LINUX用户管理

LINUX用户管理

用户的基本概述:
用户:能够正常登录操作系统

为什么需要用户?
1.系统的每一进程(运行的程序)都需要一个特定的用户运行
2root用户的操作权限过大,容易造成故障这时就需要新建普通用户管理服务器

用户分类:
UID 系统中约定的含义
0 超级管理员
1-200 系统账户,用来运行系统自带的进程默认已经创建
201-999 系统用户,用来运行用户安装的程序,所以此类用户无需登录系统
1000 普通用户,正常可以登录系统的用户权限比较小,能执行的任务有限

查看用户ID信息
使用id命令查询当前前登录用户的信息

用户相关配置文件

当我们创建一个新的用户,系统将用户的信息存放在/etc/passwd中,而密码单独存下
/etc/shadow 中也就是说这两个文件非常重要

passwd文件

cat /etc/passwd | head -1 root:x:0:0:root:/root:/bin/bash
用户名称:root
密码占位符:x
UID:0
GID:0
注释信息:root
家目录:/root
登录的bash:/bin/bash

shadow文件
/etc/shadow 配置文件解释如下图,或者使用命令

添加用户

命令: useradd

必须在root账号下才能添加
-u 指定UID进行创建用户
-g 指定要创建的基本组
-G指定要添加的附加组
-d指定要创建的家目录
-s 指定要创建用户的bash shell
-c指定要创建用户的注释信息
-M不指定家目录
-r创建系统账户,默认无家目录

添加用户的例子:

[root@localhost ~]# useradd  -u 5001  -g  ops  -G  dev  -c  "whoami" -s /bin/bash  oldxie

##创建用户 uid 5001 基本组 ops 附加组 dev 注释信息 “whoami” bash shell 为 /bin/bash 名称 oldxie

例2:
创建一个mysql 用户
不需要家目录
该用户不需要登录系统

useradd   -r   mysql  -M   -s /sbin/nologin

##创建了一个没有家目录 /sbin/nologin 不需要登录系统的mysql账号

修改用户

命令:usermod
必须在root用户下才能使用

-u 指定修改用户的UID
-g指定修改用户的基本组
-G指定修改用户的附加组
-d 指定修改用户的家目录
-s指定修改bash shell
-c 指定要修改用户的注释信息
-l指定要修改用户的登录名
-L指定要锁定的用户
-U指定解锁的用户

修改用户的例子:
修改oldxie用户:
uid =5008
基本组为network 附加组为ops dev sa
注释信息为student 登录名称new_oldxie

 groupadd  network  -f
 usermod  oldxie  -c   "change" -g  network  -G  ops,dev  -l  new_oldxie
 id new_oldxie

例2:
修改new_oldxie
为new_oldxie配置密码
锁定该用户
解锁该用户然后再次测试远程连接登录

锁定用户
usermod -L new_oldxie
解锁用户
usermod -U new_oldxie

unlocking the user’s password would result in a passwordless account.
You should set a password with usermod -p to unlock this user’s password.
解锁用户将导致一个没有密码的用户
最好再重新设置密码

删除用户

命令:userdel
-r连同家目录一起删除
userdel 会删除用户但不会删除用户的家目录要想彻底删除就加-r
userdel -r new_oldxie

例子1:
批量删除此前创建过的所有无用的用户
使用awk 提取无用的用户名称
使用sed拼接删除用户的命令
调用userdel命令,连同加目录一起全部删除
提示:此处指的无用的用户为UID>1000的用户
首先需要整理出大于uid>1000的用户

然后在添加userdel -r 再 bash

最后我们可以将这两条命令合并下

awk  -F ':'   '$3>1000{print $1}'  /etc/passwd | sed   -r  's#(.*)#userdel -r \1#g' | bash 

密码设置

普通用户只能变更自己的密码
root 可以变更所有用户的密码

密码变更方式分为一下两种:
交互式设定密码: passwd userID
非交互式模式设定密码:

echo ‘199688’ | passwd --stdin AGAN
扩展:
非交互式设定随机密码:
需要pack: expect
yum install -y expect

mkpasswd 扩展项:
-l # (密码的长度定义, 默认是 9)
-d # (数字个数, 默认是 2)
-c # (小写字符个数, 默认是 2)
-C # (大写字符个数, 默认是 2)
-s # (特殊字符个数, 默认是 1)
-v (详细。。。)
-p prog (程序设置密码, 默认是 passwd)

echo  $(mkpasswd -l 9  -d 2  -c 2  -s 1 -C 4 ) | tee  passwd.txt | passwd  --stdin  AGAN

扩展内容:
编辑一个脚本批量设置随机密码并且创建用户:
1 #!/usr/bin/bash 2 for i in {1..100} 3 do 4 password=$(mkpasswd -l 9 -d 2 -c 2 -s 1 -C 4) 5 useradd $i 6 echo "$i is creat OK" 7 echo "$password" | passwd --stdin $i 8 echo "$i key is ctreat ok" 9 10 done

系统创建用户流程

用户在创建系统的时候会参考两个配置文件:
1 /etc/login.defs
2 /etc/default/useradd

login.defs 主要定义了创建用户时 UID划分规则,密码加密类型,是否创建家目录

添加个小知识:

grep   -E '^#|^'  /etc/default/useradd

效果和-v 的效果一样

 grep   -Ev '^#'  /etc/default/useradd

都能查看如下内容
GROUP=100
HOME=/home #把用户的家目录创建在/home 下
INACTIVE=-1 #是否启用账号过期提权 -1表示不启用
EXPIRE= #账号终止日期,不设置表示不启用
SHELL=/bin/bash #新用户默认所有的shell 的类型
SKEL=/etc/skel #配置新用户家目录的默认文件的存放位置
CREATE_MAIL_SPOOL=yes #创建mail文件

用户环境变量丢失案例

如上所描述,如果我们把家目录中的环境配置文件删除了,然后再登录系统会出现如下的问题:

解决办法:

cp  -a /etc/skel/.bash*  ~

用户组基本概述

组是一种逻辑层面上的定义
逻辑上将多个用户归纳至一个组,当我们对组操作时其实就相当于对组中所有的用户进行操作

可以分为如下几类:
默认组:创建用户时不指定组则默认创建与用户同名的组
基本组:用户有且只能有一个基本组,创建时可通过-g指定(亲爹)

附加组:用户可以 有多个附加组,创建时通过-G指定(干爹)
相关配置文件:
组账户的信息保存在/etc/group和/etc/gshadow两个文件中,重点关注group

以第一行的组为例做如下解释(针对group配置文件)

gshadow 文件:

用户组相关命令

添加用户组:
groupadd
-f 如果租已经存在,会提示创建成功的状态
-g为新组设置GID,若GID已经存在会提示GID已经存在
-r创建一个系统组

添加例子
添加一个salary 的组
GID=1000

添加一个salary_2的组
添加为系统组

修改组

命令:groupmod
只能在root下使用

-f 如果组已经存在,会提成功创建的状态
-g 为新组设置GID 若GID已经存在会提示GID已经存在
-r 创建一个系统组
-n 改名为新的组

例子:
修改salary用户组为system
groupmod -n system salary

例子2:
修改system用户组GID=5000

删除组

命令:groupdel
例子:删除salary_2系统用户组
groupdel salary_2

例2:
创建tom 用户,设置主组为system 然后测试删除system 组
groupdel system groupdel: cannot remove the primary group of user 'tom'

注意:如果组中还存在用户则不能删除组

用户与用户组场景

创建dev 与ops 两个组;

groupadd  dev;groupadd  ops 

创建bob用户,设定基本组为dev 密码为123;

 useradd  bob  -g dev ; echo  "123" | passwd  --stdin  bob

创建alice用户,设定基本组ops 密码为123

useradd  alice -g ops  ; echo  '123'  | passwd  --stdin alice

创建/opt /resource文件,然后修改属组为 ops权限为664

touch  /opt/resource
chgrp   /opt/resource  ops
chmod   664  /opt/resource 

通过测试:
bob只能看看文件不能修改
alice 能执行读写操作

然后继续我们怎么实现也能使得bob也能读写操作?
思路 :我们可以再给alice 添加新的组也就是附加组就能实现要求

usermod  bob  -G   ops