. -rw-r--r-- 1 root root 24 5月 11 00:15 .bash_logout -rw-r--r-- 1 root root 191 5月 11 00:15 .bash_profile -rw-r--r-- 1 root root 124 5月 11 00:15 .bashrc -rw-r--r-- 1 root root 5619 2005-03-08 .canna -rw-r--r-- 1 root root 438 5月 18 15:23 .emacs -rw-r--r-- 1 root root 120 5月 23 05:18 .gtkrc drwxr-xr-x 3 root root 4096 8月 11 23:16 .kde -rw-r--r-- 1 root root 658 2005-01-17 .zshrc

/etc/skel 目录下的文件,一般是我们用useradd 和adduser 命令添加用户(user)时,系统自动复制到新添加用户(user)的家目录下;如果我们通过修改 /etc/passwd 来添加用户时,我们可以自己创建用户的家目录,然后把/etc/skel 下的文件复制到用户的家目录下,然后要用chown 来改变新用户家目录的属主;

4、/etc/login.defs 配置文件

/etc/login.defs 文件是当创建用户时的一些规划,比如创建用户时,是否需要家目录,UID和GID的范围;用户的期限等等,这个文件是可以通过root来定义的;

比如Fedora 的 /etc/logins.defs 文件内容;

# *REQUIRED*
#   Directory where mailboxes reside, _or_ name of file, relative to the
#   home directory.  If you _do_ define both, MAIL_DIR takes precedence.
#   QMAIL_DIR is for Qmail
#
#QMAIL_DIR      Maildir
MAIL_DIR        /var/spool/mail  注:创建用户时,要在目录/var/spool/mail中创建一个用户mail文件;
#MAIL_FILE      .mail

# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   99999   注:用户的密码最长过期天数;
PASS_MIN_DAYS   5       注:密码最小过期天数;
PASS_MIN_LEN    5       注:密码最小长度;
PASS_WARN_AGE   7       注:密码过期警告天数

#
# Min/max values for automatic uid selection in useradd
#
UID_MIN                   500   注:最小UID为500 ,也就是说添加用户时,UID 是从500开始的;
UID_MAX                 60000   注:最大UID为60000;

#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN                   500   注:GID 是从500开始;
GID_MAX                 60000

#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD    /usr/sbin/userdel_local

#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is ORed with the -m flag on
# useradd command line.
#
CREATE_HOME     yes   注:是否创用户家目录,要求创建;

# The permission mask is initialized to this value. If not specified, 
# the permission mask will be initialized to 022.
UMASK           077


# Use SHA512 to encrypt password.
ENCRYPT_METHOD SHA512

5、/etc/default/useradd 文件

通过useradd 添加用户时的规则文件;

# useradd defaults file
GROUP=100
HOME=/home  注:把用户的家目录建在/home中;
INACTIVE=-1  注:是否启用帐号过期停权,-1表示不启用;
EXPIRE=   注:帐号终止日期,不设置表示不启用;
SHELL=/bin/bash  注:所用SHELL的类型;
SKEL=/etc/skel   注: 默认添加用户的目录默认文件存放位置;也就是说,当我们用adduser添加用户时,用户家目录下的文件,都是从这个目录中复制过去的;

三、用户组的管理

1、创建一个用户组

命令格式: groupadd [选项] [用户组] 选项: -g :GID 指定新用户组的组标识号(GID)。 -o :一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。 例1:创建group1,GID会自动在系统已创建的基础上增加1 # groupadd group1 例2:创建一个新组group2,同时指定新组的组标识号是101。 #groupadd -g 101 group2

2、删除一个用户组

命令格式: groupdel [用户组] 例:此命令从系统中删除组group1。 #groupdel group1

3、修改用户组的属性

命令格式: groupmod [选项] [用户组] 选项: -g :GID 为用户组指定新的组标识号。 -o :与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。 -n :新用户组 将用户组的名字改为新名字 例:此命令将组group2的组标识号修改为102。 # groupmod -g 102 group2 例:此命令将组group2的标识号改为10000,组名修改为group3。 # groupmod –g 10000 -n group3 group2 4、用户切换用户组 如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。 例如: $ newgrp root 这条命令将当前用户切换到root用户组,前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理,用户组的管理也可以通过集成的系统管理工具来完成。

四、用户管理

(一),添加用户

1.命令 useradd或adduser命令用来建立用户帐号和创建用户的起始目录,使用权限是超级用户。 2.命令格式   useradd [-d home] [-s shell] [-c comment] [-m [-k template]] [-f inactive] [-e expire ] [-p passwd] [-r] name 3.主要参数   -c:加上备注文字,备注文字保存在passwd的备注栏中。   -d:指定用户登入时的主目录,替换系统默认值/home/<用户名>   -D:变更预设值。   -e:指定账号的失效日期,日期格式为MM/DD/YY,例如06/30/12。缺省表示永久有效。   -f:指定在密码过期后多少天即关闭该账号。如果为0账号立即被停用;如果为-1则账号一直可用。默认值为-1.   -g:指定用户所属的群组。值可以使组名也可以是GID。用户组必须已经存在的,期默认值为100,即users。   -G:指定用户所属的附加群组。   -m:自动建立用户的登入目录。   -M:不要自动建立用户的登入目录。   -n:取消建立以用户名称为名的群组。   -r:建立系统账号。   -s:指定用户登入后所使用的shell。默认值为/bin/bash。   -u:指定用户ID号。该值在系统中必须是唯一的。0~499默认是保留给系统用户账号使用的,所以该值必须大于499。 例:创建用户tom,没有登陆权限 # useradd -s /sbin/nologin tom

