Linux系统用户和组

用户、组和权限管理

Multi-tasks, Multi-Users

每个使用者：

用户标识、密码；

Authentication

Authorization

Audition

组：用户组，用户容器

用户类别：

管理员

普通用户

系统用户

登录用户

用户标识：UserID, UID

16bits二进制数字：0-65535

管理员：0

普通用户：1-65635

系统用户：1-499(CentOS6), 1-999(CentOS7)

登录用户：500-60000(CentOS6), 1000-60000(CentOS7)

名称解析：名称转换

Username <--> UID

根据名称解析库进行：/etc/passwd

组：

组类别1：

管理员组

普通用户组

系统组

登录组

组标识：GroupID, GID

管理员组：0

普通用户组：1-65635

系统用户组：1-499(CentOS6), 1-999(CentOS7)

登录用户组：500-60000(CentOS6), 1000-60000(CentOS7)

名称解析：groupname <--> gid

解析库：/etc/group

组类别2：

用户的基本组

用户的附加组

组类别3:

私有组：组名同用户名，且只包含一个用户；

公共组：组内包含了多个用户；

认证信息：

通过比对事先存储的，与登录时提供的信息是否一致；

password：

/etc/shadow

/etc/gshadow (组密码文件)

密码的使用策略：

1、使用随机密码；

2、最短长度不要低于8位；

3、应该使用大写字母、小写字母、数字和标点符号四类字符中至少三类；

4、定期更换；

加密算法：

对称加密：加密和解密使用同一个密码；

非对称加密：加密和解密使用的一对儿密钥；

密钥对儿：

公钥：public key

私钥: private key

单向加密：只能加密，不能解密；提取数据特征码；

定长输出

雪崩效应 （相似的两个原密码，加密后完全不同）

算法：

md5: message digest, 128bits

sha：secure hash algorithm, 160bits

sha224

sha256

sha384

sha512

在计算之时加salt，添加的随机数；

/etc/passwd：用户的信息库

name:password:UID:GID:GECOS:directory:shell

name: 用户名

password：可以是加密的密码，也可是占位符x；

UID：

GID：用户所属的主组的ID号；

GECOS：注释信息

directory：用户的家目录；

shell：用户的默认shell，登录时默认shell程序；

/etc/shadow：用户密码

用户名:加密的密码:最近一次修改密码的时间:最短使用期限:最长使用期限:警告期段:过期期限:保留字段

/etc/group：组的信息库

group_name:password:GID:user_list

user_list：该组的用户成员；以此组为附加组的用户的用户列表；

相关命令：useradd, userdel, usermod, passwd, groupadd, groupdel, groupmod, gpasswd, chage, chsh, id, su

Linux用户和组管理

安装上下文：

进程以其发起者的身份运行；

进程对文件的访问权限，取决于发起此进程的用户的权限；

系统用户：为了能够让那后台进程或服务类进程以非管理员的身份运行，通常需要为此创建多个普通用户；这类用户从不用登录系统；

groupadd命令：添加组

groupadd [选项] group_name

-g GID：指定GID；默认是上一个组的GID+1；

-r: 创建系统组；（centos6:1-499，centos7：1-999）

例子：

[root@bogon go_dir]# groupadd -r testgroup

[root@bogon go_dir]# groupadd -g 2000 testgroup2

[root@bogon go_dir]# groupadd -r -g 200 testgroup3

[root@bogon go_dir]# tail -3 /etc/group

testgroup:x:983:

testgroup2:x:2000:

testgroup3:x:200:

groupmod命令：修改组属性

groupmod [选项] GROUP

-g GID：修改GID；

-n new_name：修改组名；

例子：

[root@bogon go_dir]# groupmod -g 6666 testgroup2

[root@bogon go_dir]# groupmod -n modtestgroup3 testgroup3

[root@bogon go_dir]# tail -2 /etc/group

testgroup2:x:6666:

modtestgroup3:x:200:

groupdel命令：删除组

groupdel [选项] GROUP

例子：

[root@bogon go_dir]# groupdel testgroup

[root@bogon go_dir]# groupdel testgroup2

[root@bogon go_dir]# groupdel modtestgroup3

[root@bogon go_dir]# tail -2 /etc/group

tcpdump:x:72:

lzw:x:1000:

useradd命令：创建用户

useradd [选项] 登录名

-u, --uid UID：指定UID；

-g, --gid GROUP：指定基本组ID，此组得事先存在；

-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]：指明用户所属的附加组，多个组之间用逗号分隔；

-c, --comment COMMENT：指明注释信息；

-d, --home HOME_DIR：以指定的路径为用户的家目录；通过复制/etc/skel此目录并重命名实现；指定的家目录路径如果事先存在，则不会为用户复制环境配置文件；

