Linux（四）__用户和用户组管理_linux 有几个用户-CSDN博客

本文链接：https://blog.csdn.net/m0_57540655/article/details/138956143

最全的Linux教程，Linux从入门到精通

======================

linux从入门到精通(第2版)
Linux系统移植
Linux驱动开发入门与实战
LINUX 系统移植第2版
Linux开源网络全栈详解从DPDK到OpenFlow

华为18级工程师呕心沥血撰写3000页Linux学习笔记教程

第一份《Linux从入门到精通》466页

====================

内容简介

====

本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷，并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本，循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘，内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件，供读者免费下载。

华为18级工程师呕心沥血撰写3000页Linux学习笔记教程

本书适合广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读，同时也非常适合准备从事Linux平台开发的各类人员。

需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

注意：useradd 命令在添加用户时参考的默认值文件主要有两个，分别是 /etc/default/useradd 和 /etc/login.defs ；

useradd 命令创建用户的过程：系统首先读取配置文件 /etc/login.defs 和 /etc/default/useradd，根据定义的规则添加用户，即向 /etc/passwd、/etc/group、/etc/shadow、/etc/gshadow 文件中添加用户数据，接着系统会自动在 /etc/default/useradd 文件设定的目录下建立用户主目录，最后复制 /etc/skel 目录中的所有文件到此主目录中，由此，一个新的用户就创建完成。

即：useradd 命令创建用户的过程，其实就是修改了与用户相关的几个文件或目录

实例1：#创建 lamp 普通用户【在没有特殊要求下，无需使用任何选项即可成功创建用户】

useradd tom

执行的具体操作如下：

在 /etc/passwd 文件中创建一行与 lamp 用户相关的数据： [root@localhost ~]# grep “lamp” /etc/passwd
lamp❌500:500::/home/tom:/bin/bash

可以看到，用户的 UID 是从 500 开始计算的。同时默认指定了用户的家目录为 /home/tom/，用户的登录 Shell 为 /bin/bash。
2. 在 /etc/shadow 文件中新增了一行与 lamp 用户密码相关的数据： [root@localhost ~]# grep “tom” /etc/shadow
tom:!!:15710:0:99999:7:::

当然，这个用户还没有设置密码，所以密码字段是 “!!”，代表这个用户没有合理密码，不能正常登录。同时会按照默认值设定时间字段，例如密码有效期有 99999 天，距离密码过期 7 天系统会提示用户“密码即将过期”等。
3. 在 /etc/group 文件中创建一行与用户名一模一样的群组： [root@localhost ~]# grep “tom” /etc/group
tom❌500:

该群组会作为新建用户的初始组。
4. 在 /etc/gshadow 文件中新增一行与新增群组相关的密码信息： [root@localhost ~]# grep “tom” /etc/gshadow
lamp:!::

当然，我们没有设定组密码，所以这里没有密码，也没有组管理员。
5. 默认创建用户的主目录和邮箱： [root@localhost ~]#ll -d /home/tom/
drwx------ 3 tom lamp 4096 1月6 00:19 /home/tom/
[root@localhost ~]#ll /var/spod/mail/tom
-rw-rw---- 1 tom mail 0 1月6 00:19 /var/spool/mail/tom

注意这两个文件的权限，都要让 tom用户拥有相应的权限。
6. 将 /etc/skel 目录中的配置文件复制到新用户的主目录中。

实例2

useradd –d /home/sam -m sam

此命令创建了一个用户sam，其中-d和-m选项用来为登录名sam产生一个主目录 /home/sam（/home为默认的用户主目录所在的父目录）。

实例3

useradd -s /bin/sh -g group –G adm,root gem

此命令新建了一个用户gem，该用户的登录Shell是 /bin/sh，它属于group用户组，同时又属于adm和root用户组，其中group用户组是其主组。

userdel命令

作用：删除帐号；如果一个用户的账号不再使用，可以从系统中删除。删除用户账号就是要将/etc/passwd等系统文件中的该用户记录删除，必要时还删除用户的主目录。

基本格式：userdel 选项用户名

说明：

常用的选项是 -r，它的作用是把用户的主目录一起删除。

例如：

userdel -r sam

此命令删除用户sam在系统文件中（主要是/etc/passwd, /etc/shadow, /etc/group等）的记录，同时删除用户的主目录。

usermod命令

作用：修改帐号，即根据实际情况更改用户的有关属性，如用户号、主目录、用户组、登录Shell等。

基本格式：usermod 选项用户名

选项说明：

-c 用户说明：修改用户的说明信息，即修改 /etc/passwd 文件目标用户信息的第 5 个字段；
-d 主目录：修改用户的主目录，即修改 /etc/passwd 文件中目标用户信息的第 6 个字段，需要注意的是，主目录必须写绝对路径；
-e 日期：修改用户的失效曰期，格式为 “YYYY-MM-DD”，即修改 /etc/shadow 文件目标用户密码信息的第 8 个字段；
-g 组名：修改用户的初始组，即修改 /etc/passwd 文件目标用户信息的第 4 个字段（GID）；
-u UID：修改用户的UID，即修改 /etc/passwd 文件目标用户信息的第 3 个字段（UID）；
-G 组名：修改用户的附加组，其实就是把用户加入其他用户组，即修改 /etc/group 文件；
-l 用户名：修改用户名称；
-L：临时锁定用户（Lock）；
-U：解锁用户（Unlock），和 -L 对应；
-s shell：修改用户的登录 Shell，默认是 /bin/bash。

usermod 命令提供的选项和 useradd 命令的选项相似，因为 usermod 命令就是用来调整使用 useradd 命令添加的用户信息的。
不过，相比 useradd 命令，usermod 命令多了 -L 和 -U选项，作用分别与 passwd 命令的 -l 和-u 相同。需要注意的是，并不是所有的 Linux 发行版都包含这个命令，因此，使用前可以使用 man usermod 命令确定系统是否支持。

例如：

usermod -s /bin/ksh -d /home/z –g developer sam

此命令将用户sam的登录Shell修改为ksh，主目录改为/home/z，用户组改为developer。

说明：如果要删除的用户已经使用过系统一段时间，那么此用户可能在系统中留有其他文件，因此，如果我们想要从系统中彻底的删除某个用户，最好在使用 userdel 命令之前，先通过 find -user 用户名 命令查出系统中属于该用户的文件，然后在加以删除。

passwd 命令

作用：

用户口令的管理；
用户管理的一项重要内容是用户口令的管理。用户账号刚创建时没有口令，但是被系统锁定，无法使用，必须为其指定口令后才可以使用，即使是指定空口令。
指定和修改用户口令的Shell命令是passwd。超级用户可以为自己和其他用户指定口令，普通用户只能用它修改自己的口令。

基本格式：passwd 选项用户名

选项：
-S：查询用户密码的状态，也就是 /etc/shadow 文件中此用户密码的内容。仅 root 用户可用；
-l：暂时锁定用户，该选项会在 /etc/shadow 文件中指定用户的加密密码串前添加 “!”，使密码失效。仅 root 用户可用；
-u：解锁用户，和 -l 选项相对应，也是只能 root 用户使用；
–stdin：可以将通过管道符输出的数据作为用户的密码。主要在批量添加用户时使用；
-n 天数：设置该用户修改密码后，多长时间不能再次修改密码，也就是修改 /etc/shadow 文件中各行密码的第 4 个字段；
-x 天数：设置该用户的密码有效期，对应 /etc/shadow 文件中各行密码的第 5 个字段；
-w 天数：设置用户密码过期前的警告天数，对于 /etc/shadow 文件中各行密码的第 6 个字段；
-i 日期：设置用户密码失效日期，对应 /etc/shadow 文件中各行密码的第 7 个字段。

如果默认用户名，则修改当前用户的口令。

例如，假设当前用户是sam，则下面的命令修改该用户自己的口令：

$ passwd

Old password:******

New password:*******

Re-enter new password:*******

如果是超级用户root，可以用下列形式指定任何用户的口令：

passwd sam

New password:*******

Re-enter new password:*******

普通用户修改自己的口令时，passwd命令会先询问原口令，验证后再要求用户输入两遍新口令，如果两次输入的口令一致，则将这个口令指定给用户；而超级用户为用户指定口令时，就不需要知道原口令。

