1,用戶和用戶組文件
在linux中,用戶帳號,用戶密碼,用戶組信息和用戶組密碼均是存放在不同的配置文件中的。
在linux系統中,所創建的用戶帳號和其相關信息(密碼除外)均是存放在/etc/passwd配置文件中。由於所有用戶對passwd文件均有讀取的權限,因此密碼信息並未保存在該文件中,而是保存在了/etc/shadow的配置文件中。
在passwd文件中,一行定義一個用戶帳號,每行均由多個不同的字段構成,各字段值間用":”分隔,每個字段均代表該帳號某方面的信息。
在剛安裝完成的linux系統中,passwd配置文件已有很多帳號信息了,這些帳號是由系統自動創建的,他們是linux進程或部分服務程序正常工作所需要使用的賬戶,這些賬戶的最後一個字段的值一般爲/sbin/nologin,表示該帳號不能用來登錄linux系統。
在passwd配置文件中,從左至右各字段的對應關係及其含義:
用戶帳號 用戶密碼 用戶ID 用戶組ID 用戶名全稱 用戶主目錄 用戶所使用的shell
root x 0 0 root /root /bin/bash
由於passwd不再保存密碼信息,所以用x佔位代表。
若要使某個用戶賬戶不能登錄linux,只需設置該用戶所使用的shell爲/sbin/nologin即可。比如,對於FTP 賬戶,一般只允許登錄和訪問FTP服務器,不允許登錄linux操作系統。若要讓某用戶沒有telnet權限,即不允許該用戶利用telnet遠程登錄和訪問linux操作系統,則設置該用戶所使用的shell爲/bin/true即可。若要讓用戶沒有telnet和ftp登錄權限,則可設置該用戶的
shell爲/bin/false。
在/etc/shells文件中,若沒有/bin/true或/bin/false,則需要手動添加:
[root@localhost ~]# echo "/bin/false">>/etc/shells
[root@localhost ~]# echo "/bin/true">>/etc/shells
2,用戶密碼文件
爲安全起見,用戶真實的密碼採用MD5加密算法加密後,保存在/etc/shadow配置文件中,該文件只有root用戶可以讀取。
與passwd文件類似,shadow文件也是每行定義和保存一個賬戶的相關信息。第一個字段爲用戶帳戶名,第二個字段爲賬戶的密碼。
3,用戶組帳號文件
用戶組帳號信息保存在/etc/group配置文件中,任何用戶均可以讀取。用戶組的真實密碼保存在/etc/gshadow配置文件中。
在group中,第一個字段代表用戶組的名稱,第二個字段爲x,第三個爲用戶組的ID號,第四個爲該用戶組的用戶成員列表,各用戶名間用逗號分隔。
4,添加用戶
創建或添加新用戶使用useradd命令來實現,其命令用法爲:
useradd [option] username
該命令的option選項較多,常用的主要有:
-c 註釋 用戶設置對賬戶的註釋說明文字
-d 主目錄 指定用來取代默認的/home/username的主目錄
-m 若主目錄不存在,則創建它。-r與-m相結合,可爲系統賬戶創建主目錄
-M 不創建主目錄
-e date 指定賬戶過期的日期。日期格式爲MM/DD/YY
-f days 帳號過期幾日後永久停權。若指定爲-,則立即被停權,若爲-1,則關閉此功能
-g 用戶組 指定將用戶加入到哪個用戶組,該用戶組必須存在
-G 用戶組列表指定用戶同時加入的用戶組列表,各組用逗分隔
-n 不爲用戶創建私有用戶組
-s shell 指定用戶登錄時使用的shell,默認爲/bin/bash
-r 創建一個用戶ID小於500的系統賬戶,默認不創建對應的主目錄
-u 用戶ID 手動指定新用戶的ID值,該值必須唯一,且大於499
-p password 爲新建用戶指定登錄密碼。此處的password是對應登錄密碼經MD5加密後所得到的密碼值,不實真實密碼原文,因此在實際應用中,該參數選項使用較少,通常單獨使用passwd命令來爲用戶設置登錄密碼。
示例:
若要創建一個名爲zhangjie的用戶,並作爲student用戶組的成員,則操作命令爲:
[root@localhost ~]# useradd -g student zhangjie
[root@localhost ~]# tail -1 /etc/passwd
zhangjie:x:501:501::/home/zhangjie:/bin/bash
添加用戶時,若未用-g參數指定用戶組,則系統默認會自動創建一個與用戶帳號同名的私有用戶組。若不需要創建該私有用戶組,則可選用-n參數。
比如,添加一個名爲lijie的賬戶,但不指定用戶組,其操作結果爲:
[root@localhost ~]# useradd lijie
[root@localhost ~]# tail -1 /etc/passwd
lijie:x:502:502::/home/lijie:/bin/bash
[root@localhost ~]# tail -2 /etc/group
student:x:501:
lijie:x:502: #系統自動創建了名爲lijie的用戶組,ID號爲502
創建用戶賬戶時,系統會自動創建該用戶對應的主目錄,該目錄默認放在/home目錄下,若要改變位置,可以利用-d參數指定;對於用戶登錄時使用的shell,默認爲/bin/bash,若要更改,則使用-s參數指定。
例如,若要創建一個名爲vodup的賬戶,主目錄放在/var目錄下,並指定登錄shell爲/sbin/nologin,則操作命令爲:
[root@localhost ~]# useradd -d /var/vodup -s /sbin/nologin vodup
[root@localhost ~]# tail -1 /etc/passwd
vodup:x:503:503::/var/vodup:/sbin/nologin
[root@localhost ~]# tail -1 /etc/group
vodup:x:503:
5,設置帳號屬性
對於已創建好的用戶,可使用usermod命令來修改和設置賬戶的各項屬性,包括登錄名,主目錄,用戶組,登錄shell等,該命令用法爲:
usermod [option] username
部分option選項
(1)改變用戶帳戶名
使用-l參數來實現,命令用法爲:
usermod -l 新用戶名 原用戶名
例如,若要將用戶lijie更名爲lijunjie,則操作命令爲:
[root@localhost ~]# usermod -l lijunjie lijie
[root@localhost ~]# tail -1 /etc/passwd
lijunjie:x:502:502::/home/lijie:/bin/bash
從輸出結果可見,用戶名已更改爲lijunjie。主目錄仍爲原來的/home/lijie,若也要更改爲/home/lijunjie,則可通過執行以下命令來實現
[root@localhost ~]# usermod -d /home/lijunjie lijunjie
[root@localhost ~]# tail -1 /etc/passwd
lijunjie:x:502:502::/home/lijunjie:/bin/bash
[root@localhost ~]# mv /home/lijie /home/lijunjie
(2)鎖定賬戶
若要臨時禁止用戶登錄,可將該用戶賬戶鎖定。鎖定賬戶可利用-L參數來實現,其命令用法爲:
usermod -L 要鎖定的賬戶
linux鎖定用戶,是通過在密碼文件shadow的密碼字段前加“!”來標識該用戶被鎖定。
(3)解鎖賬戶
要解鎖賬戶,可以使用帶-U參數的usermod命令來實現
6,刪除賬戶
要刪除賬戶,可以使用userdel命令來實現,其用法爲:
userdel [-r] 帳戶名
-r爲可選項,若帶上該參數,則在刪除該賬戶的同時,一併刪除該賬戶對應的主目錄。
若要設置所有用戶賬戶密碼過期的時間,則可通過修改/etc/login.defs配置文件中的PASS_MAX_DAYS配置項的值來實現,其默認值爲99999,代表用戶賬戶密碼永不過期。其中PASS_MIN_LEN配置項用於指定賬戶密碼的最小長度,默認爲5個字符。
7,設置用戶登錄密碼
使用passwd命令來設置,其命令用法爲:
passwd [帳戶名]
若指定了帳戶名稱,則設置指定賬戶的登錄密碼,原密碼自動被覆蓋。只有root用戶纔有權設置指定賬戶的密碼。一般用戶只能設置或修改自己賬戶的密碼(不帶參數)。
例如,若要設置lijunjie賬戶的登陸密碼,則操作命令爲:
[root@localhost ~]# passwd lijunjie
更改用戶 lijunjie 的密碼 。
新的 密碼:
重新輸入新的 密碼:
passwd: 所有的身份驗證令牌已經成功更新。
賬戶登錄密碼設置後,該賬戶就可以登錄系統了。按ctrl+alt+F2鍵,選擇第2號虛擬控制檯(tty2),然後利用lijunjie賬戶登錄,以檢驗能否登錄。
8,鎖定/解鎖賬戶密碼
在linux中,除了用戶賬戶可被鎖定外,賬戶密碼也可被鎖定,任何一方被鎖定後,都將無法登錄系統。只有root用戶纔有權執行該命令,鎖定賬戶密碼使用帶-l菜蔬的passwd命令,其用法爲:
passwd -l 帳戶名
passwd -u 帳戶名 #解鎖賬戶密碼
9,查詢密碼狀態
要查詢當前賬戶的密碼是否被鎖定,可以使用帶-S參數的passwd命令來實現,其用法爲:
passwd -S 賬戶名
例如
[root@localhost etc]# passwd -S lijunjie
lijunjie LK 2011-03-25 0 99999 7 -1 (密碼已被鎖定。)
[root@localhost etc]# passwd -u lijunjie
解鎖用戶 lijunjie 的密碼 。
passwd: 操作成功
[root@localhost etc]# passwd -S lijunjie
lijunjie PS 2011-03-25 0 99999 7 -1 (密碼已設置,使用 SHA512 加密。)
10,刪除賬戶密碼
如要刪除賬戶的密碼,使用帶-d參數的passwd命令來實現,該命令也只有root用戶纔有權執行,其用法爲:
passwd -d 帳戶名
帳戶密碼被刪除後,將不能登錄系統,除非重新設置密碼。
11,創建用戶組
用戶和用戶組屬於多對多關係,一個用戶可以同時屬於多個用戶組,一個用戶組可以包含多個不同的用戶
創建用戶組使用groupadd命令,其命令用法爲:
groupadd [-r] 用戶組名稱
若命令帶有-r參數,則創建系統用戶組,該類用戶組的GID值小於500;若沒有-r參數,則創建普通用戶組,其GID值大於或等於500.
12,修改用戶組屬性
用戶組創建後,根據需要可對用戶組的相關屬性進行修改。對用戶組屬性的修改,主要是修改用戶組的名稱和用戶組的GID值。
(1)改變用戶組的名稱
若要對用戶組進行重命名,可使用帶-n參數的groupmod命令來實現,其用法爲:
groupmod -n 新用戶組名 原用戶組名
對於用戶組改名,不會改變其GID的值
比如,若要將student用戶組更名爲teacher用戶組,則操作命令爲:
[root@localhost ~]# tail -3 /etc/group
student:x:501:
lijie:x:502:
vodup:x:503:
[root@localhost ~]# groupmod -n teacher student
[root@localhost ~]# tail -3 /etc/group
lijie:x:502:
vodup:x:503:
teacher:x:501:
(2)重設用戶組的GID
用戶組的GID值可以重新進行設置修改,但不能與已有用戶組的GID值重複。對GID進行修改,不會改變用戶名的名稱。
要修改用戶組的GID,可使用帶-g參數的groupmod命令,其用法爲:
groupmod -g new_GID 用戶組名稱
例如,若要將teacher組的GID更改爲504,則操作命令爲:
[root@localhost ~]# tail -3 /etc/group
lijie:x:502:
vodup:x:503:
teacher:x:501:
[root@localhost ~]# groupmod -g 504 teacher
[root@localhost ~]# tail -3 /etc/group
lijie:x:502:
vodup:x:503:
teacher:x:504:
13,刪除用戶組
刪除用戶組使用groupdel命令來實現,其用法爲:
groupdel 用戶組名
在刪除用戶組時,被刪除的用戶組不能是某個賬戶的私有用戶組,否則將無法刪除,若要刪除,則應先刪除引用該私有用戶組的賬戶,然後再刪除用戶組。
[root@localhost ~]# groupdel teacher
groupdel: cannot remove the primary group of user 'zhangjie'
[root@localhost ~]# userdel -r zhangjie
[root@localhost ~]# groupdel teacher
[root@localhost ~]# grep teacher /etc/group #沒有輸出,說明teacher用戶組以不存在,刪除成功
14,添加用戶到指定的組/從指定的組中移除用戶
可以將用戶添加到指定的組,使其成爲該組的成員。其實現命令爲:
gpasswd -a 用戶賬戶 用戶組名
若要從用戶組中移除某用戶,其實現命令爲:
gpasswd -d 用戶賬戶 用戶組名
例如,現在將上面創建的lijunjie用戶添加到vodup用戶組中
[root@localhost ~]# groups lijunjie
lijunjie : lijie
