linux 用户、组 相关操作及说明

在UNIX系统里面，每个系统用户都由自己的环境变量来定义自己登录上来的shell、终端类型、路径等。Linux下Bshell用户登录后执行主目录下的.bash_profile，Cshell用户执行.cshrc_profile文件。

当以普通用户登录主机，而此用户的环境里没有定义系统命令所在的路径，如/usr/bin，/usr/sbin等；或在一些情况下TELNET上主机后也会遗失环境变量。

 

解决方法：

1.在绝对路径/usr/sbin中执行；

2.用root用户执行命令。用“su -”可以取得root用户的权限和环境（注：是“su -”不是“su”，因为“su”只取得root的权限，“su -”取得root权限后还执行root的profile来取得root的环境变量）

3.如果确定要使用非root用户的当前用户来执行命令，需要把系统路径加到该用户的.bash_profile或者.cshrc_profile文件中去

 

附：

useradd指令的用法

 

作用：账户建立或更新使用者的信息

语法：useradd<选项> 用户名

常用参数：

1. -c comment

新账号password档的说明栏

2. -d home_dir

新账号的家目录路径

3. -e expire_date

账号的截止日期，格式为MM/DD/YY

4. -f inactive_days

账号过期几日后永久封停。当值为0时账号立即被封停，当值为-1时则是关闭这个功能，默认为-1

5. -g initial_group

group名称或以数字来做为使用者登陆的起始组。组名必须是存在的名称

6. -G group,[...]

定义用户所属的其他组，可以有多个

7. -m [-k skeleton_dir]

用户家目录如果不存在则自动建立。如果使用-k选项，skeleton_dir内的文档会被复制到家目录下，而/etc/skel目录下的文档也会被复制过来

8. -M

强制不建立用户家目录，即使/etc/login.defs设定要建立家目录

9. -s

使用者登陆后使用的shell名称。预设是不填写，这样系统会指定预设的登陆shell

10. -u

手动设定用户的ID值，ID值必须是唯一的。

 

 

userdel指令的用法

 

作用：删除用户账号

语法：userdel[-r] 用户名

参数：

-r 连同账号的家目录一并删除

root:x:0:0:root:/root:/bin/bash 

　　bin:x:1:1:bin:/bin:/sbin/nologin 

　　daemon:x:2:2:daemon:/sbin:/sbin/nologin 

　　desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin 

　　mengqc:x:500:500:mengqc:/home/mengqc:/bin/bash 

　　在该文件中，每一行用户记录的各个数据段用“：”分隔，分别定义了用户的各方面属性。各个字段的顺序和含义如下： 

　　注册名：口令：用户标识号：组标识号：用户名：用户主目录：命令解释程序 

　　(1)注册名(login_name)：用于区分不同的用户。在同一系统中注册名是惟一的。在很多系统上，该字段被限制在8个字符(字母或数字)的长度之内；并且要注意，通常在Linux系统中对字母大小写是敏感的。这与MSDOS/Windows是不一样的。 

　　(2)口令(passwd)：系统用口令来验证用户的合法性。超级用户root或某些高级用户可以使用系统命令passwd来更改系统中所有用户的口令，普通用户也可以在登录系统后使用passwd命令来更改自己的口令。 

　　现在的Unix/Linux系统中，口令不再直接保存在passwd文件中，通常将passwd文件中的口令字段使用一个“x”来代替，将/etc /shadow作为真正的口令文件，用于保存包括个人口令在内的数据。当然shadow文件是不能被普通用户读取的，只有超级用户才有权读取。 

　　此外，需要注意的是，如果passwd字段中的第一个字符是“*”的话，那么，就表示该账号被查封了，系统不允许持有该账号的用户登录。 

　　(3)用户标识号(UID)：UID是一个数值，是Linux系统中惟一的用户标识，用于区别不同的用户。在系统内部管理进程和文件保护时使用 UID字段。在Linux系统中，注册名和UID都可以用于标识用户，只不过对于系统来说UID更为重要；而对于用户来说注册名使用起来更方便。在某些特 定目的下，系统中可以存在多个拥有不同注册名、但UID相同的用户，事实上，这些使用不同注册名的用户实际上是同一个用户。 

　　(4)组标识号(GID)：这是当前用户的缺省工作组标识。具有相似属性的多个用户可以被分配到同一个组内，每个组都有自己的组名，且以自己的组标 识号相区分。像UID一样，用户的组标识号也存放在passwd文件中。在现代的Unix/Linux中，每个用户可以同时属于多个组。除了在 passwd文件中指定其归属的基本组之外，还在/etc/group文件中指明一个组所包含用户。 

　　(5)用户名(user_name)：包含有关用户的一些信息，如用户的真实姓名、办公室地址、联系电话等。在Linux系统中，mail和finger等程序利用这些信息来标识系统的用户。 

　　(6)用户主目录(home_directory)：该字段定义了个人用户的主目录，当用户登录后，他的Shell将把该目录作为用户的工作目录。 在Unix/Linux系统中，超级用户root的工作目录为/root；而其它个人用户在/home目录下均有自己独立的工作环境，系统在该目录下为每 个用户配置了自己的主目录。个人用户的文件都放置在各自的 

