Linux中使用者和組的管理

一、Linux使用者的帳號管理

  ①新增帳號：useradd

   選項：

       -c, --comment ‘COMMENT’；在建立使用者時為使用者新增註釋資訊，一般為全名。

       -d, --home/PATH/TO/HOME_DIR：在建立使用者的時候為使用者指定家目錄的絕對路徑，被指定的目錄應該是事先不存在的目錄；

       -g, --gid GROUPNAME：在建立使用者時，為使用者指定主組；

       -G, --groups GROUP1[,GROUP2,...[,GROUPN]]]：在建立使用者時，為使用者新增附加組；

       -m, --create-home：在建立使用者時強制性的為使用者建立家目錄

       -M：在建立使用者時，不會建立使用者的家目錄，即使在/etc/login.defs和CREATE_HOME的值為yes也不建立，

       -r, --system：建立系統使用者

       -u, --uid UID：在建立使用者的時候，為使用者指定UID，這個UID可以超出60000的限制；

       -s, --shell /PATH/TO/SHELL：在建立使用者時，為使用者指定預設shell,使用絕對路徑；

       -D, --defaults：顯示或修改使用者預設屬性值；

       -s, --shell /PATH/TO/SHELL：修改/etc/default/useradd檔案中SHELL的預設值；、

  範例：# useradd -u 5000 -g CentOS -G distro,peguin gentoo

     意為：建立使用者gentoo，UID為5000，基本組為centos，附加組為distro和peguin

     # useradd -c "Fedora Core" -G distro,peguin -s /bin/tcsh fedora

     意為：建立使用者fedora，其全名為"Fedora Core"，附加組為distro和peguin，預設shell為/bin/tcsh；

     註：此兩個過程可能要新建centos、distro、penguin組

    使用者帳戶本身在 /etc/passwd 中定義。Linux 系統包含一個 /etc/passwd 的同伴檔案，叫做 /etc/shadow。該檔案不像 /etc/passwd，只有對於 root 使用者來說是可讀的，並且包含加密的密碼資訊。我們來看一看 /etc/shadow 的一個樣本行：
     drobbins1$1234567890123456789012345678901:11664:0:-1:-1:-1:-1:0 
     每一行給一個特別帳戶定義密碼資訊，同樣的，每個欄位用 : 隔開。第一個欄位定義和這個shadow條目相關聯的特別使用者帳戶。第二個欄位包含一個加密的密碼。其餘的欄位在下表中描述： 
           
           欄位 3 自 1/1/1970 起，密碼被修改的天數 
           欄位 4 密碼將被允許修改之前的天數（0 表示“可在所有時間修改”） 
           欄位 5 系統將強制使用者修改為新密碼之前的天數（1 表示“永遠都不能修改”） 
           欄位 6 密碼過期之前，使用者將被警告過期的天數（-1 表示“沒有警告”） 
           欄位 7 密碼過期之後，系統自動禁用帳戶的天數（-1 表示“永遠不會禁用”） 
           欄位 8 該帳戶被禁用的天數（-1 表示“該帳戶被啟用”） 欄位9保留供將來使用 

  ②刪除帳號userdel

    選項：

    -r：刪除使用者的同時，清除使用者的家目錄

    範例：# userdel -r sam

           意為：此命令刪除使用者sam在系統檔案（主要是/etc/passwd，/etc/shadow，/etc/group等）中的記錄，同時刪除使用者的主目錄。

     ③修改帳號資訊usermod

          選項：

       -c, --comment‘COMMENT’；修改使用者的注釋資訊；

       -g, --gid GROUPNAME：修改使用者的主要組

       -G, --groupsGROUP1[,GROUP2,...[,GROUPN]]]：修改使用者的附加組為列表中的組；

       -a, --append；與-G選項同時使用，給使用者新增新的附加組；

       -d, --home /PATH/TO/HOME_DIR:修改使用者的家目錄；

       -m, --move-home：與-d選項同時使用，將舊的家目錄中的資料移動至新家之中；

       -l, --login NEW_LOGIN：更改使用者賬戶的登入名；

       -s, --shell /PATH/TO/SHELL:修改使用者賬戶的登入shell

       -u, --uid UID:修改使用者的UID 

       -L, --lock:鎖定使用者密碼；

       -U, --unlock:解鎖使用者密碼；

   範例：# usermod gentoo -G bin,root -s /bin/csh -c "Gentoo Distribution"

   意為：將使用者gentoo的附加組修改為bin和root，預設shell為/bin/csh，注釋資訊為"Gentoo Distribution"；

       # usermod fedora -aG centos

   意為：為使用者fedora新增新的附屬組centos

   ④檢視帳號屬性 id

       格式： id user1  顯示user1的uid和gid ,預設為當前使用者的id資訊         

      真實的ID：在/etc/passwd定義的使用者的UID和GID

      有效的ID：當前生效的使用者的UID和GID

      id [OPTION]... [USER]

