05、Linux基础:用户和用户组管理

目录

      • 1 用户配置文件
      • 1.1 用户信息文件 /etc/passwd
      • 1.2 影子文件 /etc/shadow
      • 1.3 组信息文件 /etc/group 和 组密码文件 /etc/gshadow
    • 2 用户管理相关文件
      • 2.1 用户的家目录
      • 2.2 用户的邮箱
      • 2.3 用户模板目录
    • 3 用户管理命令
      • 3.1 用户添加命令useradd
      • 3.2 修改用户密码passwd
      • 3.3 修改用户信息usermod、修改用户密码状态chage
      • 3.4 删除用户 userdel、用户切换命令 su
    • 4 用户组管理命令

1 用户配置文件

1.1 用户信息文件 /etc/passwd

1)用户管理简介

  • 越是对安全性要求高的服务器,越需要建立合理的用户权限等级制度和服务器操作规范。
  • 在Linux中主要是通过用户配置文件来查看和修改用户信息。

2)/etc/passwd

man 5 passwd 可以查看配置文件的帮助

  • 第1字段: 用户名称

  • 第2字段: 密码标志

  • x代表这个用户是有密码的。

  • 如果删除x,只有本地可以无密码登录,ssh会完全无法登录,因为ssh要求密码必填。

  • 第3字段: UID(用户ID)

  • 0: 超级用户

  • 1-499: 系统用户(伪用户)

  • 00-65535: 普通用户

    伪用户是用来启动服务或者启动命令的,不能登录,不可删除,一旦删除可能服务或者命令就不能正常使用了。

补充:

1、 注意root不一定是管理员,主要还是看UID为0的用户是谁,谁就是管理员;

2、 默认UID不重复,可以强制改为重复的;

3、 把普通用户设置为管理员:把UID改为0(改GID是没用的);

  • 第4字段: GID(用户初始组ID)

  • 第5字段: 用户说明

  • 第6字段: 家目录

  • 普通用户:/home/用户名/

  • 超级用户:/root/

  • 第7字段: 登录之后的Shell

3)初始组、附加组

  • 初始组: 就是指用户一登陆就立刻拥有这个用户组的相关权限,每个用户的初始组只能有一个,一般就是和这个用户的用户名相同的组名作为这个用户的初始组。
  • 附加组: 之用户可以加入多个其他的用户组,并拥有这些组的权限,附加组可以有多个。

4)Shell是什么

  • Shell 就是 Linux 的命令解释器。
  • 在 /etc/passwd 当中,除了标准 Shell 是 /bin/bash 之外,还可以写如:/sbin/nologin, /usr/bin/passwd 等。
1.2 影子文件 /etc/shadow

1)影子文件 /etc/shadow

  • 第1字段: 用户名

  • 第2字段: 加密密码

  • 加密算法升级为SHA512散列加密算法

  • 如果密码位是“!!” 或 “*” 代表没有密码,不能登录

  • 禁止用户登录:在shadow的用户名密码前加一个“!”。

  • 第3字段: 密码最后一次修改日期

  • 使用1970年1月1日作为标准时间,每过一天时间戳加1

  • 第4字段: 两次密码的修改间隔时间(和第3字段相比)

  • 第5字段: 密码有效期(和第3字段相比)

  • 第6字段: 密码修改到期的警告天数(和第5字段相比,到期前的警告天数)

  • 第7字段: 密码过期后的宽限天数(和第5字段相比,到期后的宽限天数)

  • 空和0都是过期后立即失效

  • 第8字段: 账号失效时间

  • 要用时间戳标识,以1970年1月1日为标准时间。

  • 第9字段: 保留字段,暂时不用。

2)时间戳换算

  • 把时间戳换算为日期
$ date -d "1970-01-01 18953 days"

