useradd、usermod、userdel 都是管理员命令 ;
useradd:新建用户;
语法:
useradd [option] username
参数:
-u UID 手工指定用户的 UID,注意 UID 的范围(不要小于 500)。
-d 主目录 手工指定用户的主目录。主目录必须写绝对路径,而且如果需要手工指定主目录,则一定要注意权限;
-c 用户说明 手工指定/etc/passwd文件中各用户信息中第 5 个字段的描述性内容,可随意配置;
-g 组名 手工指定用户的初始组。一般以和用户名相同的组作为用户的初始组,在创建用户时会默认建立初始组。一旦手动指定,则系统将不会在创建此默认的初始组目录。
-G 组名 指定用户的附加组。我们把用户加入其他组,一般都使用附加组;
-s shell 手工指定用户的登录Shell,默认是 /bin/bash;
-e 曰期 指定用户的失效曰期,格式为 "YYYY-MM-DD"。也就是 /etc/shadow 文件的第八个字段;
-o 允许创建的用户的 UID 相同。例如,执行 "useradd -u 0 -o
usertest" 命令建立用户 usertest,它的 UID 和 root 用户的 UID 相同,都是 0;
-m 建立用户时强制建立用户的家目录。在建立系统用户时,该选项是默认的;默认位置/home/username
-r 创建系统用户,也就是 UID 在 1~499 之间,供系统程序使用的用户。由于系统用户主要用于运行系统所需服务的权限配置,因此系统用户的创建默认不会创建主目录。
使用实例:
实例1:添加test1用户
命令 useradd test1
输出:
说明:
没有指组(-g参数)会建一个与用户名相同的组,没手动指定家目录(-m参数)会建立在默认位置/home/test1
passwd:设定用户密码;
语法:
passwd [选项] 用户名
参数:
-S:查询用户密码的状态,也就是 /etc/shadow 文件中此用户密码的内容。仅 root 用户可用;
-l:暂时锁定用户,该选项会在 /etc/shadow 文件中指定用户的加密密码串前添加 "!",使密码失效。仅 root 用户可用;
-u:解锁用户,和 -l 选项相对应,也是只能 root 用户使用;
--stdin:可以将通过管道符输出的数据作为用户的密码。主要在批量添加用户时使用;
-n 天数:设置该用户修改密码后,多长时间不能再次修改密码,也就是修改/etc/shadow 文件中各行密码的第 4 个字段;
-x 天数:设置该用户的密码有效期,对应 /etc/shadow 文件中各行密码的第 5 个字段;
-w 天数:设置用户密码过期前的警告天数,对于 /etc/shadow 文件中各行密码的第 6 个字段;
-i 日期:设置用户密码失效日期,对应 /etc/shadow 文件中各行密码的第 7 个字段
usermod:修改用户;
语法:
usermod [选项] 用户名
参数:
-c 用户说明:修改用户的说明信息,即修改 /etc/passwd 文件目标用户信息的第 5 个字段;
-d 主目录:修改用户的主目录,即修改 /etc/passwd 文件中目标用户信息的第 6 个字段,需要注意的是,主目录必须写绝对路径;
-e 日期:修改用户的失效曰期,格式为 "YYYY-MM-DD",即修改 /etc/shadow 文件目标用户密码信息的第 8 个字段;
-g 组名:修改用户的初始组,即修改 /etc/passwd 文件目标用户信息的第 4 个字段(GID);
-u UID:修改用户的UID,即修改 /etc/passwd 文件目标用户信息的第 3 个字段(UID);
-G 组名:修改用户的附加组,其实就是把用户加入其他用户组,即修改 /etc/group 文件;
-l 用户名:修改用户名称;
-L:临时锁定用户(Lock);
-U:解锁用户(Unlock),和 -L 对应;
-s shell:修改用户的登录Shell,默认是 /bin/bash。
如果你仔细观察会发现,其实 usermod 命令提供的选项和 useradd 命令的选项相似,因为 usermod 命令就是用来调整使用 useradd 命令添加的用户信息的。
