Linux用户管理

Linux用户管理

1.基本概念

用户在操作系统中是非常重要的，我们登录系统、访问共享文件夹等都需要用户进行验证。所以，掌握管理用户的知识是非常有必要的。
说到用户,我们会提到两个名词:账户信息和密码信息。

（1）账户信息:以QQ为例，可以理解为QQ号码、QQ签名、QQ中填写的个人资料等。

（2）密码信息:以QQ为例,就是登录QQ的密码。
用户的账户信息是存储在/etc/passwd中的，在此文件中一行一个用户信息，各字段用“:”隔开,

[root@rh1 ~]# grep bdqn /etc/passwd
bdqn:x:1000:1000:bdqn:/home/bdqn:/bin/bas

1：用户名。
2：原来此处用于存储用户的密码,因为安全性问题，这里统一用x作为占位符。
3：用户的uid，每个用户都会有一个 user id，简称为uid。root的uid为0.
4：用户的gid，每个组也都会有一个 group id，简称为 gid.
5：用户的描述信息。
6：用户的家目录。
7：用户的shell。

上面的命令也可以通过“getent passwd 用户名”来获取，如下所示。

[root@rh1 ~]# getent passwd bdqn
bdqn:x:1000:1000:bdqn:/home/bdqn:/bin/bash

用户的密码信息存储在/etc/shadow中，如下所示 。

[root@rh1 ~]# grep bdqn /etc/shadow
bdqn:$6$l00YtSa.ZecPVsyV$BFk9aHB6ejvtvBmJotS9.X9BAQcINr7ekJWSdA8LY4SDMEGR45/H1v4xfXaHwb4g2pvtIz6oFqjQqtiF0M6ey.::0:99999:7:::

上面第一个和第二个冒号之间的斜体字就是被加密后的密码。上面的信息也可以通过"“getent shadow用户名”来获取，如下所示。

[root@rh1 ~]# getent shadow bdqn
bdqn:$6$l00YtSa.ZecPVsyV$BFk9aHB6ejvtvBmJotS9.X9BAQcINr7ekJWSdA8LY4SDMEGR45/H1v4xfXaHwb4g2pvtIz6oFqjQqtiF0M6ey.::0:99999:7:::

判断一个用户是否存在，可以使用“id 用户名”命令，如下所示。

[root@rh1 ~]# id zhangsan
id: “zhangsan”：无此用户

这里zhangsan用户不存在,则显示无此用户。如果用户存在，则显示用户信息。

[root@rh1 ~]# id bdqn
uid=1000(bdqn) gid=1000(bdqn) 组=1000(bdqn)

1：显示用户的uid信息。
2：显示用户的gid信息。
3：显示用户的gid信息。
如果id后面没有跟用户，则显示当前用户自己的信息。

[root@rh1 ~]# id
uid=0(root) gid=0(root) 组=0(root) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

2.管理用户

管理用户包括创建用户和修改用户属性。

2.1创建用户

利用useradd命令可以创建用户，useradd中常见的选项包括8种。

（1）-d：指定用户的家目录，默认为/home/用户名。
（2）-m：创建家目录，这是默认选项，一般不用指定。
（3）-M：不为用户创建家目录，即创建好用户之后没有“/home/用户名”。
（4）-s：指定用户的shell，默认为/bin/bash。
（5）-c：用来指定备注信息，不指定则为空。
（6）-u：指定用户的uid。
（7）-g：默认情况下，创建用户时会创建一个同名组。例如，创建tom用户，则会创建一个tom组，然后把 tom用户加人 tom组中。如果指定了-g root，则创建用户时直接把tom加入root组，就不会再创建tom组，此时 tom只属于一个组。
（8）-G：指定附属组，即把用户加人一个额外的组，此时 tom属于两个组。如果同时指定-g和-G选项，如-g root-G users，这里的意思是不再为tom创建命名组,直接加入root组，同时再额外地加入users组，此时tom 就属于两个组，即root和users组。

