linux 用戶與組管理詳解

##用戶與組的分類
Linux系統對用戶分配如下:
－系統管理員：root
－普通用戶：普通用戶分為以下兩種
          系統用戶：系統用戶通常是不可登陸的，執行某些服務及進程的帳號
          登錄用戶：一般用戶，
    我們登錄linux系統時，輸入的是我們的帳號，但是linux系統并不會直接識別你的帳號，而是通過我們建立帳號時系統分配的ID號碼，對于用戶類型ID分配如下：
     -系統管理員ID：0 (root用戶ID)
     -普通用戶ID：1~65535，
           系統用戶ID：１～499(CentOS 6),1 ~999(CentOS 7)
          登錄用戶ID：500～+(CentOS 6),1000~+(CentOS 7)
    在建立用戶帳號時，系統會為用戶帳號分配至少兩個ID，一個用戶ID(UserID，簡稱UID)，一個用戶組ID(GroupID，簡稱GID)，上面是UID，下面了解一下GID：
    -管理員組：0 (root組ID) 
    -普通組：1~65535，
          系統組ID：１～499(CentOS 6),1 ~999(CentOS 7)
          非系統組ID：500～+(CentOS 6),1000~+(CentOS 7)
    對于一個用戶而言，只有唯一個UID，但是可以有多個不同的組，分別為主組和附加組，主組組名與用戶名相同，且只有一個用戶，也可以稱為私有組。主組以外的組為附加組。
##相關的配置文件
###用戶和組的相關配置文件如下：
/etc/passwd: 用戶帳號的相關信息
/etc/group: 組帳號的相關信息
/etc/shadow: 用戶密碼及相關屬性
/etc/gshadow: 組密碼及相關屬性
###配置文檔詳解：
####/etc/passwd:文件結構
[root@smartwy ~]# cat /etc/passwd | grep 'wangye'　

　　　　　wangye:x:1008:1008:samrtwy:/home/wangye:/bin/bash

passwd文件以":"將信息分為7字段，各字段意義如下：
1字段：用戶名稱
２字段：用戶密碼,早期密碼就在這個字段，后因安全問題，改放到/etc/shadow
3字段：UID，該帳號是登錄用戶，UID(CentOS7)分配為1000+
4字段：GID
5字段：對用戶的說明信息，(注釋)
6字段：用戶的家目錄
7字段：用戶的shell
 
####/etc/group:文件結構
[root@smartwy ~]# cat /etc/group | grep 'wangye'
wangye:x:1008:

group文件以":"將信息分為４字段，各字段意義如下：
1字段：組名稱
2字段：用戶組密碼,因安全問題，改放到/etc/gshadow
3字段：GID
4字段：以此組為附加組的用戶名稱
 
####/etc/shadow:文件結構
[root@smartwy ~]# cat /etc/shadow | grep 'wangye'

wangye:!!:17251:0:99999:7:::

shadow文件以":"將信息分為４字段，各字段意義如下：
1字段：用戶名稱
2字段：用戶密碼,該用戶暫未設置密碼
3字段：最后一次變更密碼的日期，從1970年1月1日開始計算
4字段：密碼變更鎖定天數，與第3段相比鎖定天數過后才可變更密碼
5字段：密碼使用期限，與第3段相比在此天數內需要重設你的密碼
6字段：密碼變更前警告期，與第5段相比密碼快要到期時，系統會依據這個字段的天數設置發出"警告"
7字段：密碼過期寬限時間，在此天數內用戶沒有登錄變更密碼，那么該帳號的密碼將會"失效"
8字段：帳號失效日期，無論密碼是否過期，這個帳號都不能再被使用
9字段：保留字段
 