[root@localhost ~]# gpasswd -a lijunjie vodup #添加用戶到指定的用戶組
Adding user lijunjie to group vodup
[root@localhost ~]# groups lijunjie
lijunjie : lijie vodup
[root@localhost ~]# gpasswd -d lijunjie vodup #從指定的用戶組中移除用戶
Removing user lijunjie from group vodup
[root@localhost ~]# groups lijunjie #查看用戶所屬的組
lijunjie : lijie
15,設置用戶組管理員
添加用戶到組和從組中移除某用戶,除了root用戶可以執行該操作外,用戶組管理員也可以執行該操作。
要將某用戶指派爲某個用戶組的管理員,可使用以下命令來實現;
gpasswd -A 用戶賬戶要管理的用戶組
命令功能:將指定的用戶設置爲指定用戶組的用戶管理員。用戶管理員只能對授權的用戶組進行用戶管理(添加用戶到組或從組中刪除用戶),無權對其他用戶組進行管理。
[root@localhost ~]# gpasswd -A lijunjie vodup
[root@localhost ~]# useradd fen
[lijunjie@localhost ~]# gpasswd -a fen vodup
Adding user fen to group vodup
[lijunjie@localhost ~]# groups fen
fen : fen vodup
[lijunjie@localhost ~]# gpasswd -d fen vodup
Removing user fen from group vodup
[lijunjie@localhost root]$ gpasswd -d fen fen #試圖將fen用戶從fen用戶組中移除
gpasswd: Permission denied. #操作被拒絕,說明無權對其他用戶組進行管理
另外,linux還提供了id,whoami和groups等命令,用來查看用戶和組的狀態。id命令用於顯示當前用戶的uid,gid和所屬的用戶組的列表;whoami用於查詢當前用戶的名稱;groups用於產看指定用戶所隸屬的用戶組。
同時,我們可以使用圖形界面來管理用戶和用戶組,系統--->管理--->用戶和組羣可以打開相應的配置界面.
小結:
1、每個用戶都擁有一個user id,操作系統實際使用的是用戶id.而非用戶名。
2、每個用戶隸屬於一個主組,屬於一個或多個附屬組。
3、每個組都有一個group id。
4、每個進程都以一個用戶身份進行,並受到該用戶可訪問的資源限制。
5、每個可登錄用戶都有一個指定的shell。
總結:當我們使用Linux登陸時,需要以一個用戶的身份登錄,一進程也需要以一個用戶的身份運行,用戶限制使用者或者進程可以使用、不可以使用哪些資源。
操作系統希望使用用戶的概念來限制使用者或者進程可以使用不可以使用哪些資源!或者說是應用程序。劃分權限的目的,其實就是爲了限制使用某個用戶或者組或者進程在某個特定的環境所使用的有限的權限範圍內的資源罷了!!!
關於ID
root用戶0
系統用戶1-499(最大的特點就是沒有shell,僞裝用戶)
普通用戶500+
系統中的每一個文件都有一個所屬用戶以及所屬組
使用ID命令可以顯示當前用戶的信息(一個用戶可以最多有31個附屬組)
使用passwd命令可以當前用戶密碼
1、每個用戶都擁有一個user id,操作系統實際使用的是用戶id.而非用戶名。
2、每個用戶隸屬於一個主組,屬於一個或多個附屬組。
3、每個組都有一個group id。
4、每個進程都以一個用戶身份進行,並受到該用戶可訪問的資源限制。
5、每個可登錄用戶都有一個指定的shell。
總結:當我們使用Linux登陸時,需要以一個用戶的身份登錄,一進程也需要以一個用戶的身份運行,用戶限制使用者或者進程可以使用、不可以使用哪些資源。
操作系統希望使用用戶的概念來限制使用者或者進程可以使用不可以使用哪些資源!或者說是應用程序。劃分權限的目的,其實就是爲了限制使用某個用戶或者組或者進程在某個特定的環境所使用的有限的權限範圍內的資源罷了!!!
關於ID
root用戶0
系統用戶1-499(最大的特點就是沒有shell,僞裝用戶)
普通用戶500+
系統中的每一個文件都有一個所屬用戶以及所屬組
使用ID命令可以顯示當前用戶的信息(一個用戶可以最多有31個附屬組)
使用passwd命令可以當前用戶密碼