5.用户和组

一、 用户

https://www.jianshu.com/p/83790e83fd87

为何要有用户？
资源分配、控制。

为何要有用户组？
资源分享，协同合作

Linux 系统如何管理用户和用户组

用户使用 UID (十进制的数字)

组使用 GID(十进制的数字)

系统中的每个资源都会属于具体的用户和组。

资源包括：文件，目录，运行时的程序（进程）, 一个服务等。

Linux 系统只认识 UID 和 GID

用户基本信息和密码信息

用户信息保存在 /etc/passwd 文件中

用户密码的信息保存在 /etc/shadow 文件中

/etc/passwd 文件内容

每行是一个用户，每行都是用 冒号分开用户的各个信息

/etc/shadow 文件内容

每行是一个用户，每行都是用 冒号分开用户的各个信息, 共有 9 个字段。

shark 账户在 shadow 文件中是这样的：

shark:!!:18099:0:99999:7:::

这九个字段意义如下：

1. 用户名

2. 密码 这个密码是经过加密的， !! 表示，创建了此用户但是还未给其设置密码。

3. 最近修改密码的日期

这个数字单位是天数， 是 1970 年 1 月 1 日作为 1 而累加的日期。

计算某个日期的累积天数的语法：

echo $(( $(date --date="2019/07/21" +%s) / 86400+1))

命令意思:

2019/07/21 为你想要计算的日期，86400 为每一天的秒数， %s 为 1970/01/01 以来的累积总秒数。 由于 bash 仅支持整数，因此最终需要加上 1 补齐1970/01/01 当天

4. 密码不可被更动的天数

这个帐号的密码在最近一次被修改后需要经过几天才可以再被修改！如果是 0 的话， 表示密码随时可以修改的意思。

5. 密码需要重新修改的天数

指定在最近一次修改密码后， 在多少天数内需要再次的修改密码，可以强制用户修改密码。

6. 距离密码要修改时的天数

假如是 5, 那就是临近修改密码的前 5 天内，都会提示用户更新密码。

7. 密码过期后的帐号宽限时间

就是密码过期后，账户依然可以登了，并且打的到 bash， 但是当登录到系统时，系统会提示你立刻进行密码的更新，否则无法继续操作。
密码有效期 = 密码修改日（因为当天也算一天） + 密码需要修改的天数

8. 帐号失效日期

也是从 1970/01/01 以来总天数。通常用在收费系统上。

9. 保留

关于 UID

id 范围	该 ID 使用者特性
0（系统管理员）	当 UID 是 0 时，代表这个帐号是“系统管理员” root！ 所以当你要让其他的帐号名称也具有 root 的权限时，将该帐号的 UID 改为 0 即可。 这也就是说，一部系统上面的系统管理员不见得只有 root 喔！ 不过，很不建议有多个帐号的 UID 是 0 啦～容易让系统管理员混乱！
1~999（系统帐号）	保留给系统使用的 ID，其实除了 0 之外，其他的 UID 权限与特性并没有不一样。这个只是一个习惯。由于系统上面启动的服务希望使用较小的权限去运行，因此不希望使用 root 的身份去执行这些服务， 所以我们就得要提供这些运行中程序的拥有者帐号才行。这些系统帐号通常是不可登陆的， 可以看到这些用户都有 /sbin/nologin 这个特殊的 shell 存在。根据系统帐号的由来，通常这类帐号又约略被区分为两种：1200：由各发行版本厂商自行创建的系统帐号；201999：使用者这些 UID 去创建一些系统基本的账号。
1000~60000（可登陆帐号）	给一般使用者用的。事实上，目前的 linux 核心 （3.10.x 版）已经可以支持到 4294967295 （2^32-1） 这么大的 UID 号码了！

查看用户基本信息

// 查看当前用户
id

关于用户的编辑修改命令

useradd 添加用户

useradd  [-u  UID]  [-g  初始群组]  [-G  次要群组]  [-mM]   [-c 说明栏] [-d  家目录绝对路径]   [-s shell]  新的用户名

-M  ：强制！不要创建使用者主文件夹！（系统帐号默认值）
-m  ：强制！要创建使用者主文件夹！（一般帐号默认值）
-r  ：创建一个系统的帐号，这个帐号的 UID 会有限制 （参考 /etc/login.defs）
-s  ：后面接一个 shell ，若没有指定则默认是 /bin/bash，指定的 shell 必须存在于系统中
-e  ：后面接一个日期，格式为“YYYY-MM-DD”此项目可写入 shadow 第八字段，
      亦即帐号失效日的设置项；

