文章目录
一、用户账号和组账号概述
Linux基于用户身份对资源访问进行控制
-
用户账号:
超级用户、普通用户、程序用户
(1).超级用户:root 用户是 Linux 操作系统中默认的超级用户账号,对本主机拥有最高的权限。系统中超级用户是唯一的。
(2).普通用户:由root用户或其他管理员用户创建,拥有的权限会受到限制,一般只在用户自己的宿主目录中拥有完整权限。
(3).程序用户:在安装Linux操作系统及部分应用程序时,会添加一些特定的低权限用户账号,这些用户一般不允许登录到系统,仅用于维持系统或某个程序的正常运行,如 bin、daemon、ftp、mail 等。 -
组账号:
基本组(私有组):基本组账号只有一个,一般为创建用户时指定的组。
在/etc/passwd文件中第4字段记录的即为该用户的基本组 GID 号。
附加组(公共组):用户除了基本组以外,额外添加指定的组。 -
UID和GID
UID(User IDentity,用户标识号)
GID(Group IDentify,组标识号)
root 用户账号的 UID和GID 号为固定值 0
程序用户账号的 UID和GID 号默认为Centos5,6: 1~499;Centos7:1~999
普通用户的 UID和GID 号默认为Centos5,6:500~65535;Centos7:1000~65535
二、用户账号文件/etc/passwd
基于系统运行和管理需要, 所有用户都可以访问/etc/passwd文件中的内容,但是只有root用户才能进行更改。
在早期的UNIX操作系统中,用户帐号的密码信息是保存在passwd文件中的,不法用户可以很容易的获取密码字串并进行暴力破解,因此存在一定的安全隐患。后来经改进后,将密码转存入专门的shadow文件中,而passwd文件中仅保留密码占位符“x”。
每一行对应一个用户的账号记录
- 保存用户名称、宿主目录、登录shell等基本信息
文件位置:/etc/passwd
每一行对应一个用户的账号记录
root:x:0:0:root:/root:/bin/bash
字段1:用户帐号的名称 (root)
字段2:用户密码占位符“x”(x)
字段3:用户帐号的UID号(0)
字段4:所属基本组帐号的GID号(0)
字段5:用户全名(root)
字段6:宿主目录(/root)
字段7:登录Shell信息(/bin/bash为可登陆系统,/sbin/nologin和/bin/false为禁止用户登陆系统;)
/sbin/nologin和/bin/false的区别
/sbin/nologin被禁止后他会有给响应
/bin/false被禁止无响应
三、用户账号文件/etc/shadow
- 保存用户的密码、账号有效期等信息
默认只有 root 用户能够读取 /etc/shadow 文件中的内容,且不允许直接编辑该文件中的内容。
文件位置:/etc/shadow
每一行对应一个用户的密码记录
root:$6$LX6gJ4.NzHDXQH0p$S3yCdhMrJBf.Hr6KkGFmw5NPY7XJG7xNnmWidH6N/fl17X9x1KFjUfA17v2GJqMWgRne8pBX5p3teZn5BbVh.0::0:99999:7:::
字段1:用户帐号的名称(root)
字段2:使用MD5加密的密码字串信息,当为“*”或“!!”时表示此用户不能登录到系统。若该字段内容为空,则该用户无须密码即可登录系统($6$VyOUGqOC$v5HlLM1wagZC/FwGfnrtJFnlT)
字段3:上次修改密码的时间,表示从1970年01月01日算起到最近一次修改密码时间隔的天数(18445)
字段4:密码的最短有效天数,自本次修改密码后,必须至少经过该天数才能再次修改密码。默认值为0,表示不进行限制(0)
字段5:密码的最长有效天数,自本次修改密码后,经过该天数以后必须再次修改密码。默认值为99999,表示不进行限制(99999)
字段6:提前多少天警告用户密码将过期,默认值为7(7)
字段7:在密码过期之后多少天禁用此用户(空)
字段8:帐号失效时间,此字段指定了用户作废的天数(从1970年01月01日起计算),默认值为空,表示账号永久可用。(空)
字段9:保留字段(未使用)(空)
注:字段7、8、9使用较少,一般使用默认,了解即可
四、用户账号
添加用户账号 useradd 或者 adduser
-
在/etc/passwd 文件和/etc/shadow 文件的末尾增加该用户账号的记录。
-
若未明确指定用户的宿主目录,则在/home目录下自动创建与该用户账号同名的宿主目录,并在该目录中建立用户的各种初始配置文件。
-
若没有明确指定用户所属的组,则自动创建与该用户账号同名的基本组账号,组账号的记录信息将保存到/etc/group 和/etc/gshadow 文件中。
在使用 useradd或者adduser添加一个用户的时候,是不能进行任何操作的,因为没有将这个用户进行激活。只有给这个用户配置一个密码之后才能被激活,然后才能进行操作。 -
useradd命令
useradd [选项]... 用户名 或 adduser [选项] 用户名
- 常用选项
选项 | 作用 |
---|---|
-u | 指定用户的 UID 号,要求该 UID 号码未被其他用户使用。 |
-d | 指定用户的宿主目录位置(当与-M 一起使用时,不生效)。只能用绝对路径指定目录,且不需要事先创建目录 |
-e | 指定用户的账户失效时间,可使用 YYYY-MM-DD 的日期格式。 |