Linux笔记——管理用户账号和组账号

1.1 管理用户账号和组账号

1.1.1 用户账号和组账号概述

1. 用户账号

在 Linux 操作系统中，根据系统管理的需要将用户账号分为不同的类型，主要包括超级用户、普通用户和程序用户，各类型拥有的权限、担任的角色也各不相同。

Ø 超级用户：root 用户

Ø 普通用户：普通用户账号需要由 root 用户或其他管理员用户创建，拥有的权限受到一定限制

Ø 程序用户：在安装 Linux 操作系统及部分应用程序时，会添加一些特定的低权限用户账号

2. 组账号

基于某种特定联系（如都需要访问 FTP 服务）将多个用户集合在一起，即构成一个用户组，表示该组内所有用户的账号称为组账号。对组账号设置的权限将适用于组内的每一个用户账号。

3. UID 和 GID 号

Linux 操作系统中的每一个用户账号都有一个数字形式的身份标记，称为 UID，对于操作系统核心来说，UID 是区分用户的基本依据，原则上每个用户的 UID 号应该是唯一的。root 用户账号的 UID 号为固定值 0，而程序用户账号的 UID 号默认为 1～499，500～60000 的 UID 号默认分配给普通用户使用。

与 UID 类似，每一个组账号也有一个数字形式的身份标记，称为 GID。root 组账号的 GID 号为固定值 0，而程序组账号的 GID 号默认为 1～499，500～ 60000 的 GID 号默认分配给普通组使用。

1.1.2 用户账号管理

1. 用户账号文件

与用户账号相关的配置文件主要有两个，分别是/etc/passwd 和/etc/shadow。前者用于保存用户名称、宿主目录、登录 Shell 等基本信息，后者用于保存用户的密码、账号有效期等信息。
（1） passwd 文件中的配置行格式
操作系统中所有用户的账号基本信息都保存在/etc/passwd 文件中，该文件是文本文件， 任何用户都可以读取文件中的内容。例如，以下操作可分别查看/etc/passwd 文件开头、末尾的几行内容。

[root@localhost ~]# head -2 /etc/passwd root:X:0:0:root:/root:/bin/bash bin:X:1:1:bin:/bin:/sbin/nologin [root@localhost ~]# tail -1 /etc/passwd

teacher:X:1001:1001:teacher:/home/teacher:/bin/bash

passwd 文件的每一行内容中包含了七个用“:”（冒号）分隔的配置字段，从左到右各配置字段的含义分别如下所述。

第 1 字段：用户账号的名称，也是登录系统时使用的识别名称。
第 2 字段：经过加密的用户密码字串，或者密码占位符“x”。
第 3 字段：用户账号的 UID 号。
第 4 字段：所属基本组账号的 GID 号。
第 5 字段：用户全名，可填写与用户相关的说明信息。
第 6 字段：宿主目录，即该用户登录后所在的默认工作目录。
第 7 字段：登录 Shell 等信息，用户完成登录后使用的 Shell。
基于系统运行和管理的需要，所有用户都可以访问passwd 文件中的内容，但是只有root 用户才能进行更改。在早期的 UNIX 操作系统中，用户账号的密码信息也是保存在 passwd 文件中的，不法用户可以获取密码字串进行暴力破解，这样一来账号安全就存在一定 的隐患。因此，后来将密码转存入专门的 shadow 文件中，而 passwd 文件中仅保留密码占位符“x”。

（2） shadow 文件中的配置行格式

shadow 文件又被称为“影子文件”，其中保存有各用户账号的密码信息，因此对 shadow 文件的访问应该进行严格限制。

[root@localhost ~]# head -2 /etc/shadow root:$6$/NUnjYRJqdNTTJBc$NNmotUjwytodn/QnKLlGPZTDv09z1XDStb7fWywK3iKNXPa459 g/NsD0FZAyxZA8SU3v2saM19Dc9D.vflR0b1::0:99999:7:::

bin:*:17110:0:99999:7:::