4.说明   useradd可用来建立用户账号,它和adduser命令是相同的。账号建好之后,再用passwd设定账号的密码。使用useradd命令所建立的账号,实际上是保存在/etc/passwd文本文件中。

(二)用户的删除

命令格式: userdel [用户名] #只是删除用户名,用户目录和邮件账户目录还在 userdel -r [用户名] #清除用户的家目录和邮件目录

(三)设置用户密码

root用户登陆时执行,如果是当前用户登陆,passwd回车后按提示设置密码即可。 1,命令格式: echo [密码] | passwd --stdin [用户名] 例如:新建用户test,密码test,另外添加usertest组

#useradd test 
#echo "test" | passwd --stdin test 
#groupadd usertest

2,用户的密码文件 用户修改的密码信息存在/etc/shadow中,

# sed -n '$p' /etc/shado`w`
nalex:$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI.:17551:0:99999:7:0:17897:

--用户名 --密码 --从1970年1月1日起到上次修改密码所经过的天数 --密码再过几天可以被变更(0表示随时可以改变) --密码再过几天必须被变更(99999表示永不过期) --密码过期前几天提醒用户(默认为一周) --密码过期几天后帐号被禁用 --从1970年1月1日算起,多少天后账号失效

(四)修改用户属性 1.用usermod修改用户属性 语  法:usermod [参数选项] [用户帐号] 补充说明:usermod可用来修改用户帐号的各项设定。 选 项: -a|--append ##把用户追加到某些组中,仅与-G选项一起使用 -c|--comment ##修改/etc/passwd文件第五段comment -d|--home ##修改用户的家目录通常和-m选项一起使用 -e|--expiredate ##指定用户帐号禁用的日期,格式YY-MM-DD -f|--inactive ##用户密码过期多少天后采用就禁用该帐号,0表示密码一过期就禁用帐号,-1表示禁用此功能,默认值是-1 -g|--gid ##修改用户的gid,改组一定存在 -G|--groups ##把用户追加到某些组中,仅与-a选项一起使用 -l|--login ##修改用户的登录名称 -L|--lock ##锁定用户的密码 -m|--move-home ##修改用户的家目录通常和-d选项一起使用 -s|--shell ##修改用户的shell -u|--uid ##修改用户的uid,该uid必须唯一 -U|--unlock ##解锁用户的密码 2.示例 1).新建用户alex,密码alex,另外添加galex组

#useradd alex
#echo "alex" | passwd --stdin alex 
#groupadd galex

2).把alex用户加入galex组 #usermod -aG galex alex #多个组之间用空格隔开

# id alex
uid=1005(alex) gid=1006(alex) 组=1006(alex),1007(galex)

3).修改alex用户的家目录为galex

# usermod -md /home/galex alex
# cat /etc/passwd|grep "alex"
alex:x:1005:1006::/home/galex:/bin/bash

4).修改用户名

# usermod -l nalex alex
# cat /etc/passwd|grep "alex"
nalex:x:1005:1006::/home/galex:/bin/bash

5).锁定nalex的密码

# sed -n '$p' /etc/shadow
nalex:$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI
.:17551:0:99999:7:::
#usermod -L nalex 

# sed -n '$p' /etc/shadow
nalex:!$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI
.:17551:0:99999:7:::

锁定后用户冒号后面会多一个感叹号“!” 6).解锁nalex的密码 #usermod -U nalex 去除用户后面的感叹号 7).修改用户的shell

#sed '$!d' /etc/passwd 
nalex:x:500:500::/home/usertest:/bin/bash 
#usermod -s /bin/sh nalex 
#sed -n '$p' /etc/passwd 
nalex:x:500:500::/home/galex:/bin/sh

8)指定帐号过期日期

# sed -n '$p' /etc/shadow
nalex:$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI
.:17551:0:99999:7:::

# usermod -e 2019-01-01 nalex
]# sed -n '$p' /etc/shadow
nalex:$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI
.:17551:0:99999:7::17897:

多了时间限制 9).指定用户帐号密码过期多少天后,禁用该帐号

# usermod -f 0 nalex
# sed -n '$p' /etc/shadow
nalex:$6$QCsCA/7/$jsBzKSSoEOFW/.TsFlkJi.nZndkZz3EZ2nOMtpjDk9UInBxY6g76HnuTMgl9GqC0E0WNe.oznUKANMYrZG2FI
.:17551:0:99999:7:0:17897: