用户账号和组账号概述
与 Windows 操作系统一样,Linux 操作系统的每一个用户账号也都有唯一的用户名与密码。用户在登录时输入正确的用户名和密码,就能够进入操作系统和自己的主目录。
用户账号
在 Linux 操作系统中,根据系统管理的需要将用户账号分为不同的类型,主要包括超级用户、普通用户和程序用户,各类型拥有的权限、担任的角色也各不相同。
1.超级用户:root用户是Linux操作系统中默认的超级用户账号,对本主机拥有至高无上的权利,类似于Windows操作行动中的Administrator用户。只有当进行系统管理、维护任务时,才建议使用root用户登录系统,日常事务处理建议只使用普通用户账号。
2.普通用户:普通用户账号需要由 root 用户或其他管理员用户创建,拥有的权限受到一定限制一般只在用户自己的宿主目录中拥有完整权限。
3.程序用户:在安装 Linux 操作系统及部分应用程序时,会添加一些特定的低权限用户账号,这些用户一般不允许登录到系统,而仅用于维持系统或某个程序的正常运行,如 bin、daemon、ftp、mail等。
组账号
基于某种特定联系(如都需要访问 FTP 服务)将多个用户集合在一起,即构成一个用户组,表示该组内所有用户的账号称为组账号。每一个用户账号至少属于一个组,这个组称为该用户的基本组(或私有组);若该用户同时还包含在其他的组中,则这些组称为该用户的附加组(或公共组)。例如,用户 zhangsan是技术部的员工,与部门内的其他同事同属于基本组 tech,后来因工作安排需要,公司将 zhangsan 加入邮件管理员组 mailadm,则此时用户 zhangsan 同时属于 tech、mailadm 组,tech 组是其基本组账号而 mailad 组是其附加组账号。
对组账号设置的权限将适用于组内的每一个用户账号
UID和GID号
Linux 操作系统中的每一个用户账号都有一个数字形式的身份标记,称为 UID(User IDentity,用户标识号),对于操作系统核心来说,UID 是区分用户的基本依据,原则上每个用户的 UID 号应该是唯一的。root 用户账号的 UID号为固定值0,而程序用户账号的 UID号默认1~499,500~60000 的UID 号默认分配给普通用户使用。
与 UID 类似,每一个组账号也有一个数字形式的身份标记,称为 GID(Group IDentity,组标识号)。root 组账号的 GID 号为固定值 0,而程序组账号的 GID号默认为 1~499,500~~60000 的 GID 号默认分配给普通组使用。
用户账号管理
Linux 操作系统中的用户账号、密码等信息均保存在相应的配置文件中,直接修改这些文件或者使用用户管理命令都可以对用户账号进行管理。
用户帐号文件
与用户账号相关的配置文件主要有两个,分别是/etc/passwd 和/etc/shadow。前者用于保存用户名称、宿主目录、登录 shell 等基本信息,后者用于保存用户的密码、账号有效期等信息。在这两个配置文件中,每一行对应一个用户账号,不同的配置项之间使用“:”(冒号)进行分隔。
(1)passwd文件中的配置行格式
操作系统中所有用户的账号基本信息都保存在/etc/passwd 文件中,该文件是文本文件,任何用户都可以读取文件中的内容。例如,以下操作可分别查看/etc/passwd 文件开头、末尾的几行内容。
查看文件开头前两行: head -2 /etc/passwd 如图所示
查看文件末尾第一行:tail -1 /etc/passwd 如图所示
在 passwd 文件开头的部分,包括超级用户 root 及各程序用户的账号信息,系统中新增加的用户账号信息将保存到 passwd 文件的末尾。passwd 文件的每一行内容中包含了七个用“:”(冒号)分隔的配置字段,从左到右各配置字段的含义分别如下所述。
第1字段:用户账号的名称,也是登录系统时使用的识别名称。
第2字段:经过加密的用户密码字串,或者密码占位符“x”
第3字段:用户账号的UID号。
第4字段:所属基本组账号的GID号。
第5字段:用户全名,可填写与用户相关的说明信息。