下面创建zhangsan用户,如下所示。

[root@rh1 ~]# useradd -d /tom -s /sbin/nologin \
> -c "Im zhangsan" -u 2000 -g root -G users zhangsan

这里创建一个zhangsan用户，因为命令太长，所以最后加一个反斜线后按【Enter】键，这里虽然换行了，但是系统会认为仍然是一行的。

记住，反斜线后面不能有空格，按【Enter】键之后前面会自动出现一个提示符“>”，这个“>”不是我们输入的。

现在查看zhangsan用户的属性，如下所示。

[root@rh1 ~]# grep zhangsan /etc/passwd
zhangsan:x:2000:0:Im zhangsan:/tom:/sbin/nologin

可以看到,这里zhangsan用户的属性完全是按照我们的要求创建出来的。

查看密码信息,如下所示。

[root@rh1 ~]# grep zhangsan /etc/shadow
zhangsan:!!:19698:0:99999:7:::

因为我们在创建用户时,并没有指定用户的密码，所以这里密码为空。当我们创建用户时,没有给这个用户设置密码，则这个用户是处于被锁定状态，即不能登录，如下所示。

[root@rh1 ~]# passwd -S zhangsan
zhangsan LK 2023-12-07 0 99999 7 -1 (密码已被锁定。)

现在为zhangsan用户设置密码,可以使用如下命令。

[root@rh1 ~]# passwd zhangsan
更改用户 zhangsan 的密码 。
新的 密码：
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。

这里把密码设置为123.123，或者使用如下命令。

[root@rh1 ~]# echo 123.123 | passwd --stdin zhangsan
更改用户 zhangsan 的密码 。
passwd：所有的身份验证令牌已经成功更新。

再次查看用户的状态

[root@rh1 ~]# passwd -S zhangsan
zhangsan PS 2023-12-07 0 99999 7 -1 (密码已设置，使用 SHA512 算法。)

这里显示了用户已经设置了密码。查看密码信息，如下所示。

[root@rh1 ~]# grep zhangsan /etc/shadow
zhangsan:$6$lO8kIHyYB9TPlSW9$f5cc15kMJkiPicxANXazEkU/ChXCyKGRo9sTN7EgJRbt5qGZcj/RX//xqDB4/Nr5Y3Sx.pyXkKmyV5LY8snOE1:19698:0:99999:7:::

这里已经有了密码。
但是现在用户仍然是不能登录的，所以用su命令切换到zhangsan用户。

[root@rh1 ~]# su - zhangsan
This account is currently not available.

这是因为zhangsan用户的shell被设置为了/sbin/nologin，任何用户的shell 被设置为/sbin/nologin，则此用户是不能登录系统的。那么，创建此用户的意义何在?很多时候我们搭建了服务，如用samba共享了一个目录，希望其他主机来访问此共享目录时不能以匿名用户访问,必须输入相关的用户名和密码，但又不想让他能登录系统，这种情况下就可以用到了。

2.2修改用户属性

如果想修改用户属性，可以使用usermod命令。usermod命令所能用到的选项与useradd是差不多的,下面讲最常见的5个选项。

（1）-c：修改注释信息。
（2）-s：修改shell信息。
（3）-d：修改家目录。
（4）-L：锁定用户。
（5）-U：解锁用户。
把zhangsan的shell改成/bin/bash，并把备注信息改成hello zhangsan

[root@rh1 ~]# usermod -s /bin/bash -c "Hello zhangsan" zhangsan
[root@rh1 ~]# grep zhangsan /etc/passwd
zhangsan:x:2000:0:Hello zhangsan:/tom:/bin/bash

2.2.1锁定用户

[root@rh1 ~]# usermod -L zhangsan
[root@rh1 ~]# passwd -S zhangsan
zhangsan LK 2023-12-07 0 99999 7 -1 (密码已被锁定。)