**建議：密碼的復雜性策略**
**1，使用數字，大寫字母，小寫字母及特殊符號中至少3種**
**2，使用非規律密碼且足夠長**
**3，定期更換**

####/etc/gshadow:文件結構
[root@smartwy ~]# cat /etc/gshadow | grep 'wangye'
wangye:!::

gshadow文件以":"將信息分為４字段，各字段意義如下：
1字段：組名稱
2字段：用戶組密碼,該用戶組暫未設置密碼
3字段：用戶組管理者，缺省代表沒有管理者
4字段：組內用戶列表，因為這是用戶的私有組所以沒有其他用戶
##用戶和組管理命令
###新增，變更與刪除用戶：useradd,passwd,chage,usermod,userdel
useradd：新建用戶
[root@smartwy ~]# useradd [OPTIONS] username
[OPTIONS]選項參數如下：
-u:指定UID
-g:指定GID(此組需存在)
-G:指定用戶附加組，多個附加組需使用逗號分隔開(此組需存在)
-c:指定注釋信息
-d:指定用戶家目錄
-s:指定shell，可在/etc/shells文件里查看shell可用種類
-r:創建系統用戶
-D:修改用戶默認選項(修改的是/etc/default/useradd中選項)

passwd：添加密碼
[root@smartwy ~]# passwd [OPTIONS] username
[OPTIONS]選項參數如下：
-l:鎖定指定用戶密碼
-u:解鎖指定用戶密碼
-d:清除指定用戶密碼
-e:終止用戶密碼，強制用戶修改密碼
-i:非活動期限
-n:指定密碼最短試用期
-x:密碼最長使用期限
-w:提前多少天警告變更密碼
–stdin:echo "12345678" | passwd –stdin username,將12345678設定為username的密碼，一般用于批量新建用戶初始密碼

chage：修改密碼參數
[root@smartwy ~]# chage [OPTIONS] username
[OPTIONS]選項參數如下：
-l:列出該用戶的密碼詳細參數
-d:修改shadow第3段(最后一次變更密碼的日期)設定為0時，用戶首次登錄需要變更密碼
-m:修改shadow第4段(密碼變更鎖定天數)
-M:修改shadow第5段(密碼使用期限)
-W:修改shadow第6段(密碼變更前警告期)
-I:修改shadow第7段(密碼過期寬限時間)
-E:修改shadow第8段(帳號失效日期)

usermod：用戶屬性修改
[root@smartwy ~]# usermod [OPTIONS] username
[OPTIONS]選項參數如下：
-u:指定UID
-g:指定GID(此組需存在)
-G:指定用戶附加組，多個附加組需使用逗號分隔開(此組需存在)
-c:指定注釋信息
-d:指定用戶家目錄
-s:指定shell，可在/etc/shells文件里查看shell可用種類
-r:創建系統用戶
-l:更改用戶名
-L:鎖定用戶，密碼前添加"!"
-U:解鎖用戶,去掉密碼前的"!"

userdel：刪除用戶
[root@smartwy ~]# userdel [OPTIONS] username
[OPTIONS]選項參數如下：
－r:刪除用戶家目錄

###新增，變更與刪除組：groupadd,gpasswd,groupmod,groupdel

groupadd：新建組
[root@smartwy ~]# groupadd [OPTIONS] groupname
[OPTIONS]選項參數如下：
-g:指定GID
-r:創建系統組

gpasswd：組密碼
[root@smartwy ~]# gasswd [OPTIONS] groupname
[OPTIONS]選項參數如下：
-a user:將用戶user添加進該組
-d user:將用戶user移除該組
-A userlist:設置有組管理權限的用戶列表

groupmod：組屬性修改
[root@smartwy ~]# groupmod [OPTIONS] groupname
[OPTIONS]選項參數如下：
-g:修改GID
-n:修改組名稱

groupdel：刪除組
[root@smartwy ~]# groupdel groupname

##擴展id與su
###id:查看用戶相關ID信息
[root@smartwy ~]# id [OPTIONS]… [USER] 
[OPTIONS]選項參數如下：
-g:查看該組GID
-u:查看該用戶ID
###su:切換用戶
[root@smartwy ~]# su  [user[args]] 
非登錄式切換，不會讀取目標用戶的配置文件
[root@smartwy ~]# su – [user[args]] 
登錄式切換，讀取目標用戶的配置文件
**注意：root切換其它用戶無需密碼，非root切換用戶時需要密碼**