LINUX 账号与群组的管理
UID:UserID 保存文件:/etc/passwd
GID:GroupID 保存文件:/etc/group
/etc/passwd 文件结构
一行代表一个账号,里面还有系统账号,不能乱动
例如:
root:x:0:0:root:/root:/bin/bash
总共7部分,用:分割
1. 账号名称:就是账号,与UID对应
2. 密码:加密了 变成XXX 放到/etc/shadow文件中了
3. UID: 这个就是使用者标识码
4. GID:这个就是组ID /etc/group
5. 使用者信息说明:就是个介绍
6. 主文件夹:这是使用者的主文件夹
7. Shell:登录之后的Shell 如果设置为:
/sbin/nologin 就无法取得shell
/etc/shadow 文件结构
例如:
root:$6$CrPIw79nrmdxd4wo$MjJ5e9xuxJ49BjwxkWKKhZk1QZse03TVr8bJOWTHnq2A5x98tFDFxhtsMhMk4X/P4urrZWb4tb3Xv3yvkMqCK.:17345:0:99999:7:::
一共9个字段,用:分割
1. 账号名称:与/etc/passwd对应
2. 密码:真正的密码数据,经过加密的,反正 人看不懂
3. 最近改动密码的日期 以1970.1.1开始一天加一
4. 密码不可被更动的天数
5. 密码需要重新变更的天数
6. 密码需要变更期限前的警告天数
7. 密码过期后的账号宽限时间
8. 账号失效日期:起始日期为1970.1.1
计算公式
9. 保留字段
$(($(date--date=”2015/05/04” +%s)/86400+1))
/etc/group 文件结构
与GID对应
root:x:0:lixue
bin:x:1:bin,daemon
daemon:x:2:bin,daemon
sys:x:3:bin,adm
总共四部分 用:分割
1. 群组名称 与GID 对应
2. 群组密码 通常不需要设置
3. GID 群组ID
4. 该群组 名下的 账号
每个账号 可以 属于多个群组
初始群组 /etc/passwd 的群组
有效群组 groups命令
[lixue@localhost ~]$ groups
lixue root
第一个就是有效群组
touch 一个文件试试
-rw-rw-r--. 1 lixue lixue 0 7月 30 17:29 test.txt
通常有效群组的作用是在新建文件
有效群组的切换
newgrp 命令
可以切换群组 ,条件是 必须是你已经有支持的群组
而且 是以新的shell运行的,如果要回到之前的shell,exit命令
/etc/gshadow
使用:分割 为4部分
root:::lixue
bin:::bin,daemon
daemon:::bin,daemon
sys:::bin,adm
1. 群组名称
2. 密码栏 如果!或空 表示 不具有群组管理员
3. 群组管理员的账号
4. 该群组名下的 用户
账号管理
新增与移除用户
useradd,usermod,userdel,passwd
useradd
–u UID
–g 初始群组
-G 次要群组
-M 强制不要创建使用者主文件夹
-m 强制要创建使用者主文件夹
-c 说明栏 一些介绍
-d 指定某个目录为主文件夹 ,不用默认的,必须为绝对路径
-r 创建一个系统账号,这个账号的UID会有限制
-s 后面接一个shell 若没有指定,默认为/bin/bash
-e 账号失效日期,格式为:“YYYY-MM-DD”
-f 0为立刻失效 -1 为永远不会失效
默认 主文件夹的权限为 700
系统会默认帮我们处理几个项目:
1. 在/etc/passwd 里面创建一行与账号相关的数据,包括创建UID/GID/主文件夹等
2. 在/etc/shadow里面将此账号的密码相关参数填入,但是尚未有密码
3. 在/etc/group里面加入一个与账号名称一模一样的群组名称
4. 在/home 下面创建一个与账号同名的目录作为使用者主文件夹,且权限为700
还需要用passwd 给用户设置密码
系统账号 –r 不会创建用户目录
useradd –D 调出 默认信息的参考信息
位置在/etc/default/useradd
GROUP=100
HOME=/home 基准目录
INACTIVE=-1 密码过期后是否会失效的设置值,0 代表密码过期立刻失效,-1代表密码永远不会失效
EXPIRE= 账号失效日期
SHELL=/bin/bash 默认使用的shell程序文件名
SKEL=/etc/skel 使用者主文件夹参考基准目录 主目录的框架
CREATE_MAIL_SPOOL=yes 创建使用者的mailbox
/var/spool/mail/
但是实际上却是组名和用户名一致
两种机制
私有群组机制
忽略GROUP=100
只有用户自己能进入自己的主文件夹
700权限的原因
公共群组机制
使用GROUP=100 这个设置值作为新建账号群组,因此每个账号都属于users,默认主文件夹大家都可以访问
UID/GID 参考值
/etc/login.defs
passwd 命令
-l lock 会将 /etc/shadow 第二栏 最前面加上! 是密码失效
-u unlock 意思
-S 列出密码相关参数,亦即 shadow文件的大部分信息
-n 参数为天数,shadow的第4个字段,多久不可修改密码天数
-x 参数为天数,shadow的第5个字段,多久内必须要更改密码
-w 参数为天数,shadow的第6个字段,密码过期前的警告天数
-i 参数为天数,shadow的第7个字段,密码失效日期
chage 命令
-l 列出该账号的详细密码参数
-d 后面接日期,修改 shadow 第三字段,最近一次更改密码的日期,格式 YYYY-MM-DD
-E 后面接日期,修改shadow 第八字段,账号失效日期,格式 YYYY-MM-DD
-I 后面接天数,修改shadow 第七字段,密码失效日期
-m 后面接天数,修改shadow 第四字段,密码最短保留天数
-M 后面接天数,修改shadow 第五字段,密码多久需要进行变更
-W后面接天数,修改shadow第六字段,密码过期前警告日期
usermod
-c 账号说明栏的内容,更改
-d 账号的主文件夹,即修改 /etc/passwd的第六栏
-e 后面接日期,格式 YYYY-MM-DD 也就是 /etc/shadow 内的第八个字段数据
-f 后面接天数,为shadow的第七字段
-g 初始群组 修改/etc/passwd 的第四个字段
-G 次要群组 修改 /etc/group
-a 新增次要群组 而非 设置
-l 修改账号名称
-s 后面接shell 实际文件 例如:/bin/bash
-u 后面接UID
-L lock改的是/etc/shadow第三栏的数据
-U unlock
uerdel 删除用户的相关数据
账号密码相关:/etc/passwd,/etc/shadow
使用者群组相关:/etc/group,/etc/gshadow
使用者个人文件数据:/home/username,/var/spool/mail/username
userdel –r username
-r 连同使用者的主文件夹也一起删除
使用者功能:
Id
uid=501(lixue) gid=501(lixue) 组=501(lixue),0(root)
finger
-s 仅列出使用者的账号、全名、终端机代号与登录时间
-m 列出与后面接的账号相同者,而不是利用部分比对
Login: 账号
Name:全名
Directory:主文件夹
Shell:就是使用的Shell文件所在
Never logged in:账户登录情况
No mail :信箱数据
No Plan: ~user/.plan文件
chfn
-f:改全名
-o:改办公室的房间号码
-p 改办公室的电话号码
-h 家里的电话号码
chsh
-l 列出目前系统上面可用的shell,其实就是/etc/shells的内容
新增与移除群组
groupadd
-g 接GID
-r 创建系统群组 与/etc/login.defs内的GID_MIN有关
groupmod
-g 修改GID
-n 修改组名
groupdel
直接删 没什么说的 组里面别有人,再不就是 把那个人 所属的这个组给干掉
gpasswd
-A 将groupname的主控权交由后面的使用者管理
-M 将某些账号加入这个群组当中
-r 将groupname 的密码移除
-R 让groupname的密码栏失效
-a 将某位使用者加入到groupname 这个群组当中
-d 将某位使用者移除出 groupname 这个群组当中