userdel:删除用户的相关数据;
语法:
useradd [option] username
参数:
-r删除用户的同时,删除其相关文件
扩展:
Linux 系统中的 /etc/passwd 文件,是系统用户配置文件,存储了系统中所有用户的基本信息,并且所有用户都可以对此文件执行读操作。首先我们来打开这个文件,看看到底包含哪些内容,执行命令如下:
[root@localhost~]# vi /etc/passwd
#查看一下文件内容
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
省略部分输出…
可以看到,/etc/passwd文件中的内容非常规律,每行记录对应一个用户。读者可能会问,Linux系统中默认怎么会有这么多的用户?这些用户中的绝大多数是系统或服务正常运行所必需的用户,这种用户通常称为系统用户或伪用户。系统用户无法用来登录系统,但也不能删除,因为一旦删除,依赖这些用户运行的服务或程序就不能正常执行,会导致系统问题。不仅如此,每行用户信息都以":"作为分隔符,划分为7 个字段,每个字段所表示的含义如下:
用户名:密码:UID(用户ID):GID(组ID):描述性信息:主目录:默认Shell
接下来,给大家逐个介绍这些字段。
用户名
用户名,就是一串代表用户身份的字符串。前面讲过,用户名仅是为了方便用户记忆,Linux系统是通过UID 来识别用户身份,分配用户权限的。/etc/passwd文件中就定义了用户名和UID 之间的对应关系。
密码
“x” 表示此用户设有密码,但不是真正的密码,真正的密码保存在/etc/shadow 文件中(下一节做详细介绍)。在早期的 UNIX 中,这里保存的就是真正的加密密码串,但由于所有程序都能读取此文件,非常容易造成用户数据被窃取。
虽然密码是加密的,但是采用暴力破解的方式也是能够进行破解的。
因此,现在Linux 系统把真正的加密密码串放置在/etc/shadow 文件中,此文件只有root 用户可以浏览和操作,这样就最大限度地保证了密码的安全。需要注意的是,虽然"x" 并不表示真正的密码,但也不能删除,如果删除了"x",那么系统会认为这个用户没有密码,从而导致只输入用户名而不用输入密码就可以登陆(只能在使用无密码登录,远程是不可以的),除非特殊情况(如破解用户密码),这当然是不可行的。
UID
UID,也就是用户 ID。每个用户都有唯一的一个 UID,Linux 系统通过 UID 来识别不同的用户。实际上,UID 就是一个 0~65535 之间的数,不同范围的数字表示不同的用户身份,具体如下表。
UID 范围用户身份
0超级用户。UID 为 0 就代表这个账号是管理员账号。在 Linux 中,如何把普通用户升级成管理员呢?只需把其他用户的 UID 修改为 0 就可以了,这一点和 Windows 是不同的。不过不建议建立多个管理员账号。
1~499系统用户(伪用户)。也就是说,此范围的 UID 保留给系统使用。其中,1~99 用于系统自行创建的账号;100~499 分配给有系统账号需求的用户。
其实,除了 0 之外,其他的 UID 并无不同,这里只是默认 500 以下的数字给系统作为保留账户,只是一个公认的习惯而已。
500~65535普通用户。通常这些 UID 已经足够用户使用了。但不够用也没关系,2.6.x 内核之后的 Linux 系统已经可以支持 232个UID 了。
GID
全称“GroupID”,简称“组ID”,表示用户初始组的组 ID 号。这里需要解释一下初始组和附加组的概念。初始组,指用户登陆时就拥有这个用户组的相关权限。每个用户的初始组只能有一个,通常就是将和此用户的用户名相同的组名作为该用户的初始组。比如说,我们手工添加用户lamp,在建立用户lamp 的同时,就会建立lamp 组作为 lamp 用户的初始组。附加组,指用户可以加入多个其他的用户组,并拥有这些组的权限。每个用户只能有一个初始组,除初始组外,用户再加入其他的用户组,这些用户组就是这个用户的附加组。附加组可以有多个,而且用户可以有这些附加组的权限。举例来说,刚刚的lamp 用户除属于初始组lamp 外,我又把它加入了users 组,那么lamp 用户同时属于lamp 组和 users 组,其中 lamp 是初始组,users 是附加组。当然,初始组和附加组的身份是可以修改的,但是我们在工作中不修改初始组,只修改附加组,因为修改了初始组有时会让管理员逻辑混乱。需要注意的是,在/etc/passwd 文件的第四个字段中看到的ID 是这个用户的初始组。