锁定用户，使用root用户是可以用su命令切换过去的，但是使用其他用户是不能用su命令切换过去的，如下所示

[root@rh1 ~]# su - zhangsan 
exi[zhangsan@rh1 ~]$ exit
注销
[root@rh1 ~]#

再打开一个终端，这个终端中是以bdqn用户登录的，然后通过su命令切换到zhangsan用户，如下所示

[bdqn@rh1 ~]$ su - zhangsan
密码：
su: 鉴定故障
[bdqn@rh1 ~]$

2.2.2解锁用户

如果要解锁用户,可以使用usermod -U命令。下面把 zhangsan用户解锁。

[root@rh1 ~]# usermod -U zhangsan
[root@rh1 ~]# passwd -S zhangsan
zhangsan PS 2023-12-07 0 99999 7 -1 (密码已设置，使用 SHA512 算法。)

在第二个终端中 blab 用户用 su 命令切换到 zhansan 用户

[root@rh1 ~]# su - zhangsan
[zhangsan@rh1 ~]$ whoami
zhangsan
[zhangsan@rh1 ~]$ exit
注销
[root@rh1 ~]# 

此时其他用户是可以正常切换的。

2.2.3修改用户的家目录

前面已经看到了, zhangsan用户的家目录设置为/zhangsan,现在想把家目录改成/home/zhangsan，命令如下

[root@rh1 ~]# usermod -d /home/zhangsan zhangsan
[root@rh1 ~]# grep zhangsan /etc/passwd
zhangsan:x:2000:0:Hello zhangsan:/home/zhangsan:/bin/bash

可以看到,tom用户的家目录已经设置为了/home/zhangsan。在第二个终端中测试，输入如下命令。

[bdqn@rh1 ~]$ su - zhangsan
密码：
su: 警告：无法更改到 /home/zhangsan 目录: 没有那个文件或目录

这里显示无法切换到/home/zhangsan。因为创建用户时用户的家目录是创建在/zhangsan下的，但是手动修改tom的家目录为/home/zhangsan，这个家目录并没有在/home下创建，所以才会出现刚才的问题。我们只要把原来的家目录拷贝过去即可，在第一个终端中执行如下命令。

[root@rh1 ~]# cp -a /zhangsan/ /home/
[root@rh1 ~]# ls /home/
bdqn  zhangsan

2.2.4管理组

所有组的信息都是放在/etc/group中的，如果要判断一个组是否存在，可以
到/etc/group中查询。例如,现在判断bob组是否存在,命令如下。

[zhangsan@rh1 bdqn]$ grep bob /etc/group

没有任何输出，说明bob组不存在。如果想创建一个新的组,则用“groupadd 组名”命令。例如,现在要创建bob组，命令如下。

[root@rh1 ~]# groupadd bob
[root@rh1 ~]# grep bob /etc/group
bob:x:1001:

如果要删除某个组，则用“groupdel组名”命令。例如，现在要删除bob组，命令如下。

[root@rh1 ~]# groupdel bob
[root@rh1 ~]# grep bob /etc/group
[root@rh1 ~]# 

创建组时，可以通过-g选项来指定gid信息。例如，创建bob组，组id设置为3000，命令如下。

[root@rh1 ~]# groupadd -g 3000 bob
[root@rh1 ~]# grep bob /etc/group
bob:x:3000:

查看用户属于哪个组的,可以通过“groups用户”来查看。例如,查看zhangsan属于哪个组,命令如下。

[root@rh1 ~]# groups zhangsan
zhangsan : root users

可以看到，zhangsan属于root和users 组。如果想把用户继续添加到其他组中，可以通过“gpasswd -a用户组”来添加。例如，现在要把zhangsan 加入bin组，命令如下。

[root@rh1 ~]# gpasswd -a zhangsan bin
正在将用户“zhangsan”加入到“bin”组中
[root@rh1 ~]# groups zhangsan
zhangsan : root bin users

要是想把用户从某个组中踢出去，则通过“gpasswd -d用户组”来删除。例如，现在要把 tom从 bin组中删除，命令如下

[root@rh1 ~]# gpasswd -d zhangsan bin
正在将用户“zhangsan”从“bin”组中删除
[root@rh1 ~]# groups zhangsan
zhangsan : root users

可以看到，zhangsan已经不属于bin组了。