Linux系統(tǒng)管理基礎項目教程（CentOS7.2）（微課版）課件 05 用戶管理

第5章

用戶管理Linux系統(tǒng)管理基礎項目教程（CentOS7.2）（微課版）知識要點5.1項目描述5.2知識準備5.2.1Linux用戶5.2.2Linux用戶組5.2.3Linux用戶與用戶組文件5.3項目實施5.3.1用戶管理命令5.3.2用戶組管理命令5.4項目實訓目錄5.1項目描述小明所在公司由于一部分員工離職，又招聘了一批員工。作為網絡管理員，小明決定刪除離職員工的賬戶，給每位新進員工創(chuàng)建一個賬戶和密碼，并將這些新員工的賬戶分配到各個部門。本項目主要介紹Linux操作系統(tǒng)下用戶和用戶組的基本概念，用戶和用戶組的文件，以及用戶和用戶組的管理命令。5.2知識準備5.2.1Linux用戶Linux系統(tǒng)具有多用戶、多任務的特點，用戶是使用和管理系統(tǒng)的基礎。Linux用戶可以分為3種：超級用戶Linux超級用戶指root用戶，它在Linux系統(tǒng)中擁有最高的權限，可以對任意文件進行增刪和權限修改等。

1

2

系統(tǒng)用戶Linux系統(tǒng)為了避免因某個服務程序出現漏洞而被黑客提權至整臺服務器，默認服務程序由獨立的系統(tǒng)用戶負責運行，這樣可以有效控制被破壞范圍。