  • 把日期换算为时间戳
echo $(($(date --date="2021/11/21" +%s)/86400+1))
# echo是Shell的输出命令

1.3 组信息文件 /etc/group 和 组密码文件 /etc/gshadow

1)组信息文件 /etc/group

  • 第1字段:组名
  • 第2字段:组密码标志
  • 第3字段:GID 组ID
  • 第4字段:组中附加用户

2)组密码文件 /etc/gshadow

  • 第1字段:组名
  • 第2字段:组密码
  • 第3字段:组管理员用户名
  • 第4字段:组中附加用户

2 用户管理相关文件

2.1 用户的家目录
  • 普通用户:/home/用户名/,所属人和所属组都是此用户,权限是700
  • 超级用户:/root/,所属人和所属组都是root用户,权限是550(rwx权限对root用户无效,不用在意550)
2.2 用户的邮箱
  • /var/spool/mail/用户名/
2.3 用户模板目录
  • /etc/skel/
  • 模板文件的作用:新建用户的时候,自动拷贝到新用户家目录的文件

3 用户管理命令

3.1 用户添加命令useradd

1)useradd命令格式

$ useradd [选项] 用户名

选项:

  • -u [UID] 手工指定用户的UID号
  • -d [家目录] 手工指定用户的家目录
  • -c [用户说明] 手工指定用户的说明
  • -g [组名] 手工指定用户的初始组
  • -G [组名] 手工指定用户的附加组(指定多个附加组用英文逗号分隔)
  • -s [shell命令] 手工指定用户的登录shell。默认是/bin/bash

注意: 添加一个用户,需要两个命令,useradd和passwd,如果不给它设置密码是没有添加完整的,是不能登录的。

补充1: useradd添加家目录的时候是不需要手动创建相关目录的,手工创建之后还需要手动改目录的权限,所以我们不推荐手工创建。

2)默认添加用户

# 默认添加用户(不加选项)
$ useradd lamp
# 可以使用下面的命令查看新用户所增加的内容:
# 1.查看用户信息
$ grep "lamp" /etc/passwd
# 2.查看用户密码信息
$ grep "lamp" /etc/shadow
# 3.查看用户组信息
$ grep "lamp" /etc/gshadow
# 4.查看用户家目录
$ ll -d /home/lamp
# 5.查看用户邮箱目录
$ ll /var/spool/mail/lamp

3)指定选项添加用户

# 新建组
$ groupadd lamp1
# 指定UID未550,新用户初始组为lamp1,新用户附加组为root,用户家目录为/home/lamp1,用户说明为"test user",登陆后的默认命令为/bin/bash,用户名称为lamp1
$ useradd -u 55 -g lamp1 -G root -d /home/lamp1 \
  -c "test user" -s /bin/bash lamp1

4)用户默认值文件

$ /etc/default/useradd
# GROUP=100 用户默认组
# HOME=/home 用户家目录
# INACTIVE=-1 密码过期宽限天数(shadow 7字段)
# EXPIRE= 密码失效时间(8)
# SHELL=/bin/bash 默认shell
# SKEL=/etc/skel 模板目录
# CREATE_MAIL_SPOOL=yes 是否建立邮箱

$ /etc/login.defs
# PASS_MAX_DAYS 99999 密码有效期(5)
# PASS_MIN_DAYS 0 密码修改间隔(4)
# PASS_MIN_LEN 5 密码最小5位(PAM)
# PASS_WARN_AGE7 密码到期警告(6)
# UID_MIN 500  最小和最大UID范围
# GID_MAX 60000
# ENCRYPT_METHOD SHA512 加密模式

3.2 修改用户密码passwd

1)passwd命令格式

$ passwd [选项] 用户名

选项:

  • -S 查询用户密码的状态。仅root用户可用
  • -l 暂时锁定用户。仅root用户可用
  • -u 解锁用户。仅root用户可用
  • –stdin 可以通过管道符输出的数据作为用户的密码

2)查看密码状态

$ passwd -S lamp
lamp PS 2013-01-06 0 99999 7 -1
# 用户名密码设置时间(2013-01-06)
# 密码修改间隔时间(0)
# 密码有效期(99999 永久)
# 警告时间(7)
# 密码不失效(-1)

3)锁定用户和解锁用户

# 锁定用户
$ passwd -l lamp
# 解锁用户
$ passwd -u lamp

4)使用字符串作为用户的密码

$ echo "123" | passwd --stdin lamp

3.3 修改用户信息usermod、修改用户密码状态chage

1)修改用户信息 usermod

$ usermod [选项] 用户名

选项:

  • -u [UID] 修改用户的UID号
  • -c [用户说明] 修改用户的说明信息
  • -L 临时锁定用户(Lock)
  • -U 解锁锁定用户(Unlock)

示例:

# 修改用户的说明
$ usermod -c "test user" lamp
# 把lamp用户加入root组
$ usermod -G root lamp
# 锁定用户
$ usermod -L lamp
# 解锁用户
$ usermod -U lamp

2)修改用户密码状态chage

$ chage [选项] 用户名

选项:

  • -l 列出用户的详细密码状态
  • -d [日期] 修改密码最后一次更改日期(shadow 3字段)
  • -m [天数] 两次密码修改间隔(4字段)
  • -M [天数] 密码有效期(5字段)
  • -W [天数] 密码过期前警告天数(6字段)
  • -I [天数] 密码过期后宽限天数(7字段)(大写i)
  • -E [日期] 账号失效时间(8字段)

示例:

# 这个命令其实是把密码修改日期归0了(shadow第3字段)
# 这样用户一登陆就要修改密码
$ chage -d 0 lamp

3.4 删除用户 userdel、用户切换命令 su

1)删除用户 userdel

$ userdel [-r] 用户名

选项:

  • -r 删除用户的同事删除用户家目录

手工删除用户:

$ vim /etc/passwd$ vim /etc/shadow$ vim /etc/group$ vim /etc/gshadow$ rm -rf /var/spool/mail/lamp$ rm -rf /home/lamp

2)查看用户ID

$ id 用户名

3)切换用户身份su

$ su [选项] 用户名

选项:

  • - 选项只使用 “-” 代表连带用户的环境变量一起切换
  • -c 仅执行一次命令,而不切换用户身份

示例:

# 切换为root用户,root可以省略
$ su - root
# 不切换为root用户,但是执行useradd命令添加user1用户
$ su - root -c "useradd user1"

注意:su切换用户的时候,后面必须要加-,不然env查看环境变量的时候,还是本机的环境变量。

4 用户组管理命令

1)添加用户组 groupadd

[root@localhost ~]# groupadd [选项] 组名

选项:

  • -g [GID] 指定组ID

2)修改用户组 groupmod

[root@localhost ~]# groupmod [选项] 组名

选项:

  • -g [GID] 指定组ID
  • -n [新组名] 修改组名

把组名group1修改为testgrp

[root@localhost ~]# groupmod -n testgrp group1

3)删除用户组命令 groupdel

[root@localhost ~]# groupdel  组名

4)用户添加进组或从组中删除 gpasswd

[root@localhost ~]# gpasswd 选项 组名

选项:

  • -a [用户名] 把用户加入组
  • -d [用户名] 把用户从组中删除

把用户lizhouwei加入grouptest组

[root@localhost ~]# gpasswd -a lizhouwei grouptest

把用户 lizhouwei 从组中删除

[root@localhost ~]# gpasswd -d lizhouwei  grouptest

说明: usermod 命令也可以把用户加入某个组,不过 usermod 命令的操作对象是用户,命令是 “usermod -G grouptest lizhouwei”,把用户名作为参数放在最后;而 gpasswd 命令的操作对象是组,命令是"gpasswd -a lizhouwei grouptest",把组名作为参数放在最后。

补充: 其实 gpasswd 命令是用来设定组密码并指定组管理员的,不过我们在前面已经说了,组密码和组管理员功能很少使用,而且完全可以被 sudo 命令取代,所以 gpasswd 命令现在主要用于把用户添加进组或从组中删除。

切换用户的有效组 newgrp

[root@localhost ~]# newgrp  组名

说明: 每个用户可以属于一个初始组(用户是这个组的初始用户),也可以属于多个附加组(用户是这个组的附加用户)。用户在创建文件后,文件的属组是用户的初始组,因为用户的有效组默认是初始组。那么可以使用命令 newgrp 切换用户的有效组。

整理完毕,完结撒花~ *

版权声明:本文不是「本站」原创文章,版权归原作者所有 | 原文地址: