Linux系统中的用户管理

                   Linux系统中的用户管理

linux系统之的3A机制

account ##帐号
authorization ##认证（密码）
authorized ##授权

什么是用户：
用户是操作者在系统中的身份
用户是系统最底层的安全机制的一部分
用户在系统中以字符和文件的形式存在

用户存在的意义：
Linux是多用户多任务的操作系统，也就是说Linux系统支持多个用户在统一时间内登陆，不同用户可以执行不同的任务，并且互不影响。
不同用户具有不同的权限，每个用户在权限允许范围内完成不同的任务，Linux正是通过这种权限的划分与管理，实现了多用户多任务的运行机制。
因此，如果要使用Linux系统资源，就必须向系统管理员申请一个账户，然后通过这个账户进入系统（账户和用户是一个概念），通过建立不同属性的用户，一方面可以合理的利用和控制系统资源，另一方面也可以帮助用户组织文件，提供对用户文件的安全性保护。

组存在的意义：
用户组是具有相同特征用户的逻辑集合。简单的理解，有时我们需要让多个用户具有相同的权限，这时就需要建立一个组，让这个组对某个文件有特定的权限，然后将需要访问此文件的用户放入这个组中。那么组中用户就具有了和组一样的权限，这就是用户组。
将用户分组是Linux 系统中对用户进行管理及控制访问权限的一种手段，通过定义用户组，很多程序上简化了对用户的管理工作。

用户存储文件

/etc/passed 用户信息文件
用户名称：用户密码（用x代替）：uid:gid:用户说明：用户家目录：用户默认开启的shell
/etc/shells 查看系统的shell有哪些
注意：/sbin/nologin 和/usr/sbin/nologin 不能给用户提供交互界面，用户不能登陆系统

/etc/group 用户组信息文件
用户组名称：用户组密码（用x来代替）：用户组id：用户组成员

/etc/shadow
认证信息文件

/etc/skel/.*
默认开启shell的配置，用户的骨文件，用户文件的模版

用户的查看

1）
查看当前用户
whoami ##查看当前用户
2）
系统中用户的查看
id ##查看指定用户id信息
id
-u ##查看用户的uid
-g ##查看用户的gid
-G ##查看用户所在的所有组的id
-n ##显示名字而不显示id数字

用户切换

su - 用户名称
su - 中 “-” 标示在用户身份切换时同时切换当前用户的环境
su - 执行时高级用户切换到低级用户不需要密码，低级用户切换到高级需要，平级用户切换切换也需要
注意：每次su切换到其他用户操作之后必须退出，然后再次切换到其他用户

su与su-的区别
su 没有登陆的shell 只加载shell的配置文件，不加载用户环境的配置文件
su -登陆过的shell 既加载了shell的配置文件，又加载了用户环境的配置文件
每个用户开启shell的时候会读取/etc/bashrc（shell的配置文件）这个文件，/etc/profile 用户环境的配置文件

用户管理命令

1）用户的删除
userdel
userdel student ##删除用户但不删除用户的配置文件
userdel -r student ##删除用户并删除用户的配置文件

2）用户建立
用户信息监控命令
watch -n 1 ‘tail -n 3 /etc/passwd /etc/group;ls -l /home’##每隔一秒观察以下两个文件的指定行

useradd ##建立用户的，建立用户时，读取/etc/login.defs 文件内容确定规则

useradd -u 8888 westos ##指定用户uid
useradd -g 21 westos ##指定用户初始组id，“21用户组必须是存在的”
useradd -G 21 westos ##指定用户的附加组id “21用户组必须存在”
useradd -c “hello” westos ##指定用户的说明
useradd -d /home/lee westos ##指定用户的家目录
useradd -s /bin/sh westos ##指定用户的默认shell

groupadd ##建立用户组
groupadd -g 888 ##建立用户组并指定用户组的id
groupdel ##删除用户组


3)更改用户信息
usermod
usermod -l 新名称 westos ##更改用户的名称
usermod -u 6666 westos ##更改用户uid
usermod -g 21 westos ##更改用户的初始组
usermod -G 21 westos ##更改用户的附加组(附加组系统默认是一个)
usermod -aG 72 westos ##添加用户的附加组(多个)
usermod -G “” westos ##删除用户所有附加组的身份
usermod -c “hahahah” westos ##指定用户说明文字
usermod -d /home/lee westos ##更改用户家目录的指向
usermod -md /home/lee westos ##更改家目录的同时，也真正的更改了目录的名字
usermod -s /bin/sh westos ##更改用户的shell
usermod -L westos ##锁定用户密码
usermod -U westos ##解锁用户密码


####### 用户认证信息 #####
/etc/shadows ##记录用户认证信息
此文件一共有九列：
用户名称：用户密码：用户密码最后一次被更改的时间：用户密码最短有效期：用户密码最长有效期：
密码警告期限：用户非活跃天数：用户到期日：用户自定义列，目前没有启用

passwd -S westos ##查看westos用户密码信息

#用户名称#
用户密码
passwd westos ##更改westos密码
passwd -l westos ##在密码不为空时使用
passwd -u westos ##解锁用户密码
usermod -L westos ##锁定用户密码
usermod -U westos ##在密码不为空时使用
passwd -d westos ##清空westos密码
注意：
普通用户改密码时
1.必须知道当前永久原始密码
2.密码不能和帐号名称相似
3.密码不能是纯数字或纯字母
4.密码不能是有序的字母和数字的组合

#用户密码最后一次被更改的时间#
passwd -e westos ##会改变用户最后一次更改密码时间为0.
##用户在登陆时会被强制更改密码
chage -d 0 westos ##两个命令功能类似
##此时间计算是从1970-1-1开始计算的累计天数

#用户密码最短有效期#
passwd -n 1 westos ##westos用户在1天之内不能修改密码
chage -m 1 westos

#用户密码最长有效期#
passwd -x 30 westos ##设定westos在30天内必须改密码
chage -M 40 westos
#密码警告期限#
passwd -w 2 westos ##密码过期前两天有警告输出
chage -W 2 westos
#用户非活跃天数#
passwd -i 1 westos ##密码过期后仍可登陆系统的天数
chage -I 1 westos
#用户到期日#
chage -E 2019-11-11 westos ##westos用户在2018-11-11日会被冻结
#用户自定义列，目前没有启用#

用户授权

1、权力下放文件为/etc/sudoers
此文件可以用vim直接编辑，但是不提供语法检测
也可以使用visudo编辑此文件，visudo命令是提供语法检测的

2、下方方式
visudo 在100行左右

用户 主机名称(hostnamectl查看主机名) = （得到的用户身份） 命令
tom localhost=(root) /usr/sbin/useradd， /usr/sbin/userdel

tom用户可以在localhost主机以root用户身份执行useradd命令,在第一条命令的后面加上‘，+空格’再加上另一条命令，可以直接下放多条命令

tom localhost=(root) NOPASSWD: /usr/sbin/useradd

tom用户可以在localhost主机以root用户身份免密执行useradd

用户的集合：
User_Alias ADMIN = westos, test
命令的集合：
Cmnd_Alias CTRLUSER = /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod
调用：
ADMIN localhost = (root) NOPASSWD: CTRLUSER
3、测试
su - tom
sudo useradd hello