描述性信息
这个字段并没有什么重要的用途,只是用来解释这个用户的意义而已。
主目录
也就是用户登录后有操作权限的访问目录,通常称为用户的主目录。例如,root 超级管理员账户的主目录为 /root,普通用户的主目录为 /home/yourIDname,即在 /home/ 目录下建立和用户名相同的目录作为主目录,如 lamp 用户的主目录就是 /home/lamp/ 目录。
默认的Shell
Shell 就是 Linux 的命令解释器,是用户和 Linux 内核之间沟通的桥梁。我们知道,用户登陆Linux 系统后,通过使用 Linux 命令完成操作任务,但系统只认识类似0101 的机器语言,这里就需要使用命令解释器。也就是说,Shell命令解释器的功能就是将用户输入的命令转换成系统可以识别的机器语言。通常情况下,Linux系统默认使用的命令解释器是bash(/bin/bash),当然还有其他命令解释器,例如sh、csh 等。在/etc/passwd 文件中,大家可以把这个字段理解为用户登录之后所拥有的权限。如果这里使用的是bash 命令解释器,就代表这个用户拥有权限范围内的所有权限。例如:
[root@localhost~]# vi /etc/passwd
lamp:x:502:502::/home/lamp:/bin/bash
我手工添加了lamp 用户,它使用的是bash 命令解释器,那么这个用户就可以使用普通用户的所有权限。如果我把 lamp 用户的 Shell 命令解释器修改为/sbin/nologin,那么,这个用户就不能登录了,例如:
[root@localhost~]# vi /etc/passwd
lamp:x:502:502::/home/lamp:/sbin/nologin
因为/sbin/nologin 就是禁止登录的Shell。同样,如果我在这里放入的系统命令,如/usr/bin/passwd,例如:
[root@localhost~]#vi /etc/passwd
lamp:x:502:502::/home/lamp:/usr/bin/passwd
那么这个用户可以登录,但登录之后就只能修改自己的密码。但是,这里不能随便写入和登陆没有关系的命令(如ls),系统不会识别这些命令,同时也就意味着这个用户不能登录。
/etc/shadow文件,用于存储 Linux 系统中用户的密码信息,又称为“影子文件”。前面介绍了/etc/passwd 文件,由于该文件允许所有用户读取,易导致用户密码泄露,因此Linux 系统将用户的密码信息从/etc/passwd 文件中分离出来,并单独放到了此文件中。
/etc/shadow
文件只有 root 用户拥有读权限,其他用户没有任何权限,这样就保证了用户密码的安全性。
注意,如果这个文件的权限发生了改变,则需要注意是否是恶意攻击。
介绍此文件之前,我们先打开看看,执行如下命令:
[root@localhost~]#vim /etc/shadow
root: $6$9w5Td6lg
$bgpsy3olsq9WwWvS5Sst2W3ZiJpuCGDY.4w4MRk3ob/i85fl38RH15wzVoom ff9isV1PzdcXmixzhnMVhMxbvO:15775:0:99999:7:::
bin:*:15513:0:99999:7:::
daemon:*:15513:0:99999:7:::
…
省略部分输出…
同/etc/passwd 文件一样,文件中每行代表一个用户,同样使用":" 作为分隔符,不同之处在于,每行用户信息被划分为9 个字段。每个字段的含义如下:
用户名:加密密码:最后一次修改时间:最小修改时间间隔:密码有效期:密码需要变更前的警告天数:密码过期后的宽限时间:账号失效时间:保留字段
