Linux ❉ 用户和用户组

最新推荐文章于 2023-05-20 14:36:57 发布

wangjie722703

最新推荐文章于 2023-05-20 14:36:57 发布

阅读量569

点赞数 1

分类专栏： Linux 文章标签： linux 服务器运维

本文链接：https://blog.csdn.net/wangjie72270/article/details/122511624

版权

Linux 专栏收录该内容

82 篇文章 6 订阅

订阅专栏

一用户和用户组的关系

1 介绍

（1）用户

        Linux 是多用户多任务操作系统，换句话说，Linux 系统支持多个用户在同一时间内登陆，不同用户可以执行不同的任务，并且互不影响。
        例如，某台 Linux 服务器上有 4 个用户，分别是 root、www、ftp 和 mysql，在同一时间内，root 用户可能在查看系统日志、管理维护系统；www 用户可能在修改自己的网页程序；ftp 用户可能在上传软件到服务器；mysql 用户可能在执行自己的 SQL 查询，每个用户互不干扰，有条不紊地进行着自己的工作。与此同时，每个用户之间不能越权访问，比如 www 用户不能执行 mysql 用户的 SQL 查询操作，ftp 用户也不能修改 www 用户的网页程序。
        不同用户具有不问的权限，毎个用户在权限允许的范围内完成不间的任务，Linux 正是通过这种权限的划分与管理，实现了多用户多任务的运行机制。
        因此，如果要使用 Linux 系统的资源，就必须向系统管理员申请一个账户，然后通过这个账户进入系统（账户和用户是一个概念）。通过建立不同属性的用户，一方面可以合理地利用和控制系统资源，另一方面也可以帮助用户组织文件，提供对用户文件的安全性保护。
        每个用户都有唯一的用户名和密码。在登录系统时，只有正确输入用户名和密码，才能进入系统和自己的主目录。

（2）用户组

        用户组是具有相同特征用户的逻辑集合。简单的理解，有时我们需要让多个用户具有相同的权限，比如查看、修改某一个文件的权限，一种方法是分别对多个用户进行文件访问授权，如果有 10 个用户的话，就需要授权 10 次，那如果有 100、1000 甚至更多的用户呢？
        显然，这种方法不太合理。最好的方式是建立一个组，让这个组具有查看、修改此文件的权限，然后将所有需要访问此文件的用户放入这个组中。那么，所有用户就具有了和组一样的权限，这就是用户组。
        将用户分组是 Linux 系统中对用户进行管理及控制访问权限的一种手段，通过定义用户组，很多程序上简化了对用户的管理工作。

2 用户和组的关系

用户和用户组的对应关系有以下 4 种：

一对一：一个用户可以存在一个组中，是组中的唯一成员；
一对多：一个用户可以存在多个用户组中，此用户具有这多个组的共同权限；
多对一：多个用户可以存在一个组中，这些用户具有和组相同的权限；
多对多：多个用户可以存在多个组中，也就是以上 3 种关系的扩展。

Linux 用户和组

二 UID和GID

登陆 Linux 系统时，虽然输入的是自己的用户名和密码，但其实 Linux 并不认识你的用户名称，它只认识用户名对应的 ID 号（也就是一串数字）。Linux 系统将所有用户的名称与 ID 的对应关系都存储在 /etc/passwd 文件中。用户名并无实际作用，仅是为了方便用户的记忆而已。

要论证 "Linux系统不认识用户名" 也很简单，在前面章节，我们曾经在网络上下载过 ".tar.gz" 或 ".tar.bz2" 格式的文件，在解压缩之后的文件中，你会发现文件拥有者的属性显示的是一串数字，这很正常，就是因为系统只认识代表你身份的 ID，这串数字就是用户的 ID（UID）号。

Linux 系统中，每个用户的 ID 细分为 2 种，分别是用户 ID（User ID，简称 UID）和组 ID（Group ID，简称 GID），这与文件有拥有者和拥有群组两种属性相对应

从图 1 中可以看到，该文件的拥有者是超级管理员 root，拥有群组也是 root。 Linux 系统不认识用户名，每个文件都有自己的拥有者 ID 和群组 ID，当显示文件属性时，系统会根据 /etc/passwd 和 /etc/group 文件中的内容，分别找到 UID 和 GID 对应的用户名和群组名，然后显示出来。

在 /etc/passwd 文件中，利用 UID 可以找到对应的用户名；在 /etc/group 文件中，利用 GID 可以找到对应的群组名。

做个小实验，所用的 Linux 系统中常用的有两个账户，分别为 root 超级管理员账户和 wangjie普通账户，我们先使用 root 账号登陆并 Vim /etc/passwd，在该文件中找到 wangjie 账户并将其 UID 随意改一个数字，这时当你查看普通账户拥有的文件时，你会发现所有文件的拥有者不再是 wangjie，而是数字。

