Linux學(xué)習(xí)-用戶管理總結(jié)

用戶賬號(hào)和組賬號(hào)概述：用戶賬號(hào)：超級(jí)用戶：root用戶是linux系統(tǒng)中默認(rèn)的超級(jí)用戶賬號(hào)，對(duì)本主機(jī)擁有至高無(wú)上的完全權(quán)限，類似于window中的administrator，只有當(dāng)進(jìn)行系統(tǒng)管理、維護(hù)任務(wù)時(shí)，才建議使用9a。日常處理事務(wù)建議使用普通的用戶賬號(hào)進(jìn)行。普通用戶：普通用戶賬號(hào)需要由root用戶或其他管理員用戶創(chuàng)建，擁有的權(quán)限受到一定限制，一般只在用戶自己的宿主目錄中完全權(quán)限。程序用戶：在安裝linux系統(tǒng)及部分應(yīng)用程序時(shí)，會(huì)添加一些熱定程序的低權(quán)限用戶賬號(hào)，這些用戶一般不允許登錄到系統(tǒng)，而僅用于維護(hù)系統(tǒng)或某個(gè)程序的正常運(yùn)行。比如：bin、daemon、ftp、mail等。組賬號(hào)：基于某種特定關(guān)系（如都需要訪問(wèn)ftp服務(wù)器）將多個(gè)用戶集合在一起，即構(gòu)成一個(gè)用戶組，用于表示該組內(nèi)所有用戶的賬號(hào)稱為組賬號(hào)。每一個(gè)用戶賬號(hào)至少屬于一個(gè)組，這個(gè)組成為基本組（或私有組）；如果該用戶同時(shí)還包括在其他的組中，則這些組稱為該用戶的附加組（或公共組）。對(duì)組賬號(hào)設(shè)置權(quán)限，將適用于組內(nèi)的每一個(gè)用戶賬號(hào)。UID和GID號(hào)：linux中每一個(gè)用戶賬號(hào)都有一個(gè)數(shù)字形式的身份標(biāo)記，稱為UID（UserIdenity（身份），用戶標(biāo)識(shí)號(hào)），對(duì)于系統(tǒng)核心而言，UID作為區(qū)分用戶的基本依據(jù)，原則上每一個(gè)用戶的UID號(hào)應(yīng)該是唯一的。root用戶賬號(hào)的UID號(hào)固定值為0，而程序用戶賬號(hào)的UID號(hào)默認(rèn)在1~499之間，500~60000的UID號(hào)默認(rèn)分配給普通用戶賬號(hào)使用。與UID號(hào)類似，每一個(gè)組賬號(hào)也有一個(gè)數(shù)字形式的身份標(biāo)記，稱為GID（groupidentity，組織標(biāo)號(hào)）。root組賬號(hào)的GID號(hào)為固定值0，而程序組賬號(hào)的GID號(hào)默認(rèn)在1~499之間，普通組賬號(hào)使用的UID號(hào)默認(rèn)為500~60000.普通用戶、組賬號(hào)使用的默認(rèn)UID、GID號(hào)范圍定義在配置文件“/etc/login.defs”中。例子：查看“/etc/login.defs”配置文件中定義的默認(rèn)UID、GID號(hào)范圍。~]#grep“ID”/etc/login.defs[ro-Q[ro-Ql-<fl*accp”[二f-lD_?.lI\UI心GID_M3\GIDMAXgrepID'/cL；/\Q^in..defs

5Q06000050060000|rooiwaccp~.用戶賬號(hào)管理：1，用戶賬號(hào)文件。與用戶賬號(hào)相關(guān)的配置文件主要有兩個(gè)，分別是/etc/passwd、/etc/shadow。前者用于保存用戶名稱、宿主目錄、登錄Shell等基本信息，后者用于保存用戶的密碼、賬號(hào)有效期等信息。在這兩個(gè)配置文件中，每一行對(duì)應(yīng)一個(gè)用戶賬號(hào)，不同的配置項(xiàng)之間使用冒號(hào)“：”進(jìn)行分隔。A，passwd文件中的配置行格式:系統(tǒng)中所有用戶的賬號(hào)基本信息都保存在“/etc/passwd”文件中，該文件時(shí)文本文件，任何用戶都可以讀取文件中的內(nèi)容。