Linux入门（五）用户和用户组管理

1 用户配置文件

1.1 用户信息文件 /etc/passwd

1）用户管理简介

• 越是对安全性要求高的服务器，越需要建立合理的用户权限等级制度和服务器操作规范。
• 在Linux中主要是通过用户配置文件来查看和修改用户信息。

2）/etc/passwd

man 5 passwd 可以查看配置文件的帮助

• 第1字段： 用户名称

• 第2字段： 密码标志

  • x代表这个用户是有密码的。
  • 如果删除x，只有本地可以无密码登录，ssh会完全无法登录，因为ssh要求密码必填。

• 第3字段： UID（用户ID）

  • 0: 超级用户

  • 1-499: 系统用户（伪用户）

  • 00-65535: 普通用户

    伪用户是用来启动服务或者启动命令的，不能登录，不可删除，一旦删除可能服务或者命令就不能正常使用了。

  补充：

  1.注意root不一定是管理员，主要还是看UID为0的用户是谁，谁就是管理员。

  2.默认UID不重复，可以强制改为重复的。

  3.把普通用户设置为管理员：把UID改为0（改GID是没用的）。

• 第4字段： GID（用户初始组ID）

• 第5字段： 用户说明

• 第6字段： 家目录

  • 普通用户：/home/用户名/
  • 超级用户：/root/

• 第7字段： 登录之后的Shell

3）初始组、附加组

• 初始组： 就是指用户一登陆就立刻拥有这个用户组的相关权限，每个用户的初始组只能有一个，一般就是和这个用户的用户名相同的组名作为这个用户的初始组。
• 附加组： 之用户可以加入多个其他的用户组，并拥有这些组的权限，附加组可以有多个。

4）Shell是什么

• Shell 就是 Linux 的命令解释器。
• 在 /etc/passwd 当中，除了标准 Shell 是 /bin/bash 之外，还可以写如：/sbin/nologin， /usr/bin/passwd 等。

1.2 影子文件 /etc/shadow

1）影子文件 /etc/shadow

• 第1字段： 用户名
• 第2字段： 加密密码
  • 加密算法升级为SHA512散列加密算法
  • 如果密码位是“!!” 或 “*” 代表没有密码，不能登录
  • 禁止用户登录：在shadow的用户名密码前加一个“!”。
• 第3字段： 密码最后一次修改日期
  • 使用1970年1月1日作为标准时间，每过一天时间戳加1
• 第4字段： 两次密码的修改间隔时间（和第3字段相比）
• 第5字段： 密码有效期（和第3字段相比）
• 第6字段： 密码修改到期的警告天数（和第5字段相比，到期前的警告天数）
• 第7字段： 密码过期后的宽限天数（和第5字段相比，到期后的宽限天数）
  • 空和0都是过期后立即失效
• 第8字段： 账号失效时间
  • 要用时间戳标识，以1970年1月1日为标准时间。
• 第9字段： 保留字段，暂时不用。

2）时间戳换算

• 把时间戳换算为日期

  $ date -d "1970-01-01 18953 days"
  

• 把日期换算为时间戳

  echo $(($(date --date="2021/11/21" +%s)/86400+1))
  # echo是Shell的输出命令
  

1.3 组信息文件 /etc/group 和 组密码文件 /etc/gshadow

1）组信息文件 /etc/group

• 第1字段：组名
• 第2字段：组密码标志
• 第3字段：GID 组ID
• 第4字段：组中附加用户

2）组密码文件 /etc/gshadow

• 第1字段：组名
• 第2字段：组密码
• 第3字段：组管理员用户名
• 第4字段：组中附加用户

2 用户管理相关文件

2.1 用户的家目录

• 普通用户：/home/用户名/，所属人和所属组都是此用户，权限是700
• 超级用户：/root/，所属人和所属组都是root用户，权限是550（rwx权限对root用户无效，不用在意550）

2.2 用户的邮箱

• /var/spool/mail/用户名/

2.3 用户模板目录

• /etc/skel/
• 模板文件的作用：新建用户的时候，自动拷贝到新用户家目录的文件

3 用户管理命令

3.1 用户添加命令useradd

1）useradd命令格式

$ useradd [选项] 用户名

选项：

• -u [UID] 手工指定用户的UID号
• -d [家目录] 手工指定用户的家目录
• -c [用户说明] 手工指定用户的说明
• -g [组名] 手工指定用户的初始组
• -G [组名] 手工指定用户的附加组（指定多个附加组用英文逗号分隔）
• -s [shell命令] 手工指定用户的登录shell。默认是/bin/bash

注意： 添加一个用户，需要两个命令，useradd和passwd，如果不给它设置密码是没有添加完整的，是不能登录的。

补充1： useradd添加家目录的时候是不需要手动创建相关目录的，手工创建之后还需要手动改目录的权限，所以我们不推荐手工创建。

2）默认添加用户

# 默认添加用户（不加选项）
$ useradd lamp
# 可以使用下面的命令查看新用户所增加的内容：
# 1.查看用户信息
$ grep "lamp" /etc/passwd
# 2.查看用户密码信息
$ grep "lamp" /etc/shadow
# 3.查看用户组信息
$ grep "lamp" /etc/gshadow
# 4.查看用户家目录
$ ll -d /home/lamp
# 5.查看用户邮箱目录
$ ll /var/spool/mail/lamp

3）指定选项添加用户

# 新建组
$ groupadd lamp1
# 指定UID未550，新用户初始组为lamp1，新用户附加组为root，用户家目录为/home/lamp1，用户说明为"test user"，登陆后的默认命令为/bin/bash，用户名称为lamp1
$ useradd -u 55 -g lamp1 -G root -d /home/lamp1 \
  -c "test user" -s /bin/bash lamp1