# 查看系统中是否存在wangjie这个用户
[root@livecd ~]#grep 'wangjie' /etc/passwd
c.biancheng.net:x:1001:1001:wangjie:/home/centoslive:/bin/bash
[root@livecd ~]#ll -d /home/wangjie
drwx------. 23 wangjie wangjie 4096 Apr 9 09:37 /home/wangjie
[root@livecd ~]#vim /etc.passwd
#修改wangjie账户中的UID（1001）为 2000
[root@livecd ~]#ll -d /home/wangjie
drwx------. 23 wangjie wangjie 4096 Apr 9 09:37 /home/wangjie
#可以看到，之前的 wangjie 变为了 2000，因为修改了UID，导致 1001 找不到对应的账号，因此显示数字
#记得最后将其再手动改正过来
[root@livecd ~]#vim /etc.passwd
#修改c.biancheng.net账户中的UID从 2000 改为 1001

# 由于 c.biancheng.net 账户的 UID 已经改为 2000，但其 home 目录却记录的是 500，会导致此用户再次登录时无法进入自己的home目录。
！！注意，本节为了说明 ID 和用户名的对应关系，所以才将 /etc/passwd 文件中用户的 UID 做了更改。
！！此操作很可能会导致某些程序无法进行，因此 /etc/passwd 文件不能随意修改。

三 /etc/passwd和/etc/shadow（影子文件）

/etc/passwd和/etc/shadow详解https://blog.csdn.net/wangjie72270/article/details/121900027

centos6

超级用户 UID=0 root
普通用户 UID=500起 oldboy
虚拟用户 UID=1-499 存在满足文件或者服务启动的需要。一般不需要登录;（傀儡）

centos7

超级用户 UID=0 root
普通用户 UID=1001起
虚拟用户 UID=1-1000 存在满足文件或者服务启动的需要。一般不需要登录;

四 /etc/group文件

[root@192 ~]# head /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
# 组名：密码：GID：该用户组中的用户列表

/ect/group 文件是用户组配置文件，即用户组的所有信息都存放在此文件中，此文件是记录组 ID（GID）和组名相对应的文件。前面讲过，etc/passwd 文件中每行用户信息的第四个字段记录的是用户的初始组 ID，此 GID 的组名就要从 /etc/group 文件中查找。

此文件中每一行各代表一个用户组。在前面章节中，我们曾创建 lamp 用户，系统默认生成一个 lamp 用户组，在此可以看到，此用户组的 GID 为 502，目前它仅作为 lamp 用户的初始组。

各用户组中，还是以 "：" 作为字段之间的分隔符，分为 4 个字段，每个字段对应的含义为：组名：密码：GID：该用户组中的用户列表

1 组名

也就是是用户组的名称，有字母或数字构成。同 /etc/passwd 中的用户名一样，组名也不能重复。

2 组密码

和 /etc/passwd 文件一样，这里的 "x" 仅仅是密码标识，真正加密后的组密码默认保存在 /etc/gshadow 文件中。

不过，用户设置密码是为了验证用户的身份，用户组密码主要是用来指定组管理员的，由于系统中的账号可能会非常多，root 用户可能没有时间进行用户的组调整，这时可以给用户组指定组管理员，如果有用户需要加入或退出某用户组，可以由该组的组管理员替代 root 进行管理。但是这项功能目前很少使用，我们也很少设置组密码。如果需要赋予某用户调整某个用户组的权限，则可以使用 sudo 命令代替。

3 组ID (GID)

就是群组的 ID 号，Linux 系统就是通过 GID 来区分用户组的，同用户名一样，组名也只是为了便于管理员记忆。这里的组 GID 与 /etc/passwd 文件中第 4 个字段的 GID 相对应，实际上，/etc/passwd 文件中使用 GID 对应的群组名，就是通过此文件对应得到的。

4 组中的用户

        此字段列出每个群组包含的所有用户。需要注意的是，如果该用户组是这个用户的初始组，则该用户不会写入这个字段，可以这么理解，该字段显示的用户都是这个用户组的附加用户。

        举个例子，lamp 组的组信息为 "lamp:x:502:"，可以看到，第四个字段没有写入 lamp 用户，因为 lamp 组是 lamp 用户的初始组。如果要查询这些用户的初始组，则需要先到 /etc/passwd 文件中查看 GID（第四个字段），然后到 /etc/group 文件中比对组名。

        每个用户都可以加入多个附加组，但是只能属于一个初始组。所以我们在实际工作中，如果需要把用户加入其他组，则需要以附加组的形式添加。例如，我们想让 lamp 也加入 root 这个群组，那么只需要在第一行的最后一个字段加入 lamp，即 root:x:0:lamp 就可以了。