例子：查看“/etc/passwd”文件中的前兩行、后兩行的內(nèi)容。~]#head-2/etc/passwd~]#tail-2/etc/passwd[rootoaccphead-2/etc/p-asswdro-ot-x-0^0-rooti/rooti/bin/ba^shbin-x-1i1ibin-/bini/sbi□/□ologin[rootoaccptai1—2/etc/pa.sswdsabsyonik：86iS6：S&bayoi,)useri/hon?e/sabayon：/sbtn/nolog!nyh-500:500:：/hon>e/yh:/bln/bash[r-ootoaccp.在passwd文件開頭的部分，包括超級(jí)用戶root及各程序用戶的信息，系統(tǒng)中新增的用戶賬號(hào)信息將保存到passwd文件的末尾。passwd文件的每一行內(nèi)容中，包含了七個(gè)用冒號(hào)“：”分隔的配置字段（不是7個(gè)冒號(hào)），從左到右各配置字段的含義如下第一字段：用戶賬號(hào)的名稱，也是登錄系統(tǒng)時(shí)使用的識(shí)別名稱。第二字段：經(jīng)過(guò)加密的用戶密碼字串，或者密碼占用符“x”。第三字段：用戶賬號(hào)的UID號(hào)。第四字段：所屬基本組賬號(hào)GID號(hào)。第五字段：用戶全名、可填寫與用戶相關(guān)的說(shuō)明信息。第六字段：宿主目錄，即該用戶登錄后所在的默認(rèn)工作目錄。?第七字段：登錄Shell等信息，用戶完成登錄后使用的Shell。如果是/sbin/nologin，則禁止登錄到系統(tǒng)?；谙到y(tǒng)運(yùn)行和管理需要，所有用戶都可以訪問(wèn)passwd文件中的內(nèi)容，但是只有root用戶才能進(jìn)行更改。在早期的unix系統(tǒng)中，用戶賬號(hào)的密碼信息也是保存在passwd中的，不法用戶可以獲取密碼字串進(jìn)行暴力破解，這樣一來(lái)賬號(hào)安全就存在一定的隱患。因此，后來(lái)將密碼轉(zhuǎn)存入專門的shadow文件中，而passwd文件中僅保留密碼占位符“x”。B，shadow文件中的配置行格式。shadow文件又被稱為“影子文件”，其中保存有各用戶賬號(hào)的密碼信息，因此對(duì)shadow文件的訪問(wèn)應(yīng)該進(jìn)行嚴(yán)格的限制。默認(rèn)只有root用戶能夠讀取文件中的內(nèi)容，而不許直接編輯該文件中的內(nèi)容。查看“/etc/shadow”文件的前兩行、后兩行內(nèi)容[raot^l：）￡alhost，.二head-2/clc/-sbsdawroot：-81:<rrFor['Y^yvD9CTnK9AKly<jCCZpcia,：155^6：?；99933；7：；bin：*；15586：Oi93999:7;;;[roolwl：）￡￡.!host7=Lai1~2/clc/sbadowsabayon：二：1558fi：0：99999：7：：：duke：?gn）xEpC4uSn7C6sucgER.vIE.fj,：15556：?：99^3：7：:[roolciilDralhosL「二shadow文件的每一行內(nèi)容中，包含了九個(gè)用冒號(hào)””分隔的配置字段，從左到右配置字段的含義如下：?第一字段：用戶賬號(hào)的名稱。?第二字段：使用MD5加密的密碼字串信息，當(dāng)為“*”或者“！”時(shí)表示此用戶不能登錄到系統(tǒng)。若該字段內(nèi)容為空，則用戶無(wú)需密碼即可登錄到系統(tǒng)。?第三字段：上次修改密碼的時(shí)間，表示從1970年01月01日算起到最近一次修改密碼時(shí)間隔的天數(shù)。?第四字段：密碼的最短有效天數(shù)，自本次修改密碼后，必須至少經(jīng)過(guò)該天數(shù)才能再次修改密碼。默認(rèn)值為0，表示不進(jìn)行限制。?第五字段：密碼的最長(zhǎng)有效天數(shù)，自本次修改密碼后，經(jīng)過(guò)該天數(shù)以后必須再次修改密碼。默認(rèn)值為99999，表示不進(jìn)行限制。第六字段：提前多少天警告用戶口令過(guò)期，默認(rèn)值為7。第七字段：在密碼過(guò)期之后多少天之內(nèi)禁用此用戶。?第八字段：賬號(hào)失效時(shí)間，此字段指定了用戶作廢的天數(shù)（從1970年1月1日起計(jì)算，）默認(rèn)值為空，表示賬號(hào)永久可用。第九字段：保留字段，目前沒(méi)有特定用途。

useradd命令一一添加刪除用戶賬號(hào)useradd命令可用于添加用戶賬號(hào)，其基本的命令格式如下：useradd [選項(xiàng)] 用戶名最簡(jiǎn)單的用法是不添加任何選項(xiàng)，只使用用戶名作為useradd命令的參數(shù)，按系統(tǒng)默認(rèn)配置建立指定的用戶賬號(hào)。在RHEL5中，useradd命令在添加用戶賬號(hào)的過(guò)程中主要完成以下幾個(gè)任務(wù)：在“/etc/passwd”文件和“/etc/shadow”文件的末尾增加該用戶賬號(hào)的記錄。若未明確指定用戶的宿主目錄，則在“/home”目錄下自動(dòng)創(chuàng)建與該用戶賬號(hào)同名的宿主目錄，并在該目錄中創(chuàng)建用戶的初始配置文件。若沒(méi)有明確指定用戶所屬的組，則自動(dòng)創(chuàng)建與該用戶賬號(hào)同名的基本組賬號(hào)，組賬號(hào)的記錄信息將保存到“/etc/group"、“/etc/gshadow”。例子：創(chuàng)建名為yh的用戶賬號(hào)，查看passwd、shadow文件中的變化，并確認(rèn)該用戶宿主目錄中的初始配置文件。~]#useraddyh~]#tail-1/etc/passwd~]#tail-1/etc/shadow~}#ls-ld/home/yh~}#ls-A/home/yhrool4lacs.1hosI_-Lail—'2 /cIc/passwdduke:x：500:500:：/home/duke：/bin/bashyh： ::/Hicune/yhi/bin/bash\vqq：?calliosttai-2/c-lc/sliadovKduke：SlSXMm9rnxSp<：4LiSTi7C6awcgEBvIE.Jd-：153的：0：。朋的：7：：:yh：!!15566：0：SS999：7^::[r口口L[r口口L■城1；北區(qū)：h口呂ldrwx 2yh[r口口L■城1；北區(qū)：h口呂lIs：/homc/boiLC：[roa：）c￡.'hostyh409609-D320：/hoir.c/yh)=；s-.\/boniG/honie沒(méi)有那i,文件或目錄一二'a-.\/bonic/yh.bash_'ogGiil.basb_pro['i13.bashrc.zsbrc[roaL<ailocsi'host"J-|如果結(jié)合useradd命令的各種選項(xiàng)，可以在添加用戶賬號(hào)的同時(shí)對(duì)UID號(hào)、宿主目錄、登錄Shell等相關(guān)屬性進(jìn)行指定。以下列出了useradd命令中用于設(shè)置賬號(hào)屬性的幾個(gè)常用選項(xiàng):useradd-u：指定用戶的UID號(hào)，要求改UID號(hào)碼未被其他用戶占用。useradd-d：指定用戶的宿主目錄位置。useradd-e：指定用戶的賬戶失效時(shí)間，可以使用YYYY-MM-DD的日期格式。useradd-g：指定用戶的基本組名（或使用GID號(hào)）。useradd-G：指定用戶的附加組名（或使用GID號(hào)）。（管理員組號(hào)為固定為0，或者root）useradd-M：不建立使用者的目錄，即使/etc/login.defs系統(tǒng)檔設(shè)定要建立使用者目錄。useradd-s：指定用戶的登錄Shell。例子：創(chuàng)建名為test1的用戶賬號(hào)，并將其UID號(hào)指定為504。~]#useradd-u504test1~]#tail-3/etc/passwd[roatwloca'hosL.