[root@localhost ~]# tail -1 /etc/shadow teacher:$6$8kGz21KVOrxFOYEf$r3ZjS2ynBODc62X44orKweVym62c.MG1SR.WFcarphf29yZ Z.ObRfLqJsbd6IdpAfTGny2JdIsIwvIjyc7gR6/::0:99999:7:::

shadow 文件的每一行内容中包含了九个用“:”（冒号）分隔的配置字段，从左到右各配置字段的含义分别如下所述。

第 1 字段：用户账号名称。
第 2 字段：使用 SHA-512（哈希算法中的一种）加密的密码字串信息，当为“*”或“!!”
时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统。
第 3 字段：上次修改密码的时间，表示从 1970 年 01 月 01 日算起到最近一次修改密码时间隔的天数。
第 4 字段：密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为 0，表示不进行限制。
第 5 字段：密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为 99999，表示不进行限制。
第 6 字段：提前多少天警告用户密码将过期，默认值为 7。
第 7 字段：在密码过期之后多少天内禁用此用户。
第 8 字段：账号失效时间，此字段指定了用户作废的天数（从 1970 年 01 月 01日起计算），默认值为空，表示账号永久可用。
第 9 字段：保留字段，目前没有特定用途。

2. 添加、修改、删除用户账号

（1） useradd 命令——添加用户账号

useradd 命令用于添加用户账号，其基本的命令格式如下：

useradd [选项] 用户名

最简单的用法是，不添加任何选项，只使用用户名作为 useradd 命令的参数，按系统默认配置建立指定的用户账号。在 CentOS 系统中，使用 useradd 命令添加用户账号时主要完成以下几项任务。

例如，执行以下操作可以创建名为 bdqn_zeng 的用户账号，并通过查看 passwd、shadow 文件和/home 目录来确认新增用户账号时的变化。

[root@localhost ~]# useradd bdqn_zeng [root@localhost ~]# tail -1 /etc/passwd bdqn_zeng:X:1002:1002::/home/bdqn_zeng:/bin/bash

[root@localhost ~]# tail -1 /etc/shadow

bdqn_zeng:!!:17273:0:99999:7:::

[root@localhost ~]# ls -A /home/bdqn_zeng/ //确认自动创建的用户目录

.bash_logout .bash_profile .bashrc .mozilla

如果结合 useradd 命令的各种选项，可以在添加用户账号的同时对 UID 号、宿主目录、登录 Shell 等相关属性进行指定。以下列出了 useradd 命令中用于设置账号属性的几个常见选项。

-u：指定用户的 UID 号，要求该 UID 号码未被其他用户使用。
-d：指定用户的宿主目录位置（当与-M 一起使用时，不生效）。
-e：指定用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。
-g：指定用户的基本组名（或使用 GID 号）。
-G：指定用户的附加组名（或使用 GID 号）。
-M：不建立宿主目录，即使/etc/login.defs 系统配置中已设定要建立宿主目录。
-s：指定用户的登录 Shell。

上述的各个选项可以组合使用。例如，执行以下操作可以创建一个辅助管理员账号

admin，将其基本组指定为“wheel”，附加组指定为“root”，宿主目录指定为“/admin”。

[root@localhost ~]# useradd -d /admin -g wheel -G root admin

在账号管理工作中，有时候会希望在新建账号的同时指定该账号的有效期限，或者要求新建的账号不能登录系统（如仅用于访问 FTP 服务），这时可分别使用“-e”和“-s”选项。例如， 执行以下操作可以创建一个名为 b_down 的 FTP 账号（ 禁止终端登录）， 该账号将于 2020-12-31 失效。

[root@localhost ~]# useradd -e 2020-12-31 -s /sbin/nologin b_down

（2） passwd 命令——为用户账号设置密码

通过 useradd 命令新增用户账号以后，还需要为其设置一个密码才可以正常使用。使用 passwd 命令可以设置或修改密码，root 用户有权管理其他账号的密码（指定账号名称作为参数即可）。，要根据提示重复输入两次，具体操作如下：

[root@localhost ~]# passwd bdqn_zeng Changing password for user bdqn_zeng. New password:

Retype new password:

passwd: all authentication tokens updated successfully.

以下操作是用户 bdqn_zeng 更改登录密码的过程。

[bdqn_zeng@localhost ~]$ passwd

Changing password for user bdqn_zeng.

Changing password for bdqn_zeng

(current) UNIX password: //需输入旧的密码进行验证New password:

Retype new password:

passwd: all authentication tokens updated successfully.