3

普通用戶普通用戶是由管理員創(chuàng)建的用于日常工作的用戶，在CentOS7中普通用戶UID從1000開始。注意：用戶名用來標識用戶的名稱，可以是字母和數字組成的字符串，且字母區(qū)分大小寫。5.2知識準備5.2.2Linux用戶組在Linux系統(tǒng)中，為了方便管理屬于同一屬性的用戶、統(tǒng)一規(guī)劃權限或指定任務，還引入了用戶組的概念。使用用戶組號碼（GroupIDentification，GID），可以把多個用戶加入同一個組中。假設有一個公司中有多個部門，每個部門中又有很多員工。如果只想讓員工訪問本部門內的資源，則可以針對部門而非具體的員工來設置權限。在Linux系統(tǒng)中創(chuàng)建每個用戶時，在/home目錄下會創(chuàng)建一個同名的目錄，作為該用戶的宿主目錄。創(chuàng)建用戶的時候還將自動創(chuàng)建一個與其同名的基本用戶組，而且這個基本用戶組只有該用戶一個人。如果該用戶以后被歸納入其他用戶組，則這個其他用戶組稱為“附屬組”。一個用戶只有一個基本用戶組（又稱“主組”或“起始組”），但是可以有多個附加組（又稱附屬組），從而滿足日常的工作需要。5.2知識準備5.2.3Linux用戶與用戶組文件在Linux系統(tǒng)中，與用戶和用戶組相關的文件有3個，即/etc/passwd、/etc/shadow和/etc/group。其作用如表所示。序號文件名作用1/etc/passwd用戶賬戶文件2/etc/shadow用戶密碼文件3/etc/group用戶組管理文件5.2知識準備下面我們分別來分析一下3個文件的結構。1．用戶賬戶文件/etc/passwd在Linux系統(tǒng)中，所有創(chuàng)建的用戶賬戶及其相關信息（密碼除外）均放在/etc/passwd配置文件中，/etc/passwd文件每一行都代表一個賬戶，有幾行就代表系統(tǒng)中有幾個賬戶。這個文件里面很多賬戶本來就是系統(tǒng)正常運行所必需的，即前面給大家介紹的系統(tǒng)賬戶，例如bin、daemon、adm和apache等，這些賬戶請不要輕易地刪除。[root@localhost桌面]#cat/etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologin……named:x:25:25:Named:/var/named:/sbin/nologinredhat:x:1000:1000::/home/redhat:/bin/bash5.2知識準備以/etc/passwd文件的第一行root用戶為例，每行有7個字段，各字段之間用冒號（：）分開，每一行的形式如下，各字段含義如表所示。用戶名：加密口令：UID：GID：用戶描述信息：主目錄：命令解釋器序號字段說明1用戶名用戶賬戶2加密口令用戶口令，出于安全性考慮，現在已經不使用該字段保存口令，而用字母x來填充該字段，真正的密碼保存在shadow文件中3UID用戶號，唯一表示用戶的數字標志4GID用戶所屬的組號，該數字對應group文件中的GID5用戶描述信息可選的關于用戶全名、電話等描述信息6主目錄用戶的家目錄7命令解釋器用戶所用的shell，默認為/bin/bash5.2知識準備2．用戶密碼文件/etc/shadow由于所有用戶對/etc/passwd文件均有讀取權限，為了增強系統(tǒng)的安全性，用戶經過加密之后的口令都存放在/etc/shadow文件中。/etc/shadow文件只對root用戶可讀，因而大大提高了系統(tǒng)的安全性。[root@localhost桌面]#cat/etc/shadowroot:$6$yYJUSmwTDVgneIpz$SwBYQ8LzGNjNuhIZ13uDkq19txckJ5OuIqVKGz6CQnvJRlagzS4IAJvYvjOkPX2lKtbgmE.iuTl4QK01jbWTk0::0:99999:7:::bin:*:16659:0:99999:7:::daemon:*:16659:0:99999:7:::adm:*:16659:0:99999:7:::同/etc/passwd文件一樣，文件中每行代表一個用戶，同樣使用“:”作為分隔符；不同之處在于，每行用戶信息被劃分為9個字段。每一行形式如下，各字段具體含義如表5-3所示。用戶名：加密密碼：最后一次修改時間：最小修改時間間隔：密碼有效期：密碼需要變更前的警告天數：密碼過期后的寬限時間：賬戶失效時間：保留字段5.2知識準備序號字段說明1用戶名用戶登錄名2加密密碼加密后的用戶口令3最后一次修改時間從1970年1月1日起，到用戶最近一次口令被修改的天數4最小修改時間間隔從1970年1月1日起，到用戶可以更改密碼的天數，即最短口令存活期5密碼有效期從1970年1月1日起，到用戶必須更改密碼的天數，即最長口令存活期6密碼需要變更前的警告天數口令過期前幾天提醒用戶更改口令7密碼過期后的寬限時間口令過期后幾天賬戶被禁用8賬戶失效時間口令被禁用的具體日期（相對日期，從1970年1月1日至禁用時的天數）9保留字段保留域，用于功能擴展5.2知識準備3．用戶組管理文件/etc/group在Linux系統(tǒng)中，有關組賬戶的信息存放在/etc/group文件中，任何用戶都可以讀取該文件的內容。[root@localhost桌面]#cat/etc/grouproot:x:0:bin:x:1:daemon:x:2:sys:x:3:adm:x:4:與/etc/passwd和/etc/shadow文件的結構一樣，每個組群賬戶在group文件中占用一行，并且用“：”分隔為4個字段。每一行形式如下。組群名稱：組群口令（一般為空）：GID：組群成員列表Linux系統(tǒng)在安裝過程中同樣創(chuàng)建了一些標準的用戶組，如bin組、adm組等，在一般情況下，建議不要對這些用戶組進行刪除和修改。5.3項目實施5.3.1用戶管理命令1．useradd命令功能：創(chuàng)建新的用戶。格式：useradd[參數]用戶名該命令常用參數及作用如表所示。序號參數作用1-d指定用戶的家目錄（默認為/home/username）2-u指定用戶的默認UID，默認是按順序增長3-g指定一個初始的用戶基本組（必須已存在）4-G指定一個或多個擴展（附屬）用戶組5-N不創(chuàng)建與用戶同名的基本用戶組6-s指定該用戶的默認shell解釋器5.3項目實施2．passwd命令功能：為指定用戶添加或者修改密碼。格式：passwd【參數】用戶名passwd命令常用參數如表所示。序號參數作用1-l暫停用戶登錄，用于某用戶在未來較長的一段時間內不登錄系統(tǒng)的情形。2-u解除鎖定，允許用戶登錄5.3項目實施【實例1】新建一個用戶test，UID為5000，指定其擴展組為admin（已存在），默認家目錄為/home/data，不允許test用戶登錄系統(tǒng)。useradd-u5000-d/home/data-Gadmin-s/sbin/nologintest如果用戶的解釋器被設置成了/sbin/nologin，則代表該用戶不能夠登錄到系統(tǒng)?？梢钥吹剑?etc/passwd文件中增加了一行。[root@localhost桌面]#tail-1/etc/passwdtest:x:5000:5000::/home/data:/sbin/nologin在/etc/shadow文件中也同樣增加了一行。[root@localhost桌面]#tail-2/etc/shadowtest:!!:18479:0:99999:7:::5.3項目實施【實例2】給test用戶設置一個密碼。在設置密碼的時候，需要注意的是，密碼不會用與***類似的形式顯示。兩次密碼輸入一致，密碼才能設置成功，出于安全考慮，要求設置的密碼不少于8個字符。[root@localhost桌面]#passwdtest更改用戶test的密碼。新的密碼：

