Linux用户和用户组

Linux是多用户、多任务操作系统

一般来说，一个服务分配一个用户，这个用户只拥有这个服务相关文件的相关权限，如果用户不需要登陆，连密码都可以不分配，一般来说，非法分子都是获取当前进程的的权限来攻击服务器，而不是取得某个用户的用户名和密码。

一、/etc/passwd

vim /etc/passwd

man 5 /etc/passwd // 查看配置文件帮助

每一行对应一个用户，7个字段含义如下

1 用户名称

2 密码标志 // 早期密码在这里，后来改到/etc/shadow里,这里就只有一个标记了，x表示用户有密码

3 UID（用户ID）

0：超级用户，可以把普通用户的UID修改为0就成为了管理员，可以重叠

1-499：系统用户（伪用户），这些用户不能删除，

500-65535：普通用户

4 GID（用户初始组ID），建立用户是会同时建立一个初始组，一个用户只能属于一个初始组，但是可以挂在其他的附加组。

5 用户说明

6 家目录

7 登陆之后的Shell，命令解释器，标准的/bin/bash，还有/sbin/nologin伪用户

二、 /etc/shadow影子文件

vim /etc/shadow

  

每个用户一行，shadow文件的权限为000

1 用户名

2 加密密码        

3 设置密码的时间，单位是天，1970年1月1日开始

4 两次修改密码的间隔，单位天，设置天数内不许修改

5 密码有效期

6 密码到期前几天开始警告

7 密码过期后的宽限天数，0：过期后立即失效，-1：密码永远不会失效

8 账号失效时间，要用时间戳表示

9 保留位

换算时间戳

三、 /etc/group // 组信息文件

没添加一个用户，就会生成一个和用户名一样的组，作为用户的初始组

1 组名

2 组密码标志，组密码并不常见

3 GID

4 组中附加用户

四、 /etc/gshadow // 组影子文件

1 组名

2 组密码，不推荐使用

3 组管理员用户名，如果设置了

4 组中附加用户

添加用户时如果不指定组，就会生成一个和用户名相同的组。

5 用户管理相关文件

用户的家目录

普通用户：/home/用户名，自动建立，权限为700

超级用户：/root/,权限是550，权限形同虚设，

用户的邮箱

/var/spool/mail/用户名/

用户模板目录

新建用户的家目录里会从这里拷贝文件，/home/wang/

/etc/skel/

Linux下用户分为三种：

@ 超级用户

@ 普通用户

@ 虚拟用户/伪用户 // 不能登陆系统，满足系统进程对文件属主的要求。

组的出现是为了让权限可批量分配给用户

一个用户可以属于多个组，他将拥有多个组的权限集合

一个用户至少属于一个组

6 添加用户

adduser bob1 // 添加用户，没有指定组

产生的影响有：

/etc/passwd

/etc/shadow

/etc/group

/etc/gshadow

/home/bob1 // 生成bob1家目录

/var/spool/mail/bob1 // 生成bob1邮箱目录

选项

-u UID // 手动指定用户UID，不建议手动设定

-d 家目录 // 不建议手动设定

-c 用户说明 //

-g 组名 // 初始组，不建议设定

-G // 附加组，用逗号分隔多个组

-s shell // 制定shell

useradd -u 666 -G root,bin -c "test user" -d /liming -s /bin/bash liming

添加用户默认值文件

/etc/default/useradd // 添加用户时默认的参数

GROUP=100 // 现在已经不是这样，直接新建了同名组

HOME=/home

INACTIVE // 密码过期宽限天数

EXPIRE= // 密码失效时间(8)

SHELL=/bin/bash // shell

SKEL=/etc/skel // 模板目录

CREATE_MAIL_SPOLL=yes // 是否建立邮箱

用户登陆配置默认配置

/etc/login.defs

PASS_MAX_DAYS 999999 // 密码有效期

...

7 设置密码

passwd bob1 // root给用户bob1设置/修改密码，不需要提供旧密码

passwd // 普通用户给自己修改密码，需要提供旧密码

passwd -S bob1 // root常看普通用户的密码状态

passwd -l bob1 // 管理员锁定普通用户，实际将shadow文件里的密文串修改了

passwd -u bob1 // 管理员解锁普通用户

echo "123" | passwd --stdin bob1 //设置密码为123

8 修改用户信息

usermod和useradd的选项一样，只是一个是添加用户一个是修改已存在的用户

usermod -c "test user" bob1 // 添加用户说明

usermod -G root bob1 // 加入到附加root组

usermod -L bob1 // 锁定用户的另一种方法

usermod -U bob1 // 解锁用户

9 修改用户密码状态

直接修改shadow文件更加直观

chage -l bob1 // 列出用户的详细密码状态

chage -d // 修改密码最后一次更改日期（shadow 第3字段）

chage -m // 两次密码修改间隔（4）

chage -M // 密码有效期（5）

chage -W // 密码过期前警告天数（6字段）

chage -I // 密码过期后宽限天数（7）

chage -E // 账号失效时间（8）

chage -d 0 bob1 // 将密码修改日期归0，这样用户一登陆就必须修改密码

10 删除用户

userdel -r bob1 // 删除用户的同时删除家目录，-r删家目录

手工删除用户

vi etc/passwd

vi etc/shadow

vi etc/group

vi etc/gshadow

rm -rf /var/spool/mail/bob1

rm -rf /home/bob1/

11 用户切换命令

su - root // 一定连同环境变量一起切换，杠没有就没有切换环境变量，会引发不可预测错误

env // 查看当前用户环境变量

su - bob1 // 超级用户切换普通用户，不需要输入密码

su - root -c "useradd user" // 不切换root，但是使用一次root身份来执行命令

id // 查看当前用户信息

whoami // 查看当前有效用户（su 切换的用户）

who am i // 查看当前实际用户（登陆用户）揭穿马甲

12 用户组管理

groupadd -g 500 // 手动指定GID，一般直接groupadd room401

groupmod -n room501 room401 // 修改组名401为501

groupmod -g 555 // 修改GID

groupdel room401 // 直接删，组没有家目录

一个组是一个用户的初始组，那么这个组是不可以被删除的，除非先删除用户

gpasswd -a user1 root // 将user1加入到root组，是附加组

gpasswd -d user1 root // 将user1从root组删除

groupadd -r mysql // 添加一个系统组，没有家目录，ID号小于500

13

chown -R bob1:mygroup /etc/test // 递归修改目录的所有者和所属组

chown -R bob1.mygroup /etc/test // 也可以用点