使用 passwd 命令除了可以修改账号的密码以外，还能够对用户账号进行锁定、解锁， 也可以将用户的密码设置为空（无须密码即可登录）。与上述功能相关的几个选项如下所示。

-d：清空指定用户的密码，仅使用用户名即可登录系统。
-l：锁定用户账户。
-S：查看用户账户的状态（是否被锁定）。
-u：解锁用户账户。

以下操作分别用于锁定、解锁用户账号 bdqn_zeng。

[root@localhost ~]# passwd -l bdqn_zeng //锁定账号Locking password for user bdqn_zeng.

passwd: Success

[root@localhost ~]# passwd -S bdqn_zeng //查看锁定的账号状态bdqn_zeng LK 2017-04-16 0 99999 7 -1 (Password locked.)

[root@localhost ~]# passwd -u bdqn_zeng //解锁账号Unlocking password for user bdqn_zeng.

passwd: Success.

[root@localhost ~]# passwd -S bdqn_zeng //查看解锁的账号状态bdqn_zeng PS 2017-04-16 0 99999 7 -1 (Password set, SHA512 crypt.)

（3） usermod 命令——修改用户账号属性

usermod 命令同样需要指定账号名称作为参数。usermod 命令中较常使用的几个选项如下所述。

-u：修改用户的 UID 号。
-d：修改用户的宿主目录位置。
-e：修改用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。
-g：修改用户的基本组名（或使用 GID 号）。
-G：修改用户的附加组名（或使用 GID 号）。
-s：指定用户的登录 Shell。
-l：更改用户账号的登录名称（Login Name）。
-L：锁定用户账户。
-U：解锁用户账户。

执行以下操作可以将 admin 用户的宿主目录由/admin 转移至/home/admin。

[root@localhost ~]# mv /admin /home/

[root@localhost ~]# usermod -d /home/admin admin

以下操作分别用于锁定、解锁用户账号 admin,但是在 CentOS 7 系统中，如果账户没有设置密码，那么该账户锁定后将无法使用“usermod -U”命令解锁。因此在锁定 admin 账户之前需要先为其设置账户密码。

[root@localhost ~]# passwd admin Changing password for user admin. New password:

Retype new password:

passwd: all authentication tokens updated successfully. [root@localhost ~]# usermod -L admin //锁定账号

[root@localhost ~]# passwd -S admin //查看账号锁定状态admin LK 2017-04-16 0 99999 7 -1 (Password locked.)

[root@localhost ~]# usermod -U admin //解锁账号

执行以下操作可以将 admin 用户的登录名称更改为 webmaster，下次登录时生效。

[root@localhost ~]# usermod -l webmaster admin [root@localhost ~]# grep “admin” /etc/passwd webmaster:X:1003:10::/home/admin:/bin/bash

（4） userdel 命令——删除用户账号

执行以下操作将删除名为 bdqn_zeng 的用户账号，同时删除其宿主目录/home/bdqn_zeng。

[root@localhost ~]# userdel -r bdqn_zeng

[root@localhost ~]# ls -ld /home/bdqn_zeng //确认宿主目录是否已删除ls: cannot access /home/bdqn_zeng: No such file or directory

3. 用户账号的初始配置文件

添加一个新的用户账号后，useradd 命令会在该用户的宿主目录中建立一些初始配置文件。
执行以下操作可以为所有用户自动设置 myls 命令别名。

[root@localhost ~]# vi /etc/bashrc

…… //省略部分内容alias myls=’/bin/ls -lhr’

1.1.3 组账号管理

1. 组账号文件

与组账号相关的配置文件也有两个，分别是/etc/group 和/etc/gshadow。前者用于保存组账号名称、GID 号、组成员等基本信息，后者用于保存组账号的加密密码字串等信息

执行以下操作可分别获知 root 组包括哪些用户成员、哪些组中包含 root 用户。

[root@localhost ~]# grep “^root” /etc/group //检索root 组包括哪些用户

root:X:0:webmaster

[root@localhost ~]# grep “root” /etc/group //检索哪些组包括root 用户

root:X:0:webmaster

2. 添加、管理、删除组账号

（1） groupadd 命令——添加组账号

执行如下的“groupadd class01”命令可以添加一个名为 class01 的组账号。

[root@localhost ~]# groupadd class01 [root@localhost ~]# tail -1 /etc/group class01:X:1007:

（2） gpasswd 命令——添加、设置、删除组成员

以下操作分别用于向 root 组中添加成员用户 mike、删除成员用户 webmaster。

[root@localhost ~]# useradd mike [root@localhost ~]# gpasswd -a mike root Adding user mike to group root

[root@localhost ~]# groups mike //确认mike 用户已加入 root 组

mike : mike root

[root@localhost ~]# gpasswd -d webmaster root

Removing user webmaster from group root

[root@localhost ~]# groups webmaster //确认webmaster 用户已退出 root 组

webmaster : webmaster wheel

如果需要同时指定组账号的所有成员用户，可以使用“-M”选项。

[root@localhost ~]# gpasswd -M root,adm,daemon,webmaster,mike adm

[root@localhost ~]# grep “^adm” /etc/group adm:X:4:root,adm,daemon,webmaster,mike

（3） groupdel 命令——删除组账号

若要删除组账号 class01，可以执行以下操作。

[root@localhost ~]# groupdel class01

1.1.4 查询账号信息

1. groups 命令——查询用户账号所属的组

以下操作分别显示当前用户（root）和 daemon 用户所属的组账号信息。

[root@localhost ~]# groups

root

[root@localhost ~]# groups daemon

daemon : daemon adm

2. id——查询用户账号的身份标识

执行如下的“id root”命令可以查看 root 账号的用户 ID 号、组 ID 号，以及所在的附加组 ID 号。

[root@localhost ~]# id root

id=0(root) gid=0(root) groups=0(root),4(adm)

3. finger 命令——查询用户账号的登录属性

使用 finger 命令可以查询指定的用户账号的登录属性等详细信息，包括登录名称、完整名称、宿主目录、登录 Shell 等。

[root@localhost Packages]# finger root

Login: root Name: root

Directory: /root Shell: /bin/bash

On since Tue Apr 18 05:28 (EDT) on :0 from :0 (messages off) On since Tue Apr 18 05:29 (EDT) on pts/0 from :0

4 hours 1 minute idle

On since Tue Apr 18 05:31 (EDT) on pts/1 from 192.168.12.1 No mail.

No Plan.

4．w 命令——查询当前主机的用户登录情况

使用 w 命令可以查询当前主机中的用户登录情况，列出登录账号名称、所在终端、登录时间、来源地点等信息，具体操作如下：

[root@localhost ~]# w

09:33:26 up 4:06, 3 users, load average: 0.02, 0.02, 0.05

USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT

root :0 :0 05:28 ?xdm? 1:33 0.32s gdm-sessio root pts/0 :0 05:29 4:02m 0.11s 0.11s bash root pts/1 192.168.12.1 05:31 6.00s 0.57s 0.04s w

1.2 管理目录和文件的属性

1.2.1 查看目录和文件的属性

使用带“-l”选项的 ls 命令时，将以长格式显示文件或目录的详细信息，其中包括该文件的权限和归属等参数。

[root@localhost ~]# ls -ld /etc /etc/passwd

drwxr-xr-x. 140 root root 8192 Apr 18 09:13 /etc

-rw-r–r--. 1 root root 2363 Apr 18 07:12 /etc/passwd

在上述输出信息中，第 3、4 字段的数据分别表示该文件（或目录）的属主、属组，上例中/etc 目录和/etc/passwd 文件都属于 root 用户、root 组；而第 1 字段的数据表示该文件（ 或目录） 的访问权限， 如“drwxr-xr-x”和“-rw-r–r--”。权限字段由四部分组成， 各自的含义如下所述。

第 1 个字符：表示该文件的类型，可以是 d(目录)、b(块设备文件)、c(字符设备文件)、“-”（普通文件）、字母“l”（链接文件）等。
第 2～4 个字符：表示该文件的属主用户（User）对该文件的访问权限。
第 5～7 个字符：表示该文件的属组内各成员用户（Group)对该文件的访问权限。
第 8～10 个字符：表示其他任何用户（Other）对该文件的访问权限。
第 11 个字符：这里的“.”与 SELinux 有关，目前不必关注。

	表 4-1	权限字符在文件和目录中的含义
权限	文件	目录
r	查看文件内容	查看目录内容（显示子目录、文件列表）
w	修改文件内容	修改目录内容（在目录中新建、移动、删除文件或子目录）
x	执行该文件（程序或脚本）	执行 cd 命令进入或退出该目录