　　主目录下。 

　　(7)命令解释程序(Shell)：Shell是当用户登录系统时运行的程序名称，通常是一个Shell程序的全路径名， 

　　如/bin/bash。 

　　需要注意的是，系统管理员通常没有必要直接修改passwd文件，Linux提供一些账号管理工具帮助系统管理员来创建和维护用户账号。 

　　Linux口令管理之/etc/passwd文件 

　　/etc/passwd文件是Linux/UNIX安全的关键文件之一.该文件用于用户登录时校验 用户的口令,当然应当仅对root可写.文件中每行的一般格式为: 

　　LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL 

　　每行的头两项是登录名和加密后的口令,后面的两个数是UID和GID,接着的 一项是系统管理员想写入的有关该用户的任何信息,最后两项是两个路径名: 一个是分配给用户的HOME目录,第二个是用户登录后将执行的shell(若为空格则 缺省为/bin/sh). 

　　(1)口令时效 

　　/etc/passwd文件的格式使系统管理员能要求用户定期地改变他们的口令. 在口令文件中可以看到,有些加密后的口令有逗号,逗号后有几个字符和一个 冒号.如: 

　　steve:xyDfccTrt180x,M.y8:0:0:admin:/:/bin/sh 

　　restrict:pomJk109Jky41,.1:0:0:admin:/:/bin/sh 

　　pat:xmotTVoyumjls:0:0:admin:/:/bin/sh 

　　可以看到,steve的口令逗号后有4个字符,restrict有2个,pat没有逗号. 

　　逗号后第一个字符是口令有效期的最大周数,第二个字符决定了用户再次 修改口信之前,原口令应使用的最小周数(这就防止了用户改了新口令后立刻 又改回成老口令).其余字符表明口令最新修改时间. 

　　要能读懂口令中逗号后的信息,必须首先知道如何用passwd_esc计数,计 数的方法是: 

　　.=0 /=1 0-9=2-11 A-Z=12-37 a-z=38-63 

　　系统管理员必须将前两个字符放进/etc/passwd文件,以要求用户定期的 修改口令,另外两个字符当用户修改口令时,由passwd命令填入. 

　　注意:若想让用户修改口令,可在最后一次口令被修改时,放两个".",则下 一次用户登录时将被要求修改自己的口令. 

　　有两种特殊情况: 

　　. 最大周数(第一个字符)小于最小周数(第二个字符),则不允许用户修改 口令,仅超级用户可以修改用户的口令. 

　　. 第一个字符和第二个字符都是".",这时用户下次登录时被要求修改口 令,修改口令后,passwd命令将"."删除,此后再不会要求用户修改口令. 

　　(2)UID和GID 

　　/etc/passwd中UID信息很重要,系统使用UID而不是登录名区别用户.一般 来说,用户的UID应当是独一无二的,其他用户不应当有相同的UID数值.根据惯 例,从0到99的UID保留用作系统用户的UID(root,bin,uucp等). 

　　如果在/etc/passwd文件中有两个不同的入口项有相同的UID,则这两个用 户对相互的文件具有相同的存取权限. 

　　/etc /group文件含有关于小组的信息,/etc/passwd中的每个GID在本文件中 应当有相应的入口项,入口项中列出了小组名和小组中的用户.这样可方便地了 解每个小组的用户,否则必须根据GID在/etc/passwd文件中从头至尾地寻找同组 用户. 

　　/etc/group文件对小组的许可权限的控制并不是必要的,因为系统用UID,GID (取自/etc/passwd)决定文件存取权限,即使/etc/group文件不存在于系统中,具 有相同的GID用户也可以小组的存取许可权限共享文件. 

　　小组就像登录用户一样可以有口令.如果/etc/group文件入口项的第二个域 为非空,则将被认为是加密口令,newgrp命令将要求用户给出口令,然后将口令加 密,再与该域的加密口令比较. 

　　给 小组建立口令一般不是个好作法.第一,如果小组内共享文件,若有某人猜 着小组口令,则该组的所有用户的文件就可能泄漏;其次,管理小组口令很费事, 因为对于小组没有类似的passwd命令.可用/usr/lib/makekey生成一个口令写入 /etc/group. 

　　以下情况必须建立新组: 

　　(1)可能要增加新用户,该用户不属于任何一个现有的小组. 

　　(2)有的用户可能时常需要独自为一个小组. 

　　(3)有的用户可能有一个SGID程序,需要独自为一个小组. 

　　(4)有时可能要安装运行SGID的软件系统,该软件系统需要建立一个新组. 

　　要 增加一个新组,必须编辑该文件,为新组加一个入口项. 由于用户登录时,系统从/etc/passwd文件中取GID,而不是从/etc/group中 取GID,所以group文件和口令文件应当具有一致性.对于一个用户的小组,UID和 GID应当是相同的.多用户小组的GID应当不同于任何用户的UID,一般为5位数,这 样在查看/etc/passwd文件时,就可根据5位数据的GID识别多用户小组,这将减少 增加新组,新用户时可能产生的混淆. 