-useradd-u5(ULis'L1[roatojloca'hosL']=LH：-3/cl/passedcuke：x：500：500：：/bane/<!Like：/bin/bashyh：x：501：501：：/home/yh：/bin/bashtest1：k：504：504：：/hnnie/tjst1i/bin/bash[rootfliloca^h-osL，=LaW1-3/<I^/shadowd□ke：S1$1￡MFKiGmK$pC4uSn7C6awcgEB^EE.Jd.i15S86：0：99999：7yh：!!：15586:41:99999：7：::test1：1!：】55￡6:0:S9S99：7：：：[rootaloca'h-osL'二I創(chuàng)建一個(gè)輔助管理賬號(hào)admin，將其基本組指定為“wheel"、附加組指定為“root”，宿主目錄指定為“/admin”。~]#useradd-d/admin-gwheel-Grootadmin創(chuàng)建一個(gè)考試測(cè)試用的賬號(hào)exam1,指定屬于users組，該賬號(hào)屬于2009-07-30失效。~]#useradd-gusers-e2013-07-30exam1創(chuàng)建用于FTP訪問(wèn)的用戶賬號(hào)dluser,將登陸Shell指定為“/sbin/nologin”（禁止登錄），且不為其創(chuàng)建宿主目錄。~]#useradd-M-s/sbin/nologindluser實(shí)際上，大部分的應(yīng)用程序用戶都是被禁止登錄到系統(tǒng)的。~]#grep“nologin”/etc/passwd|head -3tool^Ioct.'host--Liscradd-gusers-e2013-?-30exan:1rool^loct.'host、~uscradd--.Is/sbin/n：3'oginc1user,rooLfijl'.)ca'host、~grep'nologtn"/cL=/口a&岳w<l|head-3bash：head-3：camniandnotround[rooLfijl'.)ca'host':grep'nologtn"/七L二/口a&岳w<l|head--3bi□：x：1:1：bin：/bin:/sbin/nologin■daemon：x：2：2：Jsent-on：/ebin：/.ebtn/no'a^inadm：x：5:4：siim：/\rsr/scm：/sbin/nolo￡in3,passwd命令——為用戶賬號(hào)設(shè)置密碼。通過(guò)useradd命令可以新添加用戶賬號(hào)，但是還必須有密碼才能登錄到系統(tǒng)。root用戶可以指定賬號(hào)名稱作為參數(shù)，對(duì)指定的密碼進(jìn)行管理。例子：指定用戶名yh作為參數(shù)，為該用戶設(shè)置一個(gè)登錄密碼，重復(fù)輸入兩次進(jìn)行確認(rèn)，并查看shadow文件中該用戶的密碼字串信息。~]#passwdyh~]#grepyh/etc/shadow[rootal-Dealhost"一二pass^<1ybChsi^gipae&wor-d【'□「iisciryb.\cw[XIXpasswor<i:ReLvpenew[工[乂password!□asswd!si1authtntication1.okenslipdsLcsucccesl'u.y.rooLdi-ocalIideL7Hgrepyh/cLc/shadewyh：$1SzvSZZGFWluSQ.dS9h&oliKlRKlfinnx.：155Sfi：fl：9999S：7：::[root^l-Dcalhost”.二用戶賬號(hào)具有可用的登錄密碼后，就可以從字符終端進(jìn)行登錄了。雖然root用戶可以指定用戶名作為參數(shù)，對(duì)指定賬號(hào)的密碼進(jìn)行管理，但是普通用戶卻只能執(zhí)行單獨(dú)的“passwd”命令修改自己的密碼。普通用戶設(shè)置自己的密碼時(shí)，密碼要求有一定的復(fù)雜性（如不要直接使用英文單詞，長(zhǎng)度保持在六位以上），否則系統(tǒng)可能拒絕進(jìn)行設(shè)置。例子：使用用戶賬號(hào)yh登錄終端后，即使更改本賬號(hào)的登錄密碼，需要原密碼進(jìn)行驗(yàn)證。