当普通用户 mike 尝试查看/etc/shadow 文件时，将会提示“Permission denied（因权限不足而被拒绝访问）”，具体操作如下：

[mike@localhost root]$ ls -l /etc/shadow

----------. 1 root root 1345 Apr 18 07:12 /etc/shadow [mike@localhost root]$ cat /etc/shadow

cat: /etc/shadow: Permission denied

1.2.2 设置目录和文件的权限

使用 chmod 命令设置文件或目录的权限时，基本的命令格式如下：

chmod [ugoa…][±=][rwx] 文件或目录…

或者

chmod nnn 文件或目录…

上述格式中，字符组合“[ugoa…][±=][rwx]”或数字组合“nnn”的形式表示要设置的权限模式。其中，“nnn”为需要设置的具体权限值，如“755”“644”等；而 “[ugoa…][±=][rwx]”的形式中，三个组成部分的含义及用法如下所述。

“ugoa”表示该权限设置所针对的用户类别。“u”代表文件属主，“g”代表文件属组内的用户，“o”代表其他任何用户，“a”代表所有用户（u、g、o 的总和）。
“±=”表示设置权限的操作动作。“+”代表增加相应权限，“-”代表减少相应权限，“=”
代表仅设置对应的权限。
“rwx”是权限的字符组合形式，也可以拆分使用，如“r”“rx”等。

[root@localhost ~]# cp /bin/mkdir mymkdir

[root@localhost ~]# ls -l mymkdir

-rwxr-xr-x. 1 root root 79768 Apr 18 09:38 mymkdir

[root@localhost ~]# ./mymkdir dir01 //可以使用mymkdir 程序新建文件夹

[root@localhost ~]# ls -ld dir01

drwxr-xr-x. 2 root root 6 Apr 18 09:39 dir01

[root@localhost ~]# chmod ugo-x mymkdir //删除所有的"x"权限, 也可改用"a-x"
[root@localhost ~]# ls -l mymkdir

-rw-r–r--. 1 root root 79768 Apr 18 09:38 mymkdir

[root@localhost ~]# ./mymkdir dir02 //因缺少"x"权限, mymkdir 无法执行

-bash: ./mymkdir: Permission denied

执行以下操作可以调整 mymkdir 文件的权限，为属主用户添加执行权限，删除其他用户的读取权限。

[root@localhost ~]# chmod u+x,o-r mymkdir

[root@localhost ~]# ls -l mymkdir

-rwxr— -. 1 root root 79768 Apr 18 09:38 mymkdir

若要将 mymkdir 文件的访问权限设置为“rwxr-xr-x”，其对应的数字组合是 755。

[root@localhost ~]# chmod 755 mymkdir

[root@localhost ~]# ls -l mymkdir

-rwxr-xr-x. 1 root root 79768 Apr 18 09:38 mymkdir

执行以下操作将以递归的方式将/var/ftp/pub 目录中所有子目录、文件的权限都设置为“rw-r–r--”。

[root@localhost ~]# chmod -R 644 /var/ftp/pub/

1.2.3 设置目录和文件的归属

需要设置文件或者目录的归属时，主要通过 chown 命令进行。可以只设置属主或属组， 也可以同时设置属主、属组。使用 chown 命令的基本格式如下：

chown 属主[:[属组]] 文件或目录…

，执行以下操作可将/var/ftp/pub/目录的属主由 root 改为 ftp（调整后用户 ftp 将拥有“rwx”的权限）。

[root@localhost ~]# ls -ld /var/ftp/pub/ //修改前的属主为root drw-r–r--. 2 root root 6 Nov 5 15:43 /var/ftp/pub/

[root@localhost ~]# chown -R ftp /var/ftp/pub/

[root@localhost ~]# ls -ld /var/ftp/pub/ //修改后的属主变为ftp drw-r–r--. 2 ftp root 6 Nov 5 15:43 /var/ftp/pub/

执行以下操作可将 mymkdir 文件的属主更改为 daemon、属组更改为 wheel。

[root@localhost ~]# ls -ld mymkdir

-rwxr-xr-x. 1 root root 79768 Apr 18 09:38 mymkdir [root@localhost ~]# chown daemon:wheel mymkdir [root@localhost ~]# ls -ld mymkdir

-rwxr-xr-x. 1 daemon wheel 79768 Apr 18 09:38 mymkdir