Linux是针对服务器进行多用户,多任务的操作系统,任何要进入系统的用户,必须向系统管理员申请账号,让后以这个账号的身份根据口令验证,进入系统。
用户在登录成功后,自动进入系统,进入专属你的家目录(自己房间)
实现用户账号管理,我们需要做的工作任务如下:
- 用户账号的添加,删除与修改
- 用户密码的管理
- 用户组的添加、删除与修改和管理
用户与任务的概念
在Linux系统上面的用户是需要登录主机,以获取shell的环境来工作,shell会与系统的内核进行沟通进行用户的操作,其中Linux下的各种命令其实就是各种shell脚本。还有一个登录shell在登录时无法获取sheel环境,那是/sbin/nologin。任务是用户层面的概念,简单来讲用户通过任务来进行工作。其中Linux下可以分为单用户多任务,多用户多任务。
Linux下单用户多任务的概念
在Linux下,当你登录后,只有你自己一个用户,但你也可以同时开启很多的服务任务和进程,而各自服务都会跑的很好却对其他任务没有任何影响,这种登录一个用户登录系统执行多个服务任务和进程的情况,就称为单用户多任务。
Linux下多用户多任务
不同的用户使用同一的系统来进行不同的任务,例如同一台Linux系统上有三名用户分别是root,mysql,www三名用户,root进行查看系统日志,维护系统,mysql进行数据库操作,www网络服务,三方互不打扰,例如用户之间不能越权访问,mysql不能管理网络,只能进行数据库操作,而www也不能修改数据库因为不同用户有不同的权限,但Linux系统下有一个UID为零的上帝,他便是root,他拥有所有房间的钥匙,他可以进行www和mysql的工作。多用户可能是通过SSH客户端工具等远程工具等远程登录服务器来进行,比如对服务器的运程控制,只要具有相关用户的权限,任何人都是可以上去操作访问服务器。
Linux下用户的划分:
1、 root超级用户,UID和GID:(0)拥有上帝般的神力,具有最高权限
2、 普通用户 UID(500~65535)这是具有root权限的系统管理员才可以添加的
3、 程序用户 UID(1~499) 这些用户在/etc/passwd文件中也占有一条记录,但是不能登录,因为它们的登录Shell为空。它们的存在主要是方便系统管理,满足相应的系统进程对文件属主的要求。
Linux下系统用户账号的管理
用户账号的管理工作涉及到用户账号的添加,修改和删除与查询。添加用户账号就是在系统中创建一个新账号,然后为新账号分配用户号、用户组、主目录和登录Shell等资源。刚添加的账号是被锁定的,无法使用,需要设置密码。
shell是用户和计算机交流的媒介,登录shell保证用户和计算机交流,非登录shell无法让计算机和用户交流。(非登录shell命令无法被执行)
/bin/bash ,/bin/sh ,/bin/csh…一般 Linux默认的用户shell都是bash,也就是你可以登录进去写命令。
非登录shell:经典的/bin/nologin就是一个非登录shell,也就是说如果一个用户默认的是它,这个用户即使登录进linux也无法使用linux, 用户的默认登录shell是在/etc/passwd文件中记录的。
- 添加新用户账号:useradd
参数说明:
选项: - -c :注释性描述
- d 目录 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。
- g 用户组 指定用户原本的用户组,第一位的用户组
- G 附加组 指定用户的附加组
- s 指定用户的登录sheel /sbin/nologin是非登录sheel
- u 用户号 指定用户的用户号,如果同时有-o选项,则可以重复使用其他用户的标识号
- e 指定用户失效时间
实例一
[root@localhost ~]# useradd -s /sbin/nologin -md /home/test1 test1
#添加用户名为test1 指定登录sheel为非登录sheel目录/sbin/nologin,同时创建家目录、home/test1。
实例二
[root@localhost ~]# useradd -s /bin/sh -g group -G group2 test2
创建test2 指定用户登录sheel为/bin/sh指定用户组为group,附加组为group2
删除账号
如果一个用户的账号不再使用,可以从系统中删除。删除用户账号就是要将/etc/passwd等系统文件中的该用户记录删除,必要时还删除用户的主目录。
userdel 选项 用户名
选项参数
-r,它的作用是把用户的主目录一起删除
实例:[root@localhost ~]# userdel -r test2
删除用户test2以及test2的家目录
修改帐号
修改用户账号就是根据实际情况更改用户的有关属性,如用户号UID、主目录(家目录)、用户组、登录Shell等。
修改已有用户的信息使用usermod命令,其格式如下:
usermod 选项 用户名
- -d 目录 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。
-g 用户组 指定用户所属的用户组。
-G 用户组,用户组 指定用户所属的附加组。(一个用户可以在多个组)
-l 更改用户姓名
-L 锁定用户账号
-U:解锁用户账号
常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等,这些选项的意义与useradd命令中的选项一样,可以为用户指定新的资源值。
实例:[root@localhost ~]# usermod -l test4 test1
讲test1更改为test4
查询用户
id 命令
用途:查看用户身份标识(UID,GID 组)
格式 id【用户名】
查询test4 用户名
用户组的管理
每个用户都有一个用户组,系统可以对一个用户组中的所有用户进行集中管理。不同Linux 系统对用户组的规定有所不同,不同的用户组有不同的权限,如Linux下的用户属于与它同名的用户组,这个用户组在创建用户时同时创建。
用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。
增加用户组groupadd
groupadd 选项 用户组
可以使用的选项有:
• -g GID 指定新用户组的组标识号(GID)。