接下来,给大家分别介绍这9 个字段。
用户名
同/etc/passwd 文件的用户名有相同的含义。
加密密码
这里保存的是真正加密的密码。目前Linux 的密码采用的是SHA512 散列加密算法,原来采用的是MD5 或 DES 加密算法。SHA512 散列加密算法的加密等级更高,也更加安全。
注意,这串密码产生的乱码不能手工修改,如果手工修改,系统将无法识别密码,导致密码失效。很多软件透过这个功能,在密码串前加上 “!”、"*" 或 “x” 使密码暂时失效。
所有伪用户的密码都是"!!" 或"*",代表没有密码是不能登录的。当然,新创建的用户如果不设定密码,那么它的密码项也是"!!",代表这个用户没有密码,不能登录。
最后一次修改时间
此字段表示最后一次修改密码的时间,可是,为什么root 用户显示的是15775呢?这是因为,Linux计算日期的时间是以1970 年 1 月 1 日作为 1 不断累加得到的时间,到 1971 年 1 月 1 日,则为 366 天。这里显示 15775 天,也就是说,此root 账号在 1970 年 1 月 1 日之后的第 15775 天修改的 root 用户密码。那么,到底15775 代表的是哪一天呢?可以使用如下命令进行换算:
[root@localhost~]# date -d "1970-01-01 15775 days"
2013年03月11日星期一 00:00:00 CST
可以看到,通过以上命令,即可将其换算为我们习惯的系统日期。
最小修改时间间隔
最小修改间隔时间,也就是说,该字段规定了从第3 字段(最后一次修改密码的日期)起,多长时间之内不能修改密码。如果是0,则密码可以随时修改;如果是10,则代表密码修改后10 天之内不能再次修改密码。此字段是为了针对某些人频繁更改账户密码而设计的。
密码有效期
经常变更密码是个好习惯,为了强制要求用户变更密码,这个字段可以指定距离第3字段(最后一次更改密码)多长时间内需要再次变更密码,否则该账户密码进行过期阶段。该字段的默认值为99999,也就是 273 年,可认为是永久生效。如果改为90,则表示密码被修改 90 天之后必须再次修改,否则该用户即将过期。管理服务器时,通过这个字段强制用户定期修改密码。
密码需要变更前的警告天数
与第5 字段相比较,当账户密码有效期快到时,系统会发出警告信息给此账户,提醒用户"再过n 天你的密码就要过期了,请尽快重新设置你的密码!"。该字段的默认值是7,也就是说,距离密码有效期的第7 天开始,每次登录系统都会向该账户发出"修改密码"的警告信息。
密码过期后的宽限天数
也称为“口令失效日”,简单理解就是,在密码过期后,用户如果还是没有修改密码,则在此字段规定的宽限天数内,用户还是可以登录系统的;如果过了宽限天数,系统将不再让此账户登陆,也不会提示账户过期,是完全禁用。比如说,此字段规定的宽限天数是10,则代表密码过期10 天后失效;如果是0,则代表密码过期后立即失效;如果是-1,则代表密码永远不会失效。
账号失效时间
同第3 个字段一样,使用自1970 年 1 月 1 日以来的总天数作为账户的失效时间。该字段表示,账号在此字段规定的时间之外,不论你的密码是否过期,都将无法使用!该字段通常被使用在具有收费服务的系统中。
保留
这个字段目前没有使用,等待新功能的加入。
忘记密码怎么办
经常有读者会忘记自己的账户密码,该怎么处理呢?对于普通账户的密码遗失,可以通过root 账户解决,它会重新给你配置好指定账户的密码,而不需知道你原有的密码(利用root 的身份使用passwd 命令即可)。如果 root 账号的密码遗失,则需要重新启动进入单用户模式,系统会提供 root 权限的 bash 接口,此时可以用passwd 命令修改账户密码;也可以通过挂载根目录,修改/etc/shadow,将账户的root 密码清空的方法,此方式可使用root 无法密码即可登陆,建议登陆后使用passwd 命令配置root 密码。
观注快乐程序员公众号,每日分享一点小知识。爱编程,爱生活!
3565
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
