用户和用户组管理
一、用户配置文件
文件位置 | 文件用途 |
---|---|
/etc/passwd | 用户信息文件 |
/etc/shadow | 影子文件 |
/etc/group | 组信息文件 |
/etc/gshadow | 组密码文件 |
- 用户管理简介
- 所以越是对服务器安全性要求高的服务器,越需要建立合理的用户权限等级制度和服务器操作规范
- 在Linux中主要是通过用户配置文件来查看和修改用户信息
- /etc/passwd
- 第一字段:用户名称
- 第二字段:密码标志
- 第三字段:UID(用户ID)
0: 超级用户
1-499: 系统用户(伪用户)
500-65535:普通用户 - 第四字段: GID(用户初始组ID)
- 第五字段:用户说明
- 第六字段:家目录
普通用户: /home/用户名/
超级用户: /root/ - 第七字段:登录后的Shell
注1:现在的Linux系统中,一般不把用户的密码文件放置于passwd文件中,而是放在了shadow这个影子文件中。因为任何用户都可以读取passwd该文件,但是shadow只有root用户可以对其进行操作。
注2:
- 初始组:就是指用户一登录就立刻拥有这个用户的相关权限,每个用户的初始组只能有一个,一般就是和这个用户的用户名相同的组名作为这个用户的初始组。
- 附加组:指用户可以加入多个其他的用户组,并拥有这些组的权限,附加组可以有多个
注3:
- Shell就是Linux的命令解释器
- 在/etc/passwd当中,除了标准的Shell是/bin/bsh之外,还可以写入/sbin/nologin
- 影子文件/etc/shadow
- 第一字段:用户名
- 第二字段:加密密码
加密算法升级为SHA512散列加密算法
如果密码位是”!!“或” * “代表没有密码,不能登录 - 第三字段:密码最后一次修改日期
使用1970年1月1日作为标准时间,每过一天时间戳加1 - 第四字段:两次密码的修改间隔时间(和第3字段相比)
- 第五字段:密码有效期(和第三字段比较)
- 第六字段:密码修改到期前的警告天数(和第五字段相比)
- 第七字段:密码过期后的宽限天数(和第五字段相比)
0:代表密码过期后立刻生效
emsp; -1:则代表密码永远不会失效 - 第八字段:账号消失时间
要用时间戳表示 - 第九字段:保留
注:
- 把时间戳换算为日期
date -d ”1970-01-01 16066 days" - 把日期换算为时间戳
echo $(($(date --date=“2014/01/06” +%s)/86400+1))
- 组信息文件 /etc/group
- 第一字段:组名
- 第二字段:组密码标志
- 第三字段:GID
- 第四字段:组中附加用户
- 组密码文件/etc/gshadow
- 第一字段:组名
- 第二字段:组密码
- 第三字段:组管理员用户名
- 第四字段:组中附加用户
二、用户管理相关文件
- 用户的家目录
- 普通用户: /home/用户名/,所有者和所属组都是此用户,权限是700
- 超级用户: /root/,所有者和所属组都是root用户,权限是550
- 用户的邮箱
- /var/spool/mail/用户名/
- 用户模板目录
- /etc/skel/
三、用户管理命令
- 用户添加命令useradd命令格式
- $ useradd[选项] 用户名
选项:
-u UID: 手工指定用户的UID号
-d 家目录:手工指定用户的家目录
-c 用户说明:手工指定用户的说明
-g 组名:手工指定用户的初始组
-G 组名:指定用户的附加组
-s shell:手工指定用户的登录Shell,默认是/bin/bash
- 添加默认用户
- #useradd sc 使用语句后会对下面文件进行操作,可以用一下语句进行查看:
#grep sc /etc/passwd
#grep sc /etc/shadow
#grep sc /etc/group
#grep sc /etc/gshadow
#ll -d /home/lamp/
#ll /var/spool/mail/lamp
- 指定选项添加用户
- useradd -u 550 -G root,bin -d /home/lamp1 -c “test user” -s /bin/bash sc
- 用户默认值文件
- /etc/default/useradd