• -o 一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。
[root@localhost ~]# groupadd -g 1044 test3
添加test3的群组ID号为1044
2、如果要删除一个已有的用户组,使用groupdel命令,其格式如下:
groupdel 用户组
例如:[root@localhost ~]# groupdel test4
删除test4
3、修改用户组的属性使用groupmod命令。其语法如下:
groupmod 选项 用户组
常用的选项有:
• -g GID 为用户组指定新的组标识号。
• -o 与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。
• -n新用户组 将用户组的名字改为新名字
将用户组centos改为用户组redhat的名字
4、如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。
用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。例如:
[root@localhost ~]# useradd -g centos -G redhat -s /bin/bash -md /home/centos centos1
添加一个用户名为centos1,centos1的用户组为centos,附加用户组为redhat,家目录为/home/centos 登录sheel为/bin/bash
[root@localhost ~]# echo centos1 | passwd --stdin centos1
centos1的密码是centos1
[root@localhost ~]# su centos1
[centos1@localhost root]$ newgrp redhat
这条命令将当前用户切换到redhat用户组,前提条件是redhat用户组确实是该用户的主组或附加组。
查询用户所属的组,当前用户的用户组
groups命令
用途:group查询当前用户所属的组
格式;group [用户名]
查询已登录主机的当前用户
who、users、w
用途:查询已登录主机的用户
切换用户
su 命令
命令详解:切换用户,除超级用户外切换到普通用户不用输入密码,其余用户切换到其他用户需要输入对应密码
su – root
将切换到超级用户root,环境变量也跟着切换
查看用户和用户组的信息文件
完成用户管理的工作有许多种方法,但是每一种方法实际上都是对有关的系统文件进行修改。
与用户和用户组相关的信息都存放在一些系统文件中,这些文件包括/etc/passwd, /etc/shadow, /etc/group等。
下面分别介绍这些文件的内容。
/etc/group 存放本地用户组信息
/etc/passwd 用户的一些基本属性
从上面的例子我们可以看到,/etc/passwd中一行记录对应着一个用户,每行记录又被冒号(:)分隔为7个字段,其格式和具体含义如下:
用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell
口令是加密的,只可以可以在/etc/shadow
查看密码所在文件
/etc/shadow中的记录行与/etc/passwd中的一一对应,它由pwconv命令根据/etc/passwd中的数据自动产生
它的文件格式与/etc/passwd类似,由若干个字段组成,字段之间用":"隔开。这些字段是:
登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志
- "登录名"是与/etc/passwd文件中的登录名相一致的用户账号
- "口令"字段存放的是加密后的用户口令字,长度为13个字符。如果为空,则对应用户没有口令,登录时不需要口令;如果含有不属于集合 { ./0-9A-Za-z }中的字符,则对应的用户不能登录。
- "最后一次修改时间"表示的是从某个时刻起,到用户最后一次修改口令时的天数。时间起点对不同的系统可能不一样。例如在SCO Linux 中,这个时间起点是1970年1月1日。
- "最小时间间隔"指的是两次修改口令之间所需的最小天数。
- "最大时间间隔"指的是口令保持有效的最大天数。
- "警告时间"字段表示的是从系统开始警告用户到用户密码正式失效之间的天数。
- "不活动时间"表示的是用户没有登录活动但账号仍能保持有效的最大天数。
- "失效时间"字段给出的是一个绝对的天数,如果使用了这个字段,那么就给出相应账号的生存期。期满后,该账号就不再是一个合法的账号,也就不能再用来登录了。
3、用户组的所有信息都存放在/etc/group文件中。
将用户分组是Linux 系统中对用户进行管理及控制访问权限的一种手段。
每个用户都属于某个用户组;一个组中可以有多个用户,一个用户也可以属于不同的组。
当一个用户同时是多个组中的成员时,在/etc/passwd文件中记录的是用户所属的主组,也就是登录时所属的默认组,而其他组称为附加组。
用户组的所有信息都存放在/etc/group文件中。此文件的格式也类似于/etc/passwd文件,由冒号(:)隔开若干个字段,这些字段有:
组名:口令:组标识号:组内用户列表
例如:redhat❌1043:centos1
实战:利于sudo命令进行root权限获取
因为在Linux系统中,只有root才可以创建用户,但是一般运维人员要最用户进行管理时要进行root权限获取,需要sudo命令
1、 添加一个普通用户liuxin
[root@localhost ~]# useradd -d /etc/test -s /bin/bash test
更改用户的密码
[root@localhost ~]# echo test | passwd --stdin test
更改用户 test 的密码 。
passwd:所有的身份验证令牌已经成功更新。
2、 修改/etc/sudoers
找到下面一行,并在root下添加一行,如下所示:
### Allow root to run any commands anywhere
root ALL=(ALL) ALL
test ALL=(ALL) ALL
3 、验证liuxin是否可以添加用户,记住前面加sudo,不然权限不够