第6字段:宿主目录,即该用户登录后所在的默认工作目录。
第7字段:登录 shell等信息,用户完成登录后使用的shell。
基于系统运行和管理的需要,所有用户都可以访问 passwd文件中的内容,但是只有root 用户才能进行更改。在早期的UNIX操作系统中,用户账号的密码信息也是保存在passwd 文件中的,不法用户可以获取密码字串进行暴力破解,这样一来账号安全就存在一定的隐患。因此,后来将密码转存入专门的shadow文件中,而 passwd 文件中仅保留密码占位符“x”。
(2)shadow文件中的配置行格式
shadow文件又被称为“影子文件”,,其中保存有各用户账号的密码信息,因此对 shadow文件的访问应该进行严格限制。默认只有root用户能够读取shadow文件中的内容,且不允许直接编辑该文件中的内容。例如,以下操作可分别查看/ete/shadow 文件开头、末尾的几行内容。
查看shadow文件前两行:head -2 /etc/shadow 如图所示
查看shadow文件最后一行:tail -1 /etc/shadow 如图所示
shadow 文件的每一行内容中包含了九个用“:”(冒号)分隔的配置字段,从左到右各配置字段的含义分别如下所述。
第1字段:用户账号名称。
第2字段:使用 SHA-512(哈希算法中的一种)加密的密码字串信息,当为“*”或“!!”时表示此 用户不能登录到系统。若该字段内容为空,则该用户无须密码即可登录系统。
第3字段:上次修改密码的时间,表示从1970年01月01日算起到最近一次修改密码时间 隔的天数。
第4字段:密码的最短有效天数,自本次修改密码后,必须至少经过该天数才能再次修改 密码。默认值为 0,表示不进行限制。
第5字段:密码的最长有效天数,自本次修改密码后,经过该天数以后必须再次修改密 码。默认值为 99999,表示不进行限制。
第6字段:提前多少天警告用户密码将过期,默认值为7。
第7字段:在密码过期之后多少天内禁用此用户。
第8字段:账号失效时间,此字段指定了用户作废的天数(从1970年 01月 01日起计算)
默认值为空,表示账号永久可用。
第9字段:保留字段,目前没有特定用途。
添加、修改、删除用户账号
useradd命令--添加用户账号
useradd命令用于添加用护账号,其最基本的命令格式如下:
useradd [ 选项 ] 用户名
最简单的用法是,不添加任何选项,只使用用户名作为useradd命令的参数,按系统默认配置建立指定的用户账号。在Cent0s系统中,使用 useradd 命令添加用户账号时主要完成以下几项任务。
在/etc/passwd 文件和/etc/shadow 文件的末尾增加该用户账号的记录。
若未明确指定用户的宿主目录,则在加/home 目录下自动创建与该用户账号同名的宿主目 录,并在该目录中建立用户的各种初始配置文件。
若没有明确指定用户所属的组,则自动创建与该用户账号同名的基本组账号,组账号的记录 信息将保存到/etc/group 和/etc/gshadow 文件中
例如,执行以下操作可以创建名为 zhangsan的用户账号,并通过查看 passwd、shadow 文件和/home目录来确认新增用户账号时的变化。
创建名为zhangsan的用户账号:
通过passwd和shadow查看新增用户状态:
确认自动创建的用户目录:
如果结合 useradd 命令的各种选项,可以在添加用户账号的同时对 UID 号、宿主目录、登录 shell等相关属性进行指定。以下列出了 useradd 命令中用于设置账号属性的几个常见选项。
-u:指定用户的 UID 号,要求该 UID 号码未被其他用户使用。
-d:指定用户的宿主目录位置(当与-M 一起使用时,不生效)。
-e指定用户的账户失效时间,可使用YYYY-MM-DD的日期格式。
-g:指定用户的基本组名(或使用GID号)。
-G:指定用户的附加组名(或使用GID号)。
-M:不建立宿主目录,即使/etc/login.defs系统配置中已设定要建立宿主目录。
-s:指定用户的登录 shell。