GROUP=100 #用户默认组
HOME=/home #用户家目录
INACTIVE=-1 #密码过期宽限天数(shadow文件7字段)
EXPIRE= #密码失效时间(8)
SHELL=/bin/bash #默认shell
SKEL=/etc/skel #模板目录
CREATE_MAIL_SPOOL=yes #是否建立邮箱
- 用户默认值文件
- /etc/login.defs
PASS_MAX_DAYS 9999 #密码有效期(5)
PASS_MIN_DAYS 0 #密码修改间隔(4)
PASS_MIN_LEN 5 #密码最小5位(PAM)
PASS_WARN_AGE 7 #密码到期警告
UID_MIN 500 #最小和最大UID范围
GID_MAX 60000
ENCRYPT_METHOD SH512 #加密模式
- 密码添加命令passwd命令格式
- $passwd [选项] 用户名
选项:
-S 查询用户密码的密码状态,仅root用户可用
-l 暂时锁定用户。仅root用户可用
-u 解锁用户。仅root用户可用
--stdin 可以通过管道符输出的数据作为用户的密码
- 查看密码状态
- $ passwd -S lamp
- lamp PS 2013-01-06 0 99999 7 -1
#用户名 密码设定时间(2013-01-06) 密码修改间隔时间(0)
#密码有效期(99999)警告时间(7)密码不失效(-1)
- 锁定用户和解锁用户
- #passwd -l lamp
- #passwd -u lamp
- 使用字符串作为用户的密码
- #echo “123” | passd --stdin lamp
- 修改用户信息usermod
- $ usermod[选项] 用户名
选项:
-u UID: 修改用户的UID号
-c 用户说明:修改用户的说明信息
-G 组名:修改用户的附加组
-L: 临时锁定用户(LOCK)
-U:解锁用户锁定(Unlock)
例子:
#usermod -c “test user” lamp #修改用户的说明
#usermod -G root lamp #把lamp用户入root组
#usermod -L lamp #锁定用户
#usermod -U lamp #解锁用户
- 修改用户密码状态chage
- $ chage[选项] 用户名
选项:
-l: 列出用户的详细密码状态
-d 日期:修改密码最后一次更改日期(shadow3字段)
-m 天数:两次密码修改间隔(4字段)
-M 天数:密码有效期(5字段)
-W 天数:密码过期前警告天数(6字段)
-I 天数: 密码过后宽限天数(7字段)
-E 日期: 账号失效时间(8字段)
-
#chage -d 0 lamp
#这个命令其实是把密码修改日期归0了(shadow第3字段)
#这样用户一登录就要修改密码 -
删除用户 userdel
- #userde [-r] 用户名
选项:
-r 删除用户的同时删除用户家目录
- 手工删除用户
- #vi /etc/passwd
- #vi /etc/shadow
- #vi /etc/group
- #vi /etc/gshadow
- #rm -rf /var/spool/mail/lamp
- #rm -rf /home/lamp/
-
查看用户ID
#id 用户 -
切换用户身份su
#su [选项] 用户名
选项:
- : 选项只使用“-”代表连带用户的环境变量一起切换
-c 命令:仅执行一次命令,而不切换用户身份
换用户的时候要su - root (减号不能省)
例子:
$su -r root #切换成root
$su - root -c “useradd user3” #不切换成root,但是执行useradd命令添加user1用户。
四、用户组管理命令
-
添加用户组
#groupadd [选项] 组名
选项:
-g GID 指定组ID -
修改用户组
#groupmod [选项] 组名
选项:
-g GID: 修改组ID
-n 新组名: 修改组名
例子:
#groupmod -n testgrp group1
#把组名group1 修改为testgrp -
删除用户组
#groupdel 组名 -
把用户添加入组或从组中删除
#gpasswd 选项 组名
选项:
-a 用户名:把用户加入组
-d 用户名:把用户从组中删除