      -u：盡顯示使用者的user ID

      -g：盡顯示使用者的group ID

      -G：顯示使用者所有組的ID

      -n：以名稱來代替ID進行顯示

二、使用者認證管理 

    指定和修改使用者密碼的Shell命令是passwd。超級使用者能為自己和其他使用者指定密碼，普通使用者只能修改自己的密碼。

        ①passwd

            1.如果省略使用者名稱，意味著更改當前登入使用者的密碼；

     2.如果指定使用者名稱，更改指定使用者的密碼，只能root使用；

 

     選項：

       -l, --lock：鎖定使用者密碼

       -u, --unlock：解鎖使用者密碼；

         相比較usermod -L|-U而言，其優先順序更高；

         如果使用usermod -L鎖定的使用者密碼，可以使用passwd -u解鎖；

         而使用passwd -l鎖定的使用者密碼，無法使用usermod -U解鎖；

       -d, --delete：刪除使用者密碼；將/etc/shadow檔案中第二欄位清空

       -S, --status：檢視使用者的密碼狀態；

       --stadin：借住於管道將輸入資料流當作標準輸入資訊送給passwd命令；

         echo “PASSWORD”|passwd --stdin USERNAME

     範例：# passwd -d sam

      意為：此命令將使用者sam的密碼刪除，這樣使用者sam下一次登入時，系統就不再詢問密碼

三、使用者組的管理

      ①新增使用者組groupadd

        選項：

    -g gid:在建立組賬戶的時候，指定組賬戶的GID；如果不使用該選項指定，系統會選擇在組解析檔案中出現在的不大於60000最大的GID加1；

    -r：建立系統組，意思就是建立一個GID在1~999（1~499）之間的組；

   範例：# groupadd -g 1001 group2

        意為：此命令向系統中增加了一個新組group2，同時指定新組的組標識號是1001。

   ②刪除使用者組groupdel

    # groupdel group1
            此命令從系統中刪除組group1。

        ③修改使用者組的屬性gorupmod

            選項：

      -g gid：修改組賬戶的ID；

      -n ：修改組名；

   範例：# groupmod mydisk -g 808

           意為：將組mydisk的標識號修改為808

四、組的認證管理

        ①gpasswd命令

   選項：

      -a, --add user：向名為 group 的組中新增使用者 user。

      -d, --delete user：從名為 group 的組中移除使用者 user。

      -r, 刪除密碼

      -R,限制使用者登入組，只有組中的成員才可以用newgrp加入該組

 

五、其他命令

        切換使用者身份su

     su - USERNAME

       登入式切換，完全切換；在切換使用者的時候，重新讀取目標使用者的組態檔並且初始化工作環境；相當於su -1 USERNAME

     -c COMMAND:

       並不會切換使用者身份，而是以目標使用者的身份執行某命令；

     使用su命令的時候，從root切換到其他普通使用者，無需密碼；但普通使用者進行切換時，必須給出目標使用者的密碼；

     進行使用者切換之後，不要連續切換，而是用exit命令返回之前的使用者；

    範例：# su -root -c "命令內容"

    意為：用root的身份執行命令

================================================================================

  * 、  和使用者和使用者組相關的資訊都存放在一些系統檔案中，這些檔案包括/etc/passwd，/etc/shadow，/etc/group

     Ⅰ. 使用者組的所有資訊都存放在/etc/group檔案中。此檔案的格式也 類似於/etc/passwd檔案，由冒號隔開若干個欄位，這些欄位有：
組名:口令:組標識號:組內使用者列表
（1）“組名”是使用者組的名稱，由字母或數位構成。和/etc/passwd中的登入名相同，組名不應重複。
（2）“口令”欄位存放的是使用者組加密後的口令字。一般Linux系統的使用者組都沒有口令，即這個欄位一般為空，或是*。
（3）“組標識號”和使用者標識號類似，也是個整數，被系統內部用來標識組。
（4）“組內使用者列表”是屬於這個組的所有使用者的列表，不同使用者之間用逗號“,”分隔。這個使用者組可能是使用者的主組，也可能是附加組。
/etc/group檔案的一個例子如下：
# cat /etc/group
root::0:root
bin::2:root,bin
sys::3:root,uucp
adm::4:root,adm
daemon::5:root,daemon
lp::7:root,lp
users::20:root,sam