#輸入新密碼無效的密碼：密碼少于8個字符

#密碼少于8個字符重新輸入新的密碼：

#確認新密碼passwd：所有的身份驗證令牌已經成功更新。

#更新密碼成功[root@localhost桌面]#tail-1/etc/shadowtest:$6$OgQWBkKI$sV3xJ2DKDKpYgoviknsobAnbkxZbUSRjucyC9ClViYOcY/RQ8etkn/DycDMjICKUkJaCXkJApNZk1hLgCPsBr1:18479:0:99999:7:::當設置好密碼后，檢查一下/etc/shadow文件，此時密碼字段從原來的“??！”變成了字符亂碼。5.3項目實施【實例3】暫停test用戶登錄。[root@localhost桌面]#passwd-ltest鎖定用戶test的密碼。passwd:操作成功同時，會發(fā)現/etc/shadow文件密碼字段前加了兩個感嘆號“!!”[root@localhost桌面]#tail-2/etc/shadowtest:!!$6$OgQWBkKI$sV3xJ2DKDKpYgoviknsobAnbkxZbUSRjucyC9ClViYOcY/RQ8etkn/DycDMjICKUkJaCXkJApNZk1hLgCPsBr1:18479:0:99999:7:::3．userdel命令功能：刪除指定用戶。格式：userdel【參數】用戶名常用參數-r：刪除用戶時將用戶主目錄下的所有內容一并刪除。【實例4】刪除test用戶。[root@localhost桌面]#userdel-rtest5.3項目實施4．usermod命令功能：修改用戶的相關屬性。格式：usermod【參數】用戶名該命令的常用參數與useradd命令的常用參數相同?！緦嵗?】修改一個已經存在的用戶redhat的相關屬性。[root@localhost桌面]#cat/etc/passwd|grepredhat#查看用戶信息redhat:x:1000:1000::/home/redhat:/bin/bash#修改用戶信息[root@localhost桌面]#usermod-u2000-d/home/data-s/sbin/nologinredhat[root@localhost桌面]#cat/etc/passwd|grepredhat#再次查看用戶信息來對比redhat:x:2000:1000::/home/data:/sbin/nologin5.3項目實施5．id命令功能：查看用戶的UID、GID。格式：id用戶名【實例6】查看test用戶的信息。[root@ahptc123home]#idtestuid=5000(test)gid=5000(test)組=5000(test),1001(admin)5.3項目實施5.3.2用戶組管理命令1．groupadd命令功能：創(chuàng)建群組。格式：groupadd[參數]群組名【實例7】添加一個名為product的群組，并指定GID值為4000。[root@localhost桌面]#groupadd-g4000product[root@localhost桌面]#tail-1/etc/group#查看組文件信息product:x:4000:2．groupdel命令功能：刪除一個已有的用戶組。格式：groupdel用戶組【實例8】刪除admin組。[root@localhost桌面]#groupdeladmin#刪除admin組[root@localhost桌面]#groupdeltest1#test為主組，不能刪除groupdel：不能移除用戶“test1”的主組5.3項目實施3．gpasswd命令功能：添加用戶進組，也可以把用戶從組中刪除。格式：gpasswd【參數】用戶組gpasswd命令常用參數及作用如表所示。序號參數作用1-a添加用戶入組2-d刪除用戶出組【實例9】添加用戶p1到product組。[root@localhost桌面]#tail-1/etc/group

#首先查看組信息product:x:4000:[root@localhost桌面]#useraddp1

#添加p1用戶[root@localhost桌面]#gpasswd-ap1product

#將p1用戶加入組[root@localhost桌面]#tail/etc/group|grepproduct