为了系统安全起见，用户应该选择比较复杂的口令，例如最好使用8位长的口令，口令中包含有大写、小写字母和数字，并且应该与姓名、生日等不相同。

为用户指定空口令时，执行下列形式的命令：

passwd -d sam

此命令将用户 sam 的口令删除，这样用户 sam 下一次登录时，系统就不再允许该用户登录了。

passwd 命令还可以用 -l(lock) 选项锁定某一用户，使其不能登录，例如：

passwd -l sam

chage 命令

作用：可以显示更加详细的用户密码信息，并且和 passwd 命令一样，提供了修改用户密码信息的功能；

基本格式：[root@localhost ~]#chage [选项] 用户名

选项：

-l：列出用户的详细密码状态;
-d 日期：修改 /etc/shadow 文件中指定用户密码信息的第 3 个字段，也就是最后一次修改密码的日期，格式为 YYYY-MM-DD；
-m 天数：修改密码最短保留的天数，也就是 /etc/shadow 文件中的第 4 个字段；
-M 天数：修改密码的有效期，也就是 /etc/shadow 文件中的第 5 个字段；
-W 天数：修改密码到期前的警告天数，也就是 /etc/shadow 文件中的第 6 个字段；
-i 天数：修改密码过期后的宽限天数，也就是 /etc/shadow 文件中的第 7 个字段；
-E 日期：修改账号失效日期，格式为 YYYY-MM-DD，也就是 /etc/shadow 文件中的第 8 个字段。

#查看一下用户密码状态
[root@localhost ~]# chage -l lamp
Last password change:Jan 06, 2013
Password expires:never
Password inactive :never
Account expires :never
Minimum number of days between password change :0
Maximum number of days between password change :99999
Number of days of warning before password expires :7

说明：chage 命令除了修改密码信息的功能外，还可以强制用户在第一次登录后，必须先修改密码，并利用新密码重新登陆系统，此用户才能正常使用。

例如，我们创建 lamp 用户，并让其首次登陆系统后立即修改密码，执行命令如下：

#创建新用户 lamp
[root@localhost ~]#useradd lamp
#设置用户初始密码为 lamp
[root@localhost ~]#echo “lamp” | passwd --stdin lamp
#通过chage命令设置此账号密码创建的日期为 1970 年 1 月 1 日（0 就表示这一天），这样用户登陆后就必须修改密码
[root@localhost ~]#chage -d 0 lamp

这样修改完 lamp 用户后，我们尝试用 lamp 用户登陆系统（初始密码也是 lamp）：
local host login:lamp
Password: <–输入密码登陆
You are required to change your password immediately (root enforced)
changing password for lamp. <–有一些提示，就是说明 root 强制你登录后修改密码
(current)UNIX password:
#输入旧密码
New password:
Retype new password:
#输入两次新密码

id命令

作用：可以查询用户的UID、GID 和附加组的信息。

语法格式：[root@localhost ~]# id 用户名

[root@localhost ~]# id lamp
uid=501(lamp) gid=501(lamp) groups=501(lamp)
#能看到uid(用户ID)、gid(初始组ID), groups是用户所在组，这里既可以看到初始组，如果有附加组，则也能看到附加组

su命令

作用：

su 是最简单的用户切换命令，通过该命令可以实现任何身份的切换，包括从普通用户切换为 root 用户、从 root 用户切换为普通用户以及普通用户之间的切换。
普通用户之间切换以及普通用户切换至 root 用户，都需要知晓对方的密码，只有正确输入密码，才能实现切换；从 root 用户切换至其他用户，无需知晓对方密码，直接可切换成功。

基本格式：[root@localhost ~]# su [选项] 用户名

选项：

-：当前用户不仅切换为指定用户的身份，同时所用的工作环境也切换为此用户的环境（包括 PATH 变量、MAIL 变量等），使用 - 选项可省略用户名，默认会切换为 root 用户。
-l：同 - 的使用类似，也就是在切换用户身份的同时，完整切换工作环境，但后面需要添加欲切换的使用者账号。
-p：表示切换为指定用户的身份，但不改变当前的工作环境（不使用切换用户的配置文件）。
-m：和 -p 一样；
-c 命令：仅切换用户执行一次命令，执行后自动切换回来，该选项后通常会带有要执行的命令。

注意，使用 su 命令时，有 - 和没有 - 是完全不同的，- 选项表示在切换用户身份的同时，连当前使用的环境变量也切换成指定用户的。我们知道，环境变量是用来定义操作系统环境的，因此如果系统环境没有随用户身份切换，很多命令无法正确执行（比如service命令）。

whoami 命令和 who am i 命令

作用：

前者用来打印当前执行操作的用户名，后者则用来打印登陆当前 Linux 系统的用户名。
通常，对那些经常需要切换用户的系统管理员来说，经常需要明确当前使用的是什么身份；另外，对于某些 shell 脚本，或者需要特别的用户才能执行，这时就需要利用 whoami 命令来搞清楚执行它的用户是谁；甚至还有一些 shell 脚本，一定要某个特别用户才能执行，即便使用 su 或者 sudo 命令切换到此身份都不行，此时就需要利用 who am i 来确认。

