Linux用戶和組

我們知道Linux是一個多用戶多任務的操作系統，任何一個要使用系統資源的用戶，都必須首先向系統管理員申請一個賬號，然后以這個賬號的身份進入系統。由于是多用戶操作系統，必然要涉及到時管理用戶。由于用戶訪問Linux上的資源比較多，為了方便管理出現的組的概念.將多個用戶添加到一個組里，方便管理。

介紹安全3A

資源分派：

• Authentication：認證
• Authorization：授權
• Accouting|Audition：審計

用戶user

令牌token,identity
Linux用戶：Username/UID
管理員：root, 0
普通用戶：1-65535
系統用戶：1-499, 1-999 （CentOS7）
對守護進程獲取資源進行權限分配
登錄用戶:500+, 1000+（CentOS7）
交互式登錄

組group

Linux組：Groupname/GID
管理員組：root, 0
普通組：
系統組：1-499, 1-999（CENTOS7）
普通組：500+, 1000+（CENTOS7）

組的類別

用戶的主要組(primary group)
Linuxk 中管理員創建一個用戶，默認組名和用戶名是一樣的，用戶必須屬于一個且只有一個主組（私有組）
用戶的附加組(supplementary group)
一個用戶可以屬于零個或多個輔助組

用戶和組的配置文件

/dev/passwd:用戶及其屬性信息(名稱、UID、主組ID等）

格式 ： name:password:UID:GID:GECOS:directory:shell

• login name：登錄用名（wang）
• passwd：密碼 (x)
• UID：用戶身份編號 (1000)
• GID：登錄默認所在組編號 (1000)
• GECOS：用戶全名或注釋
• home directory：用戶主目錄 (/home/wang)
• shell：用戶默認使用shell (/bin/bash)

修改用戶屬性的相關命令

• chfn：修改用戶的注釋信息
• finger：查看用戶的注釋信息
• chsh：修改用戶的shell類型

當用戶的shell類型為/sbin/nologin時，代表該用戶無法登錄，用su是切換不過去的
用戶的uid是默認往上遞增的，這個定義來自于/etc/login.defs這個文件，當uid在這個范圍無法往上遞增時，會從最小的uid往上遞增。

/etc/shadow：用戶密碼及其相關屬性

格式：

• 登錄用名
• 用戶密碼:一般用sha512加密
• 從1970年1月1日起到密碼最近一次被更改的時間
• 密碼再過幾天可以被變更（0表示隨時可被變更）
• 密碼再過幾天必須被變更（99999表示永不過期）
• 密碼過期前幾天系統提醒用戶（默認為一周）
• 密碼過期幾天后帳號會被鎖定
• 從1970年1月1日算起，多少天后帳號失效
• 為保留字段

修改密碼屬性的相關命令

• chage:改變用戶的密碼屬性

用戶的密碼前面有 ！代表該用戶已鎖定，但可以切換。
鎖定帳戶，可以在加密口令前加個！。加兩個！號是雙保險。

/etc/group：組及其屬性信息

格式：

• 群組名稱：就是群組名稱
• 群組密碼：通常不需要設定，密碼是被記錄在 /etc/gshadow
• GID：就是群組的 ID
• 以當前組為附加組的用戶列表(分隔符為逗號)

/etc/gshadow：組密碼及其相關屬性

格式：

• 群組名稱：就是群組名稱
• 群組密碼：
• 組管理員列表：組管理員的列表，更改組密碼和成員
• 以當前組為附加組的用戶列表：(分隔符為逗號)

用戶和組的相關命令

useradd:用戶創建

語法：useradd [options] login.name

• -u 指定UID，如不指定，正常情況id按最大的id上遞增，超過范圍則按最小的數遞增
• -o 配合-u選項，不檢查UID的唯一性
• -g GID: 指明用戶所屬的基本組，可為組名，也可以為GID
• -c ”COMMMENT”: 用戶的注釋信息
• -d home_dir 以指定的路徑（不存在）為家目錄
• -s shell： 指明用戶的默認shell程序，可用列表在/etc/shells中
• -G group1.. 為用戶指明附加組，須存在
• -N 不創建私有組做主組，使用users組做主組100
• -r 創建系統用戶
• -m 創建家目錄，用于系統用戶
• -M 不創建家目錄，用于非系統用戶，家目錄不存在則登錄會進入”/”