~]$passwdI[yhwtactlhosl.”陸IChangingpassword['：)ruseryh-Changingpasswor4Aityh(currcnl)1'\IXpassworil：Xew[XIJCpassword.!Retypeiiewl\IXpas-sword：pm與5”d：后：：aLillianlicationlikensupdatedsu-ccessl'ify,yh^tocilh-Dsi”]噩使用passwd命令除了可以修改賬號(hào)的密碼之外，還能對(duì)用戶賬號(hào)進(jìn)行鎖定、解鎖，或者也可以將用戶的密碼設(shè)置為空（無(wú)需密碼即可登錄）。相關(guān)敘述如下：passwd-d：清空指定用戶的密碼，僅使用用戶名即可登錄系統(tǒng)。passwd-1：（小寫的L）鎖定用戶（lock）passwd-S：（大寫）查看用戶賬戶的狀態(tài)（是否被鎖定）。passwd-u：解鎖用戶賬戶。例子：將用戶賬號(hào)duke的密碼予以鎖定，查看shadow文件中的變化（密碼串前多一個(gè)“口”號(hào)），并檢查用戶密碼狀態(tài)。~]#passwd-lduke~]#grepduke/etc/shadow~]#passwd-Sduke[roaL^Ioca.'ho.st"_=passwd一：duke[,<3CLin￡passtttirdCaru.scrduke.passw<i:Sliccc.sb[todL^Ljcs.'ho.tl”一二^repcuke,/eLc/shac-owduke：i!SlSJOtFUSnikSpCJjSn7C6awcgEBvLE.J<1.s15586：01S9999:7[roohn.st”.二paeswd-e<li.ikepassw-d!bad.srgLimcnl-s:Linknoffnoptionroo ho-st_-pa-sswd-S<li.ikedukeLK2012-D5-330955997-1(Passwora：Gcke<.)[rococajtw-st、_=接觸對(duì)用戶賬號(hào)duke的鎖定，再次檢查用戶密碼狀態(tài)。~]#passwd-uduke~]#passwd-SdukeIrocLfliloca'host".二口呂sswd-n<lnke[n'.otki115passwordC：jruserduke.□asswtl；Success.roaiwlocalhost"_=pas.smcI-Sdukedii'<eF52012-03-030993997-1(Fasswrdeel,WDocrypt.?[rooifliLica.'host".二.4,,usermod命令一一修改用戶賬號(hào)屬性。對(duì)于系統(tǒng)中已經(jīng)存在的用戶賬號(hào)，可以使用usermod命令重新設(shè)置各種屬性。usermod命令同樣需要指定賬號(hào)名稱作為參數(shù)。較常使用的幾個(gè)選項(xiàng)參數(shù)如下：usermod-u：修改用戶的UID號(hào)。usermod-d：修改用戶的宿主目錄位置。usermod-e：修改用戶的賬戶失效時(shí)間，可以使用YYYY-MM-DD的日期格式。usermod-g：修改用戶的基本組名（或使用GID號(hào)）usermod-G：修改用戶的附加組名（或者使用GID號(hào)）。usermod-s：指定用戶的登錄Shell。usermod-1：（小寫L）更改用戶賬號(hào)的登錄名稱（LoginName）usermod-L:鎖定用戶賬戶。usermod-U：解鎖用戶賬戶。使用usermod命令時(shí)，其大部分的選項(xiàng)與useradd命令的選項(xiàng)是相對(duì)應(yīng)的，作用也相似。除此之外，還有兩個(gè)選項(xiàng)“-L”，“-U”分別用于鎖定、解鎖用戶賬號(hào)。這兩個(gè)選項(xiàng)與passwd命令的“-l”“-u”選項(xiàng)的作用基本相同，只不過(guò)大小寫存在區(qū)別。例子：將admin用戶的宿主目錄移動(dòng)到/home目錄下，并使用usermod命令做相應(yīng)的調(diào)整。~]#useradd-d/admin-gwheel-Grootadmin