     Ⅱ./etc/shadow中的記錄行和/etc/passwd中的一一對應，他由pwconv命令根據/etc/passwd中的資料自動產生。他的檔案格式和/etc/passwd類似，由若干個欄位組成，欄位之間用“:”隔開。這些欄位是：
     登入名:加密口令:最後一次修改時間:最小時間間隔:最大時間間隔:警告時間:不活動時間:失效時間:標誌
   （1）“登入名”是和/etc/passwd檔案中的登入名相一致的使用者賬號
   （2）“口令”欄位存放的是加密後的使用者口令字，長度為13個字元。如果為空，則對應使用者沒有口令，登入時不必口令；如果含有不屬於集合{ ./0-9A-Za-z }中的字元，則對應的使用者不能登入。
   （3）“最後一次修改時間”表示的是從某個時刻起，到使用者最後一次修改口令時的天數。時間起點對不同的系統可能不相同。例如在SCO Linux中，這個時間起點是1970年1月1日。
   （4）“最小時間間隔”指的是兩次修改口令之間所需的最小天數。
   （5）“最大時間間隔”指的是口令保持有效的最大天數。
   （6）“警告時間”欄位表示的是從系統開始警告使用者到使用者密碼正式失效之間的天數。
   （7）“不活動時間”表示的是使用者沒有登入活動但賬號仍能保持有效的最大天數。
   （8）“失效時間”欄位給出的是個絕對的天數，如果使用了這個欄位，那麼就給出相應賬號的生存期。期滿後，該賬號就不再是個合法的賬號，也就不能再用來登入了。
下面是/etc/shadow的一個例子：
＃ cat /etc/shadow
rootnakfw28zf38w:8764:0:168:7:::
daemon:*::0:0::::
bin:*::0:0::::
sys:*::0:0::::
adm:*::0:0::::
uucp:*::0:0::::
nuucp:*::0:0::::
auth:*::0:0::::
cron:*::0:0::::
listen:*::0:0::::
lp:*::0:0::::
sam:EkdiSECLWPdSa:9740:0:0::::

      Ⅲ./etc/passwd檔案是使用者管理工作涉及的最重要的一個檔案。Linux系統中的每個使用者都在/etc/passwd檔案中有一個對應的記錄行，他記錄了這個使用者的一些基本屬性。這個檔案對所有使用者都是可讀的。他的內容類似下面的例子：
＃ cat /etc/passwd
root:x:0:0:Superuser:/:
daemon:x:1:1:System daemons:/etc:
bin:x:2:2:Owner of system commands:/bin:
sys:x:3:3:Owner of system files:/usr/sys:
adm:x:4:4:System accounting:/usr/adm:
uucp:x:5:5:UUCP administrator:/usr/lib/uucp:
auth:x:7:21:Authentication administrator:/tcb/files/auth:
cron:x:9:16:Cron daemon:/usr/spool/cron:
listen:x:37:4:Network daemon:/usr/net/nls:
lp:x:71:18rinter administrator:/usr/spool/lp:
sam:x:200:50:Sam san:/usr/sam:/bin/sh
從上面的例子我們能看到，/etc/passwd中一行記錄對應著一個使用者，每行記錄又被冒號分隔為7個欄位，其格式和具體含義如下：
程式碼:
使用者名稱:口令:使用者標識號:組標識號:注釋性描述:主目錄:登入Shell
（1）“使用者名稱”是代表使用者賬號的字串。通常長度不超過8個字元，並且由大小寫字母和/或數位組成。登入名中不能有冒號，因為冒號在這裡是分隔符。為了相容起見，登入名中最佳不要包含點字元“.”，並且不使用連字元“-”和加號“+”打頭。
（2） “口令”，一些系統中存放著加密後的使用者口令，雖然這個欄位存放的只是使用者口令的加密串，不是明文，不過由於/etc/passwd檔案對所有使用者都可讀，所以這仍是個安全隱患。因此，目前許多Linux系統都使用了shadow技術，把真正的加密後的使用者口令字存放到/etc/shadow檔案中，而在/etc/passwd檔案的口令欄位中只存放一個特別的字元，例如“x”或“*”。
（3）“使用者標識號”是個整數，系統內部用他來標識使用者。一般情況下他和使用者名稱是一一對應的。如果幾個使用者名稱對應的使用者標 識號是相同的，系統內部將把他們視為同一個使用者，不過他們能有不同的口令、不同的主目錄及不同的登入Shell等。通常使用者標識號的取值範圍是 0～65535。0是終極使用者root的標識號，1～99由系統保留，作為管理賬號，普通使用者的標識號從100開始。在Linux系統中，這個界限是 500。
（4）“組標識號”欄位記錄的是使用者所屬的使用者組。他對應著/etc/group檔案中的一條記錄。
（5） “注釋性描述”欄位記錄著使用者的一些個人情況，例如使用者的真實姓名、電話、地址等，這個欄位並沒有什麼實際的用途。在不同的Linux系統中，這個欄位的 格式並沒有統一。在許多Linux系統中，這個欄位存放的是一段任意的注釋性描述文字，用做finger命令的輸出。
（6）“主目錄”，也就是使用者的起始工作目錄，他是使用者在登入到系統之後所處的目錄。在大多數系統中，各使用者的主目錄都被組織在同一個特定的目錄下，而用 戶主目錄的名稱就是該使用者的登入名。各使用者對自己的主目錄有讀、寫、執行（搜尋）許可權，其他使用者對此目錄的存取許可權則根據具體情況設定。
（7）使用者登入後，要啟動一個進程，負責將使用者的操作傳給核心，這個進程是使用者登入到系統後執行的命令直譯器或某個特定的程式，即Shell。Shell是使用者和Linux系統之間的介面。

本文永久更新連結地址：http://www.linuxidc.com/Linux/2017-04/142428.htm