语法格式：

[Cyuyan@localhost ~]$ whoami
[Cyuyan@localhost ~]$ who am i

注意：

所谓实际用户，指的是登陆 Linux 系统时所使用的用户，因此在整个登陆会话过程中，实际用户是不会发生变化的；

有效用户，指的是当前执行操作的用户，也就是说真正决定权限高低的用户，这个是能够利用 su 或者 sudo 命令进行任意切换的。
一般情况下，实际用户和有效用户是相同的，如果出现用户身份切换的情况，它们会出现差异。需要注意的是，实际用户和有效用户出现差异，切换用户并不是唯一的触发机制。

Linux系统用户组的管理

每个用户都有一个用户组，系统可以对一个用户组中的所有用户进行集中管理。不同Linux 系统对用户组的规定有所不同，如Linux下的用户属于与它同名的用户组，这个用户组在创建用户时同时创建。

用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。

常用命令

groupadd命令

作用：增加一个新的用户组使用。

语法格式：groupadd 选项用户组

选项说明：

-g GID 指定新用户组的组标识号（GID）。
-o 一般与-g选项同时使用，表示新用户组的GID可以与系统已有用户组的GID相同。

实例1：

groupadd group1

此命令向系统中增加了一个新组group1，新组的组标识号是在当前已有的最大组标识号的基础上加1。

实例2：

groupadd -g 101 group2

此命令向系统中增加了一个新组group2，同时指定新组的组标识号是101。

groupdel命令

作用：如果要删除一个已有的用户组

语法格式：groupdel 用户组

例如：

groupdel group1

此命令从系统中删除组group1。

注意，不能使用 groupdel 命令随意删除群组。此命令仅适用于删除那些 “不是任何用户初始组” 的群组，换句话说，如果有群组还是某用户的初始群组，则无法使用 groupdel 命令成功删除。

groupmod命令

作用：修改用户组的属性使用。

语法格式：groupmod 选项用户组

常用的选项有：

-g GID 为用户组指定新的组标识号。
-o 与-g选项同时使用，用户组的新GID可以与系统已有用户组的GID相同。
-n新用户组将用户组的名字改为新名字

实例1：

groupmod -g 102 group2

此命令将组group2的组标识号修改为102。

实例2：

groupmod –g 10000 -n group3 group2

此命令将组group2的标识号改为10000，组名修改为group3。

说明：用户名不要随意修改，组名和 GID 也不要随意修改，因为非常容易导致管理员逻辑混乱。如果非要修改用户名或组名，则建议大家先删除旧的，再建立新的。

newgrp命令

作用：如果一个用户同时属于多个用户组，那么用户可以在用户组之间切换，以便具有其他用户组的权限。

语法格式：newgrp 组名

用户可以在登录后，使用命令newgrp切换到其他用户组，这个命令的参数就是目的用户组。

例如：$ newgrp root

这条命令将当前用户切换到root用户组，前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理，用户组的管理也可以通过集成的系统管理工具来完成。

gpasswd 命令

作用：使用 gpasswd 命令给群组设置一个群组管理员，代替 root 完成将用户加入或移出群组的操作。

基本格式：[root@localhost ~]# gpasswd 选项组名


选项	功能
	选项为空时，表示给群组设置密码，仅 root 用户可用。
-A user1,…	将群组的控制权交给 user1,… 等用户管理，也就是说，设置 user1,… 等用户为群组的管理员，仅 root 用户可用。
-M user1,…	将 user1,… 加入到此群组中，仅 root 用户可用。
-r	移除群组的密码，仅 root 用户可用。
-R	让群组的密码失效，仅 root 用户可用。
-a user	将 user 用户加入到群组中。
-d user	将 user 用户从群组中移除。

说明：

除 root 可以管理群组外，可设置多个普通用户作为群组的管理员，但也只能做“将用户加入群组”和“将用户移出群组”的操作。

使用 usermod -G 命令也可以将用户加入群组，但会产生一个问题，即使用此命令将用户加入到新的群组后，该用户之前加入的那些群组都将被清空；

#以lamp用户登陆系统，并将用户 lamp 和 lamp1 加入group1群组。
[lamp@localhost ~]#gpasswd -a lamp group1
[lamp@localhost ~]#gpasswd -a lamp1 group1
[lamp@localhost ~]#grep “group1” /etc/group
group1❌506:lamp,lamp1