~]#mv/admin/home/~]#usermod-d/home/adminadmin~]#tail-1/etc/passwd.roaL?1；）c&'hoil"_=us-cradd/admin-2wbEC：Ftool^Gmin,roaLwloca'ho*l"_=Lat'_3/gLt/passwdsabayon；x；86J^esSabayonu與匚r：/home/sabayon；/sbin/nzilogindn'<eix；500；500；；/h<]nic/<ukei/bin/bashadnin；x：501：1燈;i/admin:/bin/bash[roaloiLjca'ho.El".-hc^cl-1/eLc/p3E￡wdrooL：x：0：：rool：/root：/bin/bash[r。。L?1口匚2：bciEL"一二[rcioL?l口匚2：bciEL"一二mv/sdmin/home/[r。。L?1口匚2：bciEL"一二iis-ormod-d/home/admin呂dniin[ifliLjcs.'hn.51".=tai'-1/eL-r/pasEwdadmin：i:：501110：i/heme/admini/bin/bash[rooloil-：）c&^ho-st".二.使用usermod命令鎖定用戶賬號(hào)admin,確認(rèn)狀態(tài)后解除其鎖定。~]#usermod-Ladmin~]#passwd-Sadmin~]#usermod-Uadmin~]#passwd-Sadmin-[.sdnt.n-Sscntn7-]\Password.q-qktd.1-[Iacnin[rciDKaloca'hotLy:-[.sdnt.n-Sscntn7-]\Password.q-qktd.1-[Iacnin|r-aoL^Ioca1hosL".=nscrniod將用戶賬號(hào)的登錄名稱admin改為webmaster,下次登錄時(shí)生效。~]#usermod-lwebmasteradmin~]#grep“admin”/etc/passwd|rooloiilDca'hosL「.二LKcrmod^ebmsELjrsdnin[roDt^locs.'host".二百?后口'sdnin'1/cLc/pa.sswdwebmastjrJx!oO1!13!!/hoie</sgmin!/bin/b&sh|raot^localhost".二，

5,，5,，userdel命令一一刪除用戶賬號(hào)。使用“userdel-r”命令可以將該用戶的宿主目錄一并刪除。例子：刪除系統(tǒng)中webmaster,但是保留其宿主目錄。~]#userdelwebmaster~]#ls-ld/home/admin[rootaloct.：bosLy=uscrdc：ffebmastjr[rcmtaloct.Ihoj；L”.二Isd./hcmic/admindrwx 2501Mx：409609-0321：43/home/sdmin|oca'lbmil-[]刪除系統(tǒng)中的用戶賬號(hào)abc，同時(shí)刪除其宿主目錄。~]#userdel-rabc~]#ls-ld/home/[rooL（3il-：）r￡.Jhcifi.L".=□ecratldabc[rooL（3il-：）r￡.Jhast".=ctL/home[rooJhosthome.=1.5-1h總計(jì)16Kclrwx - abc abc 4 .OK 09-0-3 2202 sbeclrwx - abc wbcc1 4 ,OK 09-0-3 21!4tj scmin IG cuke cuke 4 .OK 09-0-3 1-3：21 dukeraoL^l-：）calho&lhome-usereel-rabctqq-Dealhosthome=1-sTh總計(jì)MHtllrvYx 23。1斤he"4.Oti09-0-321：4'admintlrwx 13cukecute4,OKQ9-0-31-3:21tluke[rool.^loc&lhosthome.-6用戶賬號(hào)的初始配置文件。6，在linux系統(tǒng)中添加用戶賬號(hào)以后，useradd命令會(huì)在該用戶的宿主目錄中建立一些初始配