上述的各个选项可以组合使用。例如,执行以下操作可以创建一个辅助管理员账号admin,将其基本组指定为“wheel”,附加组指定为“root”,宿主目录指定为“/admin”。具体操作如下。
为用户账号设置密码
通过 useradd 命令新增用户账号以后,还需要为其设置一个密码才可以正常使用。使用 passwd 命令可以设置或修改密码,root 用户有权管理其他账号的密码。具体操作如下:
使用 passwd 命令除了可以修改账号的密码以外,还能够对用户账号进行锁定、解锁,也可以将用户的密码设置为空(无须密码即可登录)。与上述功能相关的几个选项如下所示。
-d:清空指定用户的密码,仅使用用户名即可登录系统。
-l:锁定用户账户。
-S:查看用户账户的状态(是否被锁定)。
-u:解锁用户账户。
通过 passwd 命令锁定的用户账号,将无法再登录系统(shadow 文件中的对应密码字串前将添加“!!”字符),只能由管理员来解除锁定。例如,以下操作分别用于锁定、解锁用户账号zhangsan。
锁定账号:
查看锁定账号状态:
解锁账号:
查看解锁账号状态:
删除用户账号
当操作系统中的某个用户账号不再使用时,可以使用userdel 命令将该用户账号删除。使用该命令也需要指定账号名称作为参数,结合“”选项可同时删除宿主目录。例如,执行以下操作将删除名为zhangsan的用户账号,同时删除其宿主目录/home/zhangsan。
组账号文件
与组账号相关的配置文件也有两个,分别是/etc/group 和/etc/gshadow。前者用于保存组账号名称、GID 号、组成员等基本信息,后者用于保存组账号的加密密码字串等信息。某一个组账号包含哪些用户成员,将会在 group 文件内最后一个字段中体现出来,多个组成员之间使用“,”(逗号)分隔。例如,执行以下操作可分别获知 root 组包括哪些用户成员、哪些组中包含 root 用户。
检索root组包括那些用户:
检索哪些组包含root用户:
添加组账号
使用 groupadd 命令可以添加一个组账号,需要指定GID号时,可以使用“-g”选项。例如,执行如下的“groupadd class01”命令可以添加一个名为 class01 的组账号。
添加、设置、删除组成员
命令本来是用于设置组账号的密码,但是该功能极少使用,实际上该命令更多地用来管理gpasswd账号的用户成员。需要添加、删除成员用户时,可分别使用“-”和“-à”选项。例如,以下操作分别用于向 root 组中添加成员用户 mike、删除成员用户 webmaster。
删除组账号
当系统中的某个组账号已经不再使用时,可以使用 groupdel命令将该组账号删除。而添加指定的组账号名称作为参数。例如,若要删除组账号 class01,可以执行以下操作。
查询账号信息
查询用户账号所属的组
使用 groups 命令可以查看指定的用户账号属于哪些组。例如,以下操作分别显示当前用户(root)和daemon用户所属的组账号信息。
查询当前主机的用户登录情况
使用 w命令可以查询当前主机中的用户登录情况,列出登录账号名称、所在终端、登录时间、来源地点等信息,具体操作如下:
查看目录和文件的属性
使用带“-l”选项的ls命令时,将以长格式显示文件或目录的详细信息,其中包括该文件的权限和归属等参数。例如,执行以下操作可以列出/etc 目录和/etc/passwd 文件的详细属性。
权限字符在文件和目录中的含义
| 权限 | 文件 | 目录 |
| r | 查看文件内容 | 查看目录内容(显示子目录、文件列表) |
| w | 修改文件内容 | 修改目录内容(在目录中新建、移动、删除文件或子目录) |
| x | 执行该文件 | 执行cd命令进入或退出该目录 |
设置目录和文件的归属
需要设置文件或者目录的归属时,主要通过 chow 命令进行。可以只设置属主或属组,也可以同时设置属主、属组。使用 chow 命令的基本格式如下:
chown 属主[:[属组]]文件或目录...
同时设置属主、属组时,用户名和组名之间用“:”进行分隔。若只设置属组,则需使用“:组名”的形式。
扫一扫
3010
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
