Home Linux Learn-Linux

# 用户和用户组管理

  • 越是对服务器安全性要求高的服务器,越是需要建立合理的用户权限等级制度和服务器操作规范。
  • 在 Linux 中主要时通过用户配置文件来查看和修改用户信息。

# 用户配置文件

# 用户信息文件 /etc/passwd

  • 第 1 字段:用户名称
  • 第 2 字段:密码标志
  • 第 3 字段:UID(用户 ID)
    • 0: 超级用户
    • 1-499: 系统用户(伪用户)
    • 500-65535: 普通用户

通常情况下 UID 不会相同,但若要将普通用户直接变为超级用户可以直接将 UID 设置成 0,此时便有多个管理员账户。

伪用户:指的是专门给系统用来启动服务、启动命令或者命令来调用的,一旦把这些用户删除,相对应的服务和命令就不能使用了,系统将会崩溃。

  • 第 4 字段:GID(用户初始组 ID)

初始组和附加组

初始组:就是指用户一登录就立刻拥有这个用户组的相关权限,每个用户的初始组只能有一个,一半就是和这个用户的用户名相同的组名作为这个用户的初始组。初始组可以改,但不建议改。

附加组:指用户可以加入多个其他的用户组,并拥有这些组的权限,附加组可以有多个。

  • 第 5 字段:用户说明
  • 第 6 字段:家目录
    • 普通用户:/home/ 用户名 /
    • 超级用户:/root/
  • 第 7 字段:登录之后的 Shell

Shell 是什么?

  • Shell 就是 Linux 的命令解释器
  • 在 /etc/passwd 当中,除了标准 Shell 是 /bin/bash 之外,还可以写如 /sbin/nologin

# 影子文件 /etc/shadow

  • 第 1 字段:用户名
  • 第 2 字段:加密密码
    • 加密算法升级为 SHA512 散列加密算法,以前是 MD5
    • 如果密码为是 "!!" 或 "*" 代表没有密码,不能登录
  • 第 3 字段:密码最后一次修改日期
    • 使用 1970 年 1 月 1 日作为标准时间,每过一天时间戳加 1
  • 第 4 字段:两次密码的修改间隔时间(和第 3 字段相比)
  • 第 5 字段:密码有效期(和第 3 字段相比)
  • 第 6 字段:密码修改到期前的警告天数(和第 5 字段相比)
  • 第 7 字段:密码过期后的宽限天数(和第 5 字段相比)
    • 0:代表密码过期后立即失效
    • 1:则代表密码永远不会失效
  • 第 8 字段:账号失效时间
    • 要用时间戳表示
  • 第 9 字段:保留

时间戳换算

  • 把时间戳换算为日期
    • date -d "1970-01-01 16066 days"
  • 把日期换算为时间戳
    • echo (((((date --date="2014/01/06" +%s)/86400+1))

# 组信息文件 /etc/group 和组密码文件 /etc/gshadow

  • 第 1 字段:组名
  • 第 2 字段:组密码
  • 第 3 字段:组管理员用户名
  • 第 4 字段:组中附加用户

# 用户管理相关文件

# 用户的家目录

  • 普通用户:/home/ 用户名 /,所有者和所属组都是此用户,权限是 700
  • 超级用户:/root/,所有者和所属组都是 root 用户,权限是 550

# 用户的邮箱

  • /var/spool/mail/ 用户名 /

# 用户模板目录

  • /etc/skel/

# 用户管理命令

# useradd 命令格式

语法:useradd [选项] 用户名

选项:

-u UID: 手工指定用户的 UID 号

-d 家目录: 手工指定用户的家目录

-c 用户说明: 手工指定用户的说明

-g 组名: 手工指定用户的初始组

-G 组名: 指定用户的附加组

-s shell 手工指定用户的登录 shell,默认是 /bin/bash

# 用户默认值文件

  • /etc/default/useradd
    • GROUP=100 # 用户默认组
    • HOME=/home # 用户家目录
    • INACTIVE=-1 # 密码过期宽限天数(shadow 文件第 7 个字段)
    • EXPIRE= # 密码失效时间(shadow 文件第 8 个字段)
    • SHELL=/bin/bash # 默认 shell
    • SKEL=/etc/skel # 模板目录
    • CREATE_MAIL_SPOOL=yes # 是否建立邮箱

注意:Linux 里面有共有模式和私有模式,公有模式下的 GROUP=100,默认是私有模式,私有模式下用户默认组是创建一个同名组

  • /etc/login.defs
    • PASS_MAX_DAYS 99999 # 密码有效期(shadow 文件第 5 个字段)
    • PASS_MIN_DAYS 0 # 密码修改间隔(shadow 文件第 4 个字段)
    • PASS_MIN_LEN 5 # 密码最小 5 位(该设置不生效,Linux 现在是 PAM 生效,密码长度默认是 8 位)
    • PASS_WARN_AGE 7 # 密码到期警告(shadow 文件第 6 个字段)
    • UID——MIN 500 # 最小和最大 UID 范围
    • GID_MAX 60000
    • ENCRYTP_METHOD SHA512

# passwd 命令格式

语法: passwd [选项] 用户名

选项:

-S 查询用户密码的密码状态,仅 root 用户可用

-l 暂时锁定用户,仅 root 用户可用

-u 解锁用户,仅 root 用户可用

--stdin 可以通过管道符输出的数据作为用户的密码

查看密码状态:

passwd -S sakupinera

sakupinera PS 1969-12-31 0 99999 7 -1 (Password set, SHA512 crypt.)

#用户名 密码设定时间(1969-12-31)密码修改时间间隔(0)

#密码有效期(99999)警告时间(7)密码不失效(-1)

使用字符串作为用户的密码:

echo "123" | passwd --stdin username

# 修改用户信息 usermod

语法: usermod [选项] 用户名

选项:

-u UID: 修改用户的 UID 号

-c 用户说明:修改用户的说明信息

-G 组名:修改用户的附加组

-L: 临时锁定用户(Lock)

-U: 解锁用户锁定(Unlock)

# 修改用户密码状态 chage

语法: chage [选项] 用户名

选项:

-l: 列出用户的详细密码状态

-d 日期: 修改密码最后一次更改日期(shadow 第 3 个字段)

-m 天数: 两次密码修改间隔(shadow 第 4 个字段)

-M 天数: 密码有效期(shadow 第 5 个字段)

-W 天数: 密码过期前警告天数(shadow 第 6 个字段)

-I 天数: 密码过期后的宽限天数(shadow 第 7 个字段)

-E 日期: 账号失效时间(8 字段)

chage -d 0 lamp

#这个命令其实是把密码修改日期归 0 了(shadow 第 3 个字段)

#这样用户一登陆就要修改密码

# 删除用户 userdel

语法: userdel [-r] 用户名

选项:

-r 删除用户的同时删除用户家目录

# 查看用户 ID

语法: id 用户名

# 用户切换命令 su

语法: su [选项] 用户名

选项:

-: 选项只使用 “-” 代表连带用户的环境变量一起切换

-c: 仅执行一次命令,而不切换用户身份

# 用户组管理命令

# 添加用户组

语法: groupadd [选项] 组名

选项:

-g GID: 指定组 ID

# 修改用户组

语法: groupmod [选项] 组名

选项:

-g GID 修改组 ID

-n 新组名 修改组名

# 删除用户组

语法: groupdel 组名

注意:要想删除这个组,那么这个组里面不应该有初始用户存在(附加用户不影响)

# 把用户添加入组或从组中删除

语法: gpasswd [选项] 组名

选项:

-a 用户名: 把用户加入组

-d 用户名: 把用户从组中删除