-u 后面跟一个数字，就是用户的 ID 好，假如指定的 UID 已经存在，需要配合 -o 参数。

在新建一个用户时，CentOS 这些默认值主要会帮我们处理几个项目：

• 在 /etc/passwd 里面创建一行与帐号相关的数据，包括创建 UID/GID/主文件夹等；
• 在 /etc/shadow 里面将此帐号的密码相关参数填入，但是尚未有密码；
• 在 /etc/group 里面加入一个与帐号名称一模一样的群组名称；
• 在 /home 下面创建一个与帐号同名的目录作为使用者主文件夹，且权限为 700

示例：

1. 新增一个普通用户，自动创建家目录和组

useradd  shark

2. 新增一个系统用户

useradd   -r   shark1

3. 新增一个系统用户, 且指定 shell 为 /sbin/nologin

useradd   -r  -s   /sbin/nologin    shark2

useradd 的默认值

➜  ~ useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

设置用户密码

// root 功能：
passwd  [-l]  [-u]  [--sdtin]  [-S]  [-n 日数]  [-x 日数]  [-w 日数]  [-i 天数]    账号

//所有人均可使用来修改自己的密码
passwd [--sdtin]
选项：
--stdin　　：可以通过来自前一个管道的数据，作为密码的输入，对shell　script比较有帮助。
-l　　　　：lock　帐号，是密码暂时性失效
-u　　　　：解锁
-S　　　　：查看帐号密码的相关参数
-n　　　　：密码不可修改的天数
-x　　　　：密码强制修改天数
-w　　　　：密码过期前的警告天数
-i　　　　：修改或指定密码失效天数

1. 普通用户修改自己的密码

password

2. root 身份设置/修改 其他用户的密码

password   shark

修改用户信息 usermod

root 用户执行
usermod 　　　 [-cdegGlsuLU] 　　 username

选项与参数：
-c  ：后面接帐号的说明，即 /etc/passwd 第五栏的说明栏，可以加入一些帐号的说明。
-d  ：后面接帐号的主文件夹，即修改 /etc/passwd 的第六栏；
-e  ：后面接日期，格式是 YYYY-MM-DD 也就是在 /etc/shadow 内的第八个字段数据啦！
-f  ：后面接天数，为 shadow 的第七字段。
-g  ：后面接初始群组，修改 /etc/passwd 的第四个字段，亦即是 GID 的字段！
-G  ：后面接次要群组，修改这个使用者能够支持的群组，修改的是 /etc/group 
-a  ：与 -G 合用，可“增加次要群组的支持”而非“设置”喔！
-l  ：后面接帐号名称。亦即是修改帐号名称， /etc/passwd 的第一栏！
-s  ：后面接 Shell 的实际文件，例如 /bin/bash 或 /bin/csh 等等。
-u  ：后面接 UID 数字啦！即 /etc/passwd 第三栏的数据；
-L  ：暂时将使用者的密码冻结，让他无法登陆。其实仅改 /etc/shadow 的密码栏。
-U  ：将 /etc/shadow 密码栏的 `!` 去除，就是解除锁定！

1. 把用户 shark 添加到 wheel 组中

usermod     -a     -G      wheel      shark

命令        添加     组      组名        用户名

删除用户 userdel

这个功能就太简单了，目的在删除使用者的相关数据，而使用者的数据有：

使用者帐号/密码相关参数：/etc/passwd, /etc/shadow
使用者群组相关参数：/etc/group, /etc/gshadow
使用者个人文件数据： /home/username, /var/spool/mail/username..

整个指令的语法非常简单：

命令语法
userdel  [-r]  username

选项与参数：
-r  ：连同使用者的主文件夹也一起删除

1. 用 root 身份删除普通用户

用户的家目录和邮箱等不会被删除

userdel   shark

2. 用 root 身份删除普通用户，并且不保留被删除用户的家目录等数据。

userdel  -r    shark1

二、组

初始组（initial group）：

就是在创建用户的时候，默认会创建一个和用户名同名的组。后期也可以修改。
初始组的 GID 会出现在 /etc/passwd 中，用户的存放 GID 的位置，用户已登录到系统中就会拥有此组的权限。