用户列表文件：/etc/passwd
用户组列表文件：/etc/group

查看系统中有哪些用户：cut -d : -f 1 /etc/passwd
查看可以登录系统的用户：cat /etc/passwd | grep -v /sbin/nologin | cut -d : -f 1
查看用户操作：w命令(需要root权限)
查看某一用户：w 用户名
查看登录用户：who
查看用户登录历史记录：last

centos用户&组权限&添加删除用户问题详解
1.Linux操作系统是多用户多任务操作系统，包括用户账户和组账户两种
细分用户账户（普通用户账户，超级用户账户）除了用户账户以为还有组账户所谓组账户就是用户账户的集合，centos组中有两种类型，私有组和标准组，当创建一个新用户时，若没有指定他所属的组，centos就建立以个和该用户相同的私有组，此私有组中只包括用户自己。标准组可以容纳多个用户，如果要使用标准组，那创建一个新的用户时就应该指定他所属于的组，从另外一方面讲，同一个用户可以属于多个组，例如某个单位的领导组和技术组，lik是该单位的技术主管，所以他就是属于领导组和技术组。当一个用户属于多个组时，其登录后所属的组是主组，其它组为附加组。
 
2.Linux环境下的账户系统文件主要在/etc/passwd, /etc/shadow,/etc/group,和/etc/gshadow四个文件。基本含义就不多说了重点说一下，root的uid是0，从1-499是系统的标准账户，普通用户从uid 500开始。
 
3.使用命令管理账户
useradd 选项  用户名//添加新用户
usermod 选项  用户名//修改已经存在的用户
userdel -r    用户名//删除用户表示自家目录一起删除。
groupadd 选项  组名// 添加新组
groupmod 选项  组名//修改已经存在的组
groupdel 组名  //删除已经存在的特定组。
 
例子
useradd zhh888 //添加一个用户zh888
groupadd blog  //新建一个blog组
useradd -G blog zh //表示创建一个新用户zh，同时加入blog附加组中。
useradd -d /var/ftp/pub -M ftpadmin //创建一个新用户ftpadmin,指定目录是/var/ftp/pub,不创建自家目录（-M)
usermod -G blog zh888 //表示将zh888添加到附加组blog中去。
userdel ftpadmin //表示删除ftpadmin用户
userdel -r zhh888 //表示删除zh888和/home中的目录一起删除。
groupdel blog //表示删除blog组。
 
4.口令管理及时效
创建用户之后就要给用户添加密码，设置的口令的命令式passwd
passwd 选项  用户名
passwd -l 用户名账号名//禁止用户账户口令
passwd -S 用户名//表示查看用户账户口令状态
passwd -u 用户名//表示恢复用户账号
passwd -d 用户名//表示删除用户账户口令
 
5.chage 命令是保护密码的时效这样可以防止其他人猜测密码的时间。
chage 选项 用户名
参数有 -m days, -M days ,-d days, -I days ,-E date, -W days,-l
例子：#chage -m 2 -M 30 -W zhh//表示的意思是要求用户zhh两天内不能更改密码，并且口令最长存活期是30天，并且口令过期5天通知zhh
 
6.用户和组的状态查询命令
whoami //用于显示当前的用户名称。
groups 用户名//表示显示指定的用户所属的组，如果没指定用户则是当前用户所属的组。
id //表示显示当前用户的uid gid和用户所属的组列表。
su - 用户//表示转换到其他用户，如果su表示切换到自己的当前用户。
newgrp 组名//表示转换用户的当前组到指定的附加组，用户必须属于该组才能进行。
 
7.更改属主和同组人
有时候还需要更改文件的属主和所属的组。只有文件的属主有权更改其他属主和所属的组，用户可以把属于自己的文件转让给大家。改变文件属主用chown命令
chown [-R] <用户名或组><文件或目录>
chown zh888 files//把文件files属主改成zh888用户。
chown zh888.zh888 files//将文件files的属主和组都改成zh888。
chown -R zh888.zh888 files//将files所有目录和子目录下的所有文件或目录的主和组都改成zh888.


8.设置文件的目录和目录生成掩码
用户可以使用umask命令设置文件默认的生成掩码。默认的生成掩码告诉系统创建一个文件或目录不应该赋予哪些权限。如果用户将umask命令放在环境文件.bash_profile中，就可以控制所有新建的文件和目录的访问权限。
umask [a1a2a3]
a1表示的是不允许属主的权限，a2表示的是不允许同组人的权限，a3代表不允许其他人的权限。
umask 022//表示设置不允许同组用户和其他用户有写的权限。
umask //显示当前的默认生成掩码。
 
9.特殊权限的设置
SUID SGID 和sticky-bit
除了一般权限还有特殊的权限存在，一些特殊权限存在特殊的权限，如果用户不需要特殊权限一般不要打开特殊权限，避免安全方面的问题。具体的用法可以百度和google一下。
希望自己整理出来的知识能帮助网友更好的理解centos用户&组权限&添加删除用户等问题。