        一般情况下，用户的初始组就是在建立用户的同时建立的和用户名相同的组。

五 /etc/gshadow文件

/etc/passwd 文件存储用户基本信息，同时考虑到账户的安全性，将用户的密码信息存放另一个文件 /etc/shadow 中。本节要将的 /etc/gshadow 文件也是如此，组用户信息存储在 /etc/group 文件中，而将组用户的密码信息存储在 /etc/gshadow 文件中

[root@192 ~]# head -n 3 /etc/gshadow
root:::
bin:::
daemon:::
# 每行代表一个组用户的密码信息，各行信息用 ":" 作为分隔符分为 4 个字段：
# 组名：加密密码：组管理员：组附加用户列表

1 组名

同 /etc/group 文件中的组名相对应。

2 组密码

对于大多数用户来说，通常不设置组密码，因此该字段常为空，但有时为 "!"，指的是该群组没有组密码，也不设有群组管理员。

3 组管理员

从系统管理员的角度来说，该文件最大的功能就是创建群组管理员。考虑到 Linux 系统中账号太多，而超级管理员 root 可能比较忙碌，因此当有用户想要加入某群组时，root 或许不能及时作出回应。这种情况下，如果有群组管理员，那么他就能将用户加入自己管理的群组中，也就免去麻烦 root 了。
不过，由于目前有 sudo 之类的工具，因此群组管理员的这个功能已经很少使用了。

4 组中的附加用户

该字段显示这个用户组中有哪些附加用户，和 /etc/group 文件中附加组显示内容相同。

六初始组和附加组

群组可以让多个用户具有相同的权限，同时也可以这样理解，一个用户可以所属多个群组，并同时拥有这些群组的权限，这就引出了初始组（有时也称主组）和附加组。/etc/passwd 文件中每个用户信息分为 7 个字段，其中第 4 字段（GID）指的就是每个用户所属的初始组，也就是说，当用户一登陆系统，立刻就会拥有这个群组的相关权限。

[root@localhost ~]# useradd lamp  # 添加新用户
[root@localhost ~]# groupadd users  # 添加新群组
[root@localhost ~]# usermod -G users lamp  # 将用户lamp加入 users群组
[root@localhost ~]# grep "lamp" /etc/passwd /etc/group /etc/gshadow
/etc/passwd:lamp:x:501:501::/home/lamp:/bin/bash
/etc/group:users:x:100:lamp
/etc/group:lamp:x:501:
/etc/gshadow:users:::lamp
/etc/gshadow:lamp:!::

        可以看到，在 etc/passwd 文件中，lamp 用户所属的 GID（群组 ID）为 501，通过搜索 /etc/group 文件得知，对应此 GID 的是 lamp 群组，也就是说，lamp 群组是 lamp 用户的初始组。
        lamp 群组是添加 lamp 用户时默认创建的群组，在 root 管理员使用 useradd 命令创建新用户时，若未明确指定该命令所属的初始组，useradd 命令会默认创建一个同用户名相同的群组，作为该用户的初始组。
        正因为 lamp 群组是 lamp 用户的初始组，该用户一登陆就会自动获取相应权限，因此不需要在 /etc/group 的第 4 个字段额外标注。
        但是，附加组就不一样了，从例子中可以看到，我们将 lamp 用户加入 users 群组中，由于 users 这个群组并不是 lamp 的初始组，因此必须要在 /etc/group 这个文件中找到 users 那一行，将 lamp 这个用户加入第 4 段中（群组包含的所有用户），这样 lamp 用户才算是真正加入到 users 这个群组中。
        在这个例子中，因为 lamp 用户同时属于 lamp 和users 两个群组，所在，在读取\写入\运行文件时，只要是 user 和 lamp 群组拥有的功能，lamp 用户都拥有。
        一个用户可以所属多个附加组，但只能有一个初始组。那么，如何知道某用户所属哪些群组呢？使用 groups 命令即可。

# 以 lamp 用户的身份登录系统，通过执行如下命令即可知晓当前用户所属的全部群组：
[lamp@localhost ~]$ groups
lamp users
# 第一个出现的为用户的初始组，后面的都是附加组

lamp 用户同时属于 lamp 群组和 users 群组，而且，第一个出现的为用户的初始组，后面的都是附加组，所以 lamp 用户的初始组为 lamp 群组，附加组为 users 群组。

七用户和用户组文件的关系

/etc/passwd、/etc/shadow、/etc/group之间的关系可以这样理解，即先在 /etc/group 文件中查询用户组的 GID 和组名；然后在 /etc/passwd 文件中查找该 GID 是哪个用户的初始组，同时提取这个用户的用户名和 UID；最后通过 UID 到 /etc/shadow 文件中提取和这个用户相匹配的密码。