-s, --shell SHELL：指定用户的默认shell，可用的所有shell列表存储在/etc/shells(安全shell)文件中；

-r, --system：创建系统用户；

例子：

[root@bogon go_dir]# groupadd gp1

[root@bogon go_dir]# groupadd gp2

[root@bogon go_dir]# tail -2 /etc/group

gp1:x:1002:

gp2:x:1003:

[root@bogon go_dir]# useradd -G gp1,gp2 lisi

[root@bogon go_dir]# tail -3 /etc/group

gp1:x:1002:lisi

gp2:x:1003:lisi

lisi:x:1004:

注意：创建用户时的诸多默认设定配置文件为/etc/login.defs

useradd -D：显示创建用户的默认配置；

useradd -D 选项: 修改默认选项的值；

修改的结果保存于/etc/default/useradd文件中；

usermod命令：修改用户属性

usermod [选项] 登录

-u, --uid UID：修改用户的ID为此处指定的新UID；

-g, --gid GROUP：修改用户所属的基本组；

-G, --groups GROUP1[,GROUP2,...[,GROUPN]]]：修改用户所属的附加组；原来的附加组会被覆盖；

-a, --append：与-G一同使用，用于为用户追加新的附加组；

-c, --comment COMMENT：修改注释信息；

-d, --home HOME_DIR：修改用户的家目录；用户原有的文件不会被转移至新位置；(要和-m一起用才能转移)

-m, --move-home：只能与-d选项一同使用，用于将原来的家目录移动为新的家目录；

-l, --login NEW_LOGIN：修改用户名；

-s, --shell SHELL：修改用户的默认shell；

-L, --lock：锁定用户密码；即在用户原来的密码字符串之前添加一个"!"；

-U, --unlock：解锁用户的密码；

userdel命令：删除用户

userdel [选项] 登录

-r：删除用户时一并删除其家目录；(默认是不删除的)

练习1：创建用户gentoo，UID为4001，基本组为gentoo，附加组为distro(GID为5000)和peguin(GID为5001)；

练习2：创建用户fedora，其注释信息为"Fedora Core"，默认shell为/bin/tcsh；

练习3：修改gentoo用户的家目录为/var/tmp/gentoo；要求其原有文件仍能被用户访问；

练习4：为gentoo新增附加组netadmin；

passwd命令：

passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]

(1) passwd：修改用户自己的密码；

(2) passwd USERNAME：修改指定用户的密码，但仅root有此权限；

-l, -u：锁定和解锁用户；

-d：清除用户密码串；

-e DATE: 过期期限，日期；

-i DAYS：非活动期限；

-n DAYS：密码的最短使用期限；

-x DAYS：密码的最长使用期限；

-w DAYS：警告期限；

--stdin：

echo "PASSWORD" | passwd --stdin USERNAME (脚本中通常这样用)

gpasswd命令：

组密码文件：/etc/gshadow

gpasswd [选项] group

-a USERNAME：向组中添加用户

-d USERNAME：从组中移除用户

(组密码有什么用？newgrp在切换组的时候用得上)

newgrp命令：临时切换指定的组为基本组（如果组没有组密码，则不能切换）；

newgrp [-] [group]

-: 会模拟用户重新登录以实现重新初始化其工作环境；

chage命令：更改用户密码过期信息

chage [选项] 登录名

-d LAST_DAY （最近一次修改密码的时间）

-E, --expiredate EXPIRE_DATE （过期时间）

-I, --inactive INACTIVE （非活动期限）

-m, --mindays MIN_DAYS （最小使用期限）

-M, --maxdays MAX_DAYS （最大使用期限）

-W, --warndays WARN_DAYS （警告期限）

id命令：显示用户的真和有效ID; 

id [OPTION]... [USER]

-u: 仅显示有效的UID；

-g: 仅显示用户的基本组ID; 

-G: 仅显示用户所属的所有组的ID；

-n: 显示名字而非ID；

su命令：switch user

登录式切换(完全切换)：会通过读取目标用户的配置文件来重新初始化

su - USERNAME

su -l USERNAME

非登录式切换(半切换)：不会读取目标用户的配置文件进行初始化

su USERNAME

注意：管理员可无密码切换至其它任何用户；

-c 'COMMAND'：仅以指定用户的身份运行此处指定的命令；

其它几个命令：chsh, chfn, finger, whoami, pwck, grpck

命令总结：groupadd, groupmod, groupdel, useradd, usermod, userdel, passwd, gpasswd, newgrp, id, su, chage