Ubuntu 用户管理

用户帐号

Linux系统中通常有三种类型的用户：超级用户（super user），常规用户（regular user）和系统用户（system user）。

        超级用户的UID和GID都是0
        系统用户的UID从1—499，还包括65,534
        常规用户的UID从1000开始
Ubuntu通常会为每一个大于1000的UID创建不同的GID，系统管理员可以将其他用户添加到相同的GID，或者创建一个新的group，然后添加用户到这个group中。
Ubuntu使用文件/etc/passw保存系统中的用户账户信息，所有的用户在passwd文件中都有一行条目，保存了用户名，编码后的密码，用户ID（UID）以及群组ID（GID），最后两项是用户的/home目录，以及默认的shell（/bin/bash）。
不管系统中有多少个系统管理员，都只有一个超级用户帐号，超级用户帐号，通常指的是root，对系统拥有完全的控制权，超级用户是唯一的，超级用户的UID和GID都是0。如下：root:x:0:0:root:/root:/bin/bash
Ubuntu默认禁用超级用户帐号，而是让系统的第一个用户通过sudo命令获得超级用户的所有权限。所以通常情况下你看到的命令提示符为（$），当你需要执行系统管理命令时，需要在命令前加sudo，而后被提示输入密码，输入密码后，Ubuntu系统将会执行该条命令，就好像你是超级用户。在其他Linux系统中，你想进入超级用户root时，输入命令su -，然后输入超级用户密码，即可看到超级用户命令提示符（#）。在Ubuntu中，你可以通过输入sudo -i，然后输入密码，看到超级用户命令提示符（#），当你执行完相关的命令后，输入exit，然后回车，就会回到常规用户提示符（$）。在Ubuntu中超级用户帐号是默认禁用的，但是你可以通过以下方法启用超级用户帐号：在终端输入sudo passwd，然后根据提示输入根用户的用户名和密码，超级用户（root account）被启用。由于以超级用户权限工作时，常常会造成不可修复的灾难，因此在Ubuntu中不推荐启用超级用户。
常规用户是指那些登陆到Linux系统，但不执行管理任务的用户，例如文字处理或者收发邮件等。超级用户通过文件和目录的访问权限给予普通用户以操作权限。例如：
user:x:1000:1000:username:/home/user:/bin/bash
在这里你看到密码的位置是x，但这并不是真正的编码后的密码。所有的密码都编码存储在/etc/shadow文件中。在前面的内容中我们知道每个文件有三种权限，rwx（读写执行），而对于每个文件或目录，权限被分配给三类目标：用户，群组，和其他人。对文件权限的管理有三个常用的命令，如下：
chgrp  -R group file/folder      #更改文件或目录的所属群组
chown -R account  file/folder #更改文件或目录的所属用户
chmod -R 755  file/folder        #更改文件或目录的访问权限

系统用户并不是一个人，也被称为逻辑用户或伪用户，系统用户没有相应的/home目录和密码，系统帐号通常是Linux系统使用的一个管理日常服务的管理帐号。

例如，系统用户www-data拥有Apache web服务器和它相关的文件，只有系统用户www-data和超级用户具有这些文件的访问权限，在passwd中系统用户表示如下：www-data:x:33:33:www-data:/var/www:/bin/sh

群组的设置

系统管理员可以通过对群组授权（grant）或撤销权限（revoke）而免去了为每个用户设置权限的繁琐工作。此外，设置群组权限可以为群组中的用户建立公共的工作区，管理他们对外设的使用权限。
不同的Linux系统使用不同的理念来设置群组管理，在Ubuntu系统中使用的是UPG（user private group）机制，默认为每个用户设置与用户名同名的群组名。系统中的群组信息保存在/etc/group文件中。这个文件中是系统中所有群组的列表。可以看到大部分的群组是服务（mail，news等）和设备（floppy，disk等）。如之前提到的例子，这些系统设备群组对与其相关的文件具有所有权和控制权。添加一个常规用户到一个设备的群组，可以使这个常规用户拥有使用这个设备的权限，如果群组管理员授权给这个常规用户。也就是说将用户adm001添加到cdrom群组，那么使得adm001能够使用光驱设备。 
 
管理群组的工具
Ubuntu提供了命令行工具来管理群组，也提供了GUI工具来管理群组。相比较而言，命令行工具更为强大和灵活。常用的群组管理命令行工具主要有：
groupadd   创建一个新的群组
groupdel    删除一个现有的群组
groupmod 创建一个群组名或GID，但不添加或删除群组中的成员
gpasswd    创建一个群组密码，每个群组可以有一个群组密码和群组管理员，使用参数-A指定一个用户为群组管理员。
useradd -G    参数-G在创建用户时添加该用户到一个群组
usermod -G  允许你添加一个不在线的用户到群组中
grpck             检查/etc/group文件，防止拼写错误
 
下面用一个简单的例子来说明群组管理命令行工具的使用方法。
现在有一个DVD-RW设备（/dev/scd0），系统管理员希望给予常规用户adm002 这个设备的访问权限，可以有以下几步：
1）用groupadd 命令创建一个群组dvdrw
sudo groupadd dvdrw
2）用chgrp命令将设备DVD-RW（/dev/scd0）的群组属性更改为dvdrw  
sudo chgrp dvdrw /dev/scd0
3）用usermod命令将授权用户添加到这个群组中
sudo usermod -G dvdrw adm002
4）用gpasswd指定adm002为组管理员，这样他可以添加新的用户到这个群组中
sudo gpasswd -A adm002
现在adm002拥有DVD-RW驱动的访问权限，超级用户和adm002都有添加新用户到这个群组的能力，因为adm002是群组管理员。

用户管理

和群组类似，Ubuntu提供了命令行工具来管理用户，也提供了GUI工具来管理用户。相比较而言，命令行工具更为强大和灵活。

常用的用户管理命令行工具主要有：
useradd      添加一个新用户到Linux系统，可以定制的选项主要有，用户的/home目录（默认的/home目录是/home/username，默认的群组名为用户名），起始群组等。
useradd -D 定制系统创建新用户时的默认设置，当不使用任何参数时，将返回系统当前的默认设置。  
userdel       命令完全移除用户帐号（包括删除用户的/home目录以及目录下的所有文件）。
passwd      更新密码管理系统使用的"authentication tokens"
usermod   更改用户属性，最常使用的参数有-s更改shell，-u更改UID，当用户登陆系统或者运行程序时，不可更改用户属性。
chsh          命令更改用户的默认shell，对于Ubuntu系统而言，默认的shell是/bin/bash，即Bourne Again Shell。
下面通过一个简单的例子来创建一个用户，在这里我们使用-p选项设置密码，-s选项设定shell，-u选项设置UID（当使用默认设置创建用户时，不需要指定这些选项）。
sudo useradd testuser -p AbcDe -s /bin/zsh -u 1042
 
监测系统中的用户活动
w命令可以告诉系统管理员，当前登陆系统的用户有哪些，分别在哪里登陆，目前正在做什么。
在w命令后加上用户名，讲只返回特定用户的状态。  
ac命令可以返回用户总的链接时间，它从/var/log/wtmp文件中获取信息，想要使用ac命令，需要安装acct软件包。
last命令从/var/log/wtmp中获取信息，列出所有用户从该文件创建起的登陆记录。
lastb命令输出所有失败的/错误的登陆，对于系统维护有很好的指导意义。
锁住一个用户的帐号可以使用以下命令：sudo passwd -l username，撤销时可以使用-u选项，也即sudo passwd -u username。