默認值設定：/etc/default/useradd文件中

useradd -D 顯示基本設置
[root@sentos7 ~]#useradd -D
GROUP=100 -N選項，如果不創建同名主組，則屬于這個組
HOME=/home 家目錄
INACTIVE=-1 賬號過期的寬限期，為-1，不會鎖定
EXPIRE= 賬號有效期，默認99999
SHELL=/bin/bash 默認使用的shell類型
SKEL=/etc/skel 創建家目錄的源文件地址
CREATE_MAIL_SPOOL=yes 是否創建mail
useradd -D -s 修改默認shell類型
useradd -D -b 修改默認家目錄
usreadd -D -g group -N選項之后默認的主組

*/etc/default/useradd 新建用戶默認信息
/etc/skel/ 家目錄復制地址
/etc/login.defs 添加用戶配置信息
/var/spool/mail 郵箱路徑
newusers /etc/passwd格式文件： 批量創建用戶
cat filename | chpasswd 格式：username:passwd

usermod:用戶屬性修改

語法：usermod [options] login

• -u UID 新UID
• -g GID或者group 新主組
• -G Group1[,Group].. 新附加組，原來的附加組將會被覆蓋
• -aG 若保留原有，則要同時使用-a 選項
• -s shell 新的默認使用shell
• -c ’comment‘： 新的注釋信息
• -d home 修改家目錄，新的家目錄不會自動創建
• -dm home 創建新家目錄并移動原家數據
• -l login.name 新的名字，改名之后家目錄，郵箱不變
• -L： lock指定用戶，在/etc/shadow密碼欄增加！
• -U： unlock指定用戶，將/etc/shadow密碼欄的！拿掉
• -e yyyy-MM-DD:指明用戶賬號過期時間
• -f INACTIVE： 設定非活動期限，寬限期

userdel:刪除用戶

語法：userdel [option]… login.name

• -r: 刪除用戶家目錄

id：查看用戶的ID信息

語法：id [option]…[USER]

• -u: 顯示UID
• -g: 顯示GID
• -G： 顯示用戶所屬附加組的ID
• -n: 顯示名稱，需配合ugG使用

passwd:設置密碼：

語法：passwd [options] username: 修改指定用戶的密碼

• -d 刪除指定用戶的密碼
• -l lock鎖定指定用戶，加！
• -u unlock，解鎖指定用戶，去掉！
• -e 強制用戶下次登錄修改密碼
• -f 強制操作
• -n mindays: 指定最短使用期限
• -x maxdays： 最大使用期限
• -w warndays： 提前多少天開始警告
• -i inactivedays：過期還可以使用的天數
• –stdin：從標準輸入接收用戶密碼
  echo helloyou |passwd –stdin username

groupadd:創建組

語法：groupadd [option]…group.name

• -g GID 指明GID號，[DID_MIN,GID-max]
• -r: 創建系統組

groupmod：組屬性修改

語法：groupadd [option]…group

• -n group.name 修改組名
• -g GID： 新的GID

groupdel：組刪除
groupdel GROUP

gpasswd：更改組密碼

語法：gpasswd [option] group

• gpasswd username 創建與修改組密碼
• -a user 將user添加至指定組中
• -d user 從指定組中移除用戶user
• -A user1,user2,.. 設置有管理權限的用戶列表
• -r 刪除組密碼

newgrp：臨時切換主組

臨時切換主組
如果用戶本不屬于此組，則需要組密碼

groupmems ：更改組成員

語法：groupmems [options] [action]

• -g,–group groupname 更改為指定組
• -a,–add username 指定用戶加入組
  -d,–delete username 指定用戶從組中刪除
  -p,–purge 刪除組所有組成員
  -l，–list 顯示組成員列表

groups：?查看用戶屬于哪些組

語法:?groups [OPTION]… [USERNAME]…