4）用户默认值文件

$ /etc/default/useradd
# GROUP=100 用户默认组
# HOME=/home 用户家目录
# INACTIVE=-1 密码过期宽限天数（shadow 7字段）
# EXPIRE= 密码失效时间（8）
# SHELL=/bin/bash 默认shell
# SKEL=/etc/skel 模板目录
# CREATE_MAIL_SPOOL=yes 是否建立邮箱

$ /etc/login.defs
# PASS_MAX_DAYS 99999 密码有效期（5）
# PASS_MIN_DAYS 0 密码修改间隔（4）
# PASS_MIN_LEN 5 密码最小5位（PAM）
# PASS_WARN_AGE7 密码到期警告（6）
# UID_MIN 500  最小和最大UID范围
# GID_MAX 60000
# ENCRYPT_METHOD SHA512 加密模式

3.2 修改用户密码passwd

1）passwd命令格式

$ passwd [选项] 用户名

选项：

• -S 查询用户密码的状态。仅root用户可用
• -l 暂时锁定用户。仅root用户可用
• -u 解锁用户。仅root用户可用
• –stdin 可以通过管道符输出的数据作为用户的密码

2）查看密码状态

$ passwd -S lamp
lamp PS 2013-01-06 0 99999 7 -1
# 用户名密码设置时间（2013-01-06）
# 密码修改间隔时间（0）
# 密码有效期（99999 永久）
# 警告时间（7）
# 密码不失效（-1）

3）锁定用户和解锁用户

# 锁定用户
$ passwd -l lamp
# 解锁用户
$ passwd -u lamp

4）使用字符串作为用户的密码

$ echo "123" | passwd --stdin lamp

3.3 修改用户信息usermod、修改用户密码状态chage

1）修改用户信息 usermod

$ usermod [选项] 用户名

选项：

• -u [UID] 修改用户的UID号
• -c [用户说明] 修改用户的说明信息
• -L 临时锁定用户（Lock）
• -U 解锁锁定用户（Unlock）

示例：

# 修改用户的说明
$ usermod -c "test user" lamp
# 把lamp用户加入root组
$ usermod -G root lamp
# 锁定用户
$ usermod -L lamp
# 解锁用户
$ usermod -U lamp

2）修改用户密码状态chage

$ chage [选项] 用户名

选项：

• -l 列出用户的详细密码状态
• -d [日期] 修改密码最后一次更改日期（shadow 3字段）
• -m [天数] 两次密码修改间隔（4字段）
• -M [天数] 密码有效期（5字段）
• -W [天数] 密码过期前警告天数（6字段）
• -I [天数] 密码过期后宽限天数（7字段）（大写i）
• -E [日期] 账号失效时间（8字段）

示例：

# 这个命令其实是把密码修改日期归0了（shadow第3字段）
# 这样用户一登陆就要修改密码
$ chage -d 0 lamp

3.4 删除用户 userdel、用户切换命令 su

1）删除用户 userdel

$ userdel [-r] 用户名

选项：

• -r 删除用户的同事删除用户家目录

手工删除用户：

$ vim /etc/passwd$ vim /etc/shadow$ vim /etc/group$ vim /etc/gshadow$ rm -rf /var/spool/mail/lamp$ rm -rf /home/lamp

2）查看用户ID

$ id 用户名

3）切换用户身份su

$ su [选项] 用户名

选项：

• - 选项只使用 “-” 代表连带用户的环境变量一起切换
• -c 仅执行一次命令，而不切换用户身份

示例：

# 切换为root用户，root可以省略
$ su - root
# 不切换为root用户，但是执行useradd命令添加user1用户
$ su - root -c "useradd user1"

注意：su切换用户的时候，后面必须要加-，不然env查看环境变量的时候，还是本机的环境变量。

4 用户组管理命令

1）添加用户组 groupadd

[root@localhost ~]# groupadd [选项] 组名

选项：

• -g [GID] 指定组ID

2）修改用户组 groupmod

[root@localhost ~]# groupmod [选项] 组名

选项：

• -g [GID] 指定组ID
• -n [新组名] 修改组名

把组名group1修改为testgrp

[root@localhost ~]# groupmod -n testgrp group1

3）删除用户组命令 groupdel

[root@localhost ~]# groupdel  组名

4）用户添加进组或从组中删除 gpasswd

[root@localhost ~]# gpasswd 选项 组名

选项：

• -a [用户名] 把用户加入组
• -d [用户名] 把用户从组中删除

把用户lizhouwei加入grouptest组

[root@localhost ~]# gpasswd -a lizhouwei grouptest

把用户 lizhouwei 从组中删除

[root@localhost ~]# gpasswd -d lizhouwei  grouptest

说明： usermod 命令也可以把用户加入某个组，不过 usermod 命令的操作对象是用户，命令是 “usermod -G grouptest lizhouwei”，把用户名作为参数放在最后；而 gpasswd 命令的操作对象是组，命令是"gpasswd -a lizhouwei grouptest"，把组名作为参数放在最后。

补充： 其实 gpasswd 命令是用来设定组密码并指定组管理员的，不过我们在前面已经说了，组密码和组管理员功能很少使用，而且完全可以被 sudo 命令取代，所以 gpasswd 命令现在主要用于把用户添加进组或从组中删除。

切换用户的有效组 newgrp

[root@localhost ~]# newgrp  组名

说明： 每个用户可以属于一个初始组（用户是这个组的初始用户），也可以属于多个附加组（用户是这个组的附加用户）。用户在创建文件后，文件的属组是用户的初始组，因为用户的有效组默认是初始组。那么可以使用命令 newgrp 切换用户的有效组。

整理完毕，完结撒花~ 🌻