有效组（effective group）：

当前环境下，用户所拥有有效组的权限，新创建的文档的属组将会是这个用的有效组。

Linux 系统中的组信息存放在 /tec/group 文件中，可以分为四个部分

1. 组名

2. 组密码

3. 组 ID

4. 组内成员

组内的多个成员用英文逗号隔开,期间不能有空格。

UID 范围及意义，和 UID 几乎相同。 0 是管理员用户的初始组

关于组的命令

groups 查看用户都加入了哪些组

1. 查看当前用户的组

[shark@e9818e4ea8b3 ~]$ groups
shark wheel

处于第一个位置的是 此用户的 有效组

2. 查看其他用户的组

[shark@e9818e4ea8b3 ~]$ groups shark1
shark1 : shark1
用户        组

groupadd 新增组

goupadd   [-g   gid]   [-r]   group_name
选项：
-g ：指定gid ，单独添加组，建议指定1000以上的gid，便于管理。 
-r ：建立系统组

groupdel 删除组

groupdel    group_name

注意：当你要删除一个组时，需要确保系统中没有任何一个用户把此组作为初始组 initial group

gpasswd 修改组成员

自修，提示使用 gpasswd --help

作业练习

1. 建立用户：nginx 默认没有家目录，不可本地登录系统

2.建立用户：super 默认将其加入到 wheel 组

3.建立用户：mysql 用户 指定目录： /opt/mysql/

4.创建用户：prod 用户 设置其1天内不可修改密码，密码有效期3天，提前1天通知他，密码失效期6天，用户失效期7天

4.建立组：devops 并指定组成员：

建立组：baoma 指定组成员: x3 x5 x6

用户身份切换

su

切换为其他用户，这需要提供其他用户的密码

su   -    [-c]  [用户名]
选项与参数：
-   ：单纯使用 - 如“ su - ”代表使用 login-shell 的变量文件读取方式来登陆系统；
      若用户名没有加上去，则代表切换为 root 的身份。

sudo

sudo 是用于使用普通用户的身份去执行 root 用户身份才有权执行的命令操作。

必要条件

1. 需要把普通用户设置为 sudo 用户

2. 使用 sudo 的时候需要提供 root 的用户名。

语法

sudo [-b] [-u 新使用者帐号]
选项与参数：
-b  ：将后续的指令放到背景中让系统自行执行，而不与目前的 shell 产生影响
-u  ：后面可以接欲切换的使用者，若无此项则代表切换身份为 root 。

1. 使用 sshd 用户，在 /tmp 目录下创建一个普通文件，并观察文件相关属性

sudo -u sshd   touch /tmp/sshd.file

多个命令用分号隔开

sudo 的执行是这样的流程

1. 当使用者执行 sudo 时，系统于 /etc/sudoers 文件中搜寻该使用者是否有执行 sudo 的权限；

2. 若使用者具有可执行 sudo 的权限后，便让使用者“输入使用者自己的密码”来确认；

3. 若密码输入成功，便开始进行 sudo 后续接的指令（但 root 执行 sudo 时，不需要输入密码）；

4. 若欲切换的身份与执行者身份相同，那也不需要输入密码。

visudo 将普通用户设置为 sudo 用户

建议使用 visudo 编辑 /etc/sudoers 文件，比较安全。

设置语法格式：

设置单一用户
root    ALL=(ALL)       ALL

设置一个组
%wheel  ALL=(ALL)       ALL

各个部分的意思

1. “使用者帐号”：系统的哪个帐号可以使用 sudo 这个指令的意思；

2. “登陆者的来源主机名称”：当这个帐号由哪部主机连线到本 Linux 主机，意思是这个帐号可能是由哪一部网络主机连线过来的，信任的来源的意思。默认值 root 可来自任何一部网络主机

3. “（可切换的身份）”：这个帐号可以切换成什么身份来下达后续的指令，默认 root 可以切换成任何人；

4. “可下达的指令”：可用该身份下达什么指令？这个指令请务必使用绝对路径撰写。 默认 root 可以切换任何身份且进行任何指令之意。

免密码

之前的设置都需要，输入自己的密码，有时候这在写一些自动化的工具时，并不合适，因为提示用户输入自己的密码，会导致交互的操作。

sudo 时，不输入任何密码

%wheel        ALL=(ALL)       NOPASSWD: ALL

指定切换身份和使用的命令

shark      ALL=（root）    /usr/bin/passwd

限制使用某些命令

shark    ALL=（root）  !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root

允许 shark 用户以 root 身份修改其他用户的密码，但是不允许修改 root 的密码

用户别名和命令别名

有时候可以让多个用户共同具有某些 sudo 用户的权限,就可以把这些用户设置为一个用户别名

User_Alias ADMPW = shark1, shark2
Cmnd_Alias ADMPWCOM = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
ADMPW   ALL=（root）  ADMPWCOM

sudo 和 su

让普通用户切换为 root 身份，并且不需要输入 root 的密码。

User_Alias  ADMINS = shark1, shark2
ADMINS ALL=（root）  /bin/su -