用戶和用戶組管理
1.用戶配置文件
1.1用戶信息文件/etc/passwd
1.1.1用戶管理簡介
~所以越是對服務器安全性要求高的服務器,越是要建立合理的用戶權限等級制度
和服務器操作規範。
~在Linux中主要是通過用戶配置爲文件來查看和修改用戶信息
1.1.2 /etc/passwd
~第一字段:用戶名稱
~第二字段:密碼標誌
~第三字段:UID(用戶ID)
~0: 超級用戶
~1-499: 系統用戶(僞用戶)
~500-65535: 普通用戶
~第四字段:GID(用戶初始組ID)
~第五字段:用戶說明
~第六字段:家目錄
~普通用戶:/home/用戶名/
~超級用戶:/root/
~第七字段:登錄之後的Shell
vim /etc/passwd
1.1.3初始組合附加組
初始組:就是指用戶一登錄就立刻擁有這個永固組的相關權限,每個永固的初始組
只能有一個,一般就是和這個用戶組的用戶名相同的組名作爲這個用戶的初始組。
附加組:指用戶可以加入多個其他的用戶組,並且擁有這些組的權限,附加組可以有多個。
1.1.4Shell是什麼
~Shell就是Linux的命令解釋器
~在/etc/passwd當中,除了標準Shell是/bin/bash之外,還可寫成/sbin/nologin
1.2影子文件/etc/shadow
顧名思義shadow就是影子,爲啥叫影子,主要是因爲權限:
vim /etc/shadow
可以看到九個字段用":"分割字段
~第一個字段:用戶名
~第二個字段:加密密碼
~加密算法升級爲SHA512散列加密算法
~如果密碼位是“!!”或者“*#”代表沒有密碼不能登錄
~第三個字段:密碼最後一次修改日期
~使用1970年1月1日作爲標準時間,每過一天時間戳加1
~第四個字段:兩字密碼的修改間隔時間(和第3個字段相比)
~第五個字段:密碼有效期(和第三個字段比較)
~第六個字段:密碼修改到期的井蓋時間(和第5個字段相比較)
~第七個字段:密碼過期夠的寬限天數(和第五個字段相比)
~0:代表密碼過期後立即失效
~-1:則代表密碼永遠不會失效。
~第八個字段:賬號失效時間(要用時間戳表示)
~第九個字段:保留字段
1.2.2時間戳換算
~把時間戳換算爲日期
date -d "1970-01-01 16066 days"
~把日期換算爲時間戳
echo $(($(date --date="2014/01/06"+%s)/86400+1))
1.3組信息文件/etc/group和組密碼文件/etc/gshadow
1.3.1組信息文件/etc/group
~第一字段:組名
~第一字段:組密碼標誌
~第三字段:GID
~第四字段:組中附加用戶
vim /etc/group 查看group的文件
1.3.2組密碼文件/etc/gshadow
~第一字段:組名
~第二字段:組密碼
~第三字段:組管理員用戶名
~第四字段:組中附加用戶
2.用戶管理相關文件
2.1用戶的家目錄
~普通用戶:/home/用戶名/,所有者和所屬組都是此用戶,權限是700
~超級用戶:/root/,所有者和所屬組都是root用戶,權限550
2.2用戶的郵箱
/var/spool/mail/用戶名/
2.3用戶模板目錄
/etc/skel/
3.用戶管理命令
3.1用戶添加命令useradd
| useradd [選項]用戶名 選項: -u UID: 手工指定用戶的UID號 -d家目錄: 手工指定用戶的家目錄 -c用戶說明: 手工指定用戶的說明 -g組名: 手工指定用戶的初始組 -G組名: 手工指定用戶的附加組 -s shell: 手工指定用戶的登錄shell。默認是/bin/bash |
初始組不要隨便修改
~[root@localhost ~]# useradd -u 666 -G root -c "test user" -d /fanshao -s /bin/bash fanshao
~/etc/default/useradd
~/etc/login.defs
3.2修改用戶密碼passwd
3.2.1passwd命令格式
passwd [選項]用戶名
-s 查詢用戶密碼的密碼狀態。僅root用戶可用
-l 暫時鎖定用戶。僅root用戶可用
-u 解鎖用戶。僅root用戶可用
--stdin 可以通過管道符輸出的數據作爲用戶的密碼。
root 用戶可以強制修改其他用戶的密碼,但是普通用戶修改密碼只能修改自己的
並且root可以忽視一切規則改密碼,普通用戶必須遵守規則去修改密碼。
3.3修改用戶信息usermod以及修改用戶密碼狀態chage
3.3.1修改用戶信息
usermod[選項]用戶名
選項:
-u UID 修改用戶的UID號
-c 用戶說明: 修改用戶的說明信息
-G 組名: 修改用戶的附加組
-L : 臨時鎖定用戶(Lock)
-U: 解鎖用戶鎖定(Unlock)
[root@localhost ~]# usermod -c "root user" fanshao
~修改fanshao用戶的用戶說明
[root@localhost ~]# usermod -G root fanshao
~把fanshao用戶加入root組
[root@localhost ~]# usermod -L fanshao
~鎖定用戶
[root@localhost ~]# usermod -U fanshao
~解鎖用戶
3.3.2修改用戶狀密碼態
[root@localhost ~]#chage[選項]用戶名
選項:
-l: 列出用戶的詳細密碼狀態
-d 日期: 修改密碼最後一次更改日期(shadow3字段)
-m 天數: 兩次密碼修改間隔(4字段)
-M 天數: 密碼有效期(5字段)
-W 天數: 密碼過期前警告天數(6字段)
-I 天數: 密碼過後寬限天數(7字段)
-E 日期: 賬號失效時間(8字段)
[root@localhost ~]# chage -d 0 fanshao
~這個命令其實就是把密碼修改日期歸0了(shadow第3字段)這樣用戶一登錄就要修改密碼
3.4刪除用戶userdel以及切換用戶命令su
[root@localhost ~]#userdel [-r] 用戶名
選項:-r 刪除用戶同時刪除用戶的家目錄
如果不用-r的話也可以刪 比較麻煩罷了
[root@localhost ~]#vi /etc/passwd
刪除
[root@localhost ~]#vi /etc/shadow
刪除
[root@localhost ~]#vi /etc/group
刪除
[root@localhost ~]#vi /etc/gshadow
刪除
[root@localhost ~]#rm -rf /var/spool/mail/shaoye
[root@localhost ~]#rm -rf /home/shaoye/
測試有沒有刪除成功最好的辦法就是同樣的用戶重新useradd添加一遍
[root@localhost ~]#useradd shaoye
說明成功了
[root@localhost ~]#id shaoye
切換用戶su
[root@localhost ~]#su [選項]用戶名
-: 選項只使用“-”代表連帶用戶的環境變量一起切換
-c 命令: 僅執行一次命令,而且不切換用戶身份
[root@localhost ~]# su - root -c "useradd dome2"
~不切換成root,但是執行useradd命令添加dome2用戶
但是首先還是要知道root的密碼
