用戶和組的管理
前言
本篇文章主要講Linux系統下用戶和組的概念,還有添加用戶和組,修改用戶和組的基本操作,會涉及不少與之相關的配置文件與命令的介紹,幾乎所有
正文
首先,簡單提下概念,用戶是操作系統的使用者,也是系統進程的所有者,也就是說其實操作系統是給一堆人使用的,就拿大家都熟悉的Windows操作系統來說,我們一般只看得見自己一個用戶,或是後來又創建的來賓用戶,其實還有許多不需要登陸的系統用戶,如下圖
他們的作用很明顯,運行不同的進程,來提供相應的服務,支持程序的運行。
然後用戶組的話,就是一堆用戶的集合。是爲了方便管理某一堆用戶的權限。舉個例子來理解吧,假設我在跟一個團隊工作。我寫了段代碼,別人也寫了段代碼,那現在要一起調試了,結果我的代碼文件創建者是我,其他人沒權限運行,另一段代碼文件創建者是另一個人,也沒給其他人權限,那還要一個個文件改權限麼,所以一個組就能避免這個問題。
一個用戶可以屬於多個組,然後就有主組與附加組之分,這個簡單瞭解下就行,用戶和組的概念就這些,下面講對他們的操作
用戶的操作
相關配置文件有/etc/passwd、/etc/shadow、/etc/default/useradd、/etc/login.defs ,下面結合具體命令一塊講下
- useradd、usermod和userdel命令,他們分別用來添加、修改、刪除用戶,首先看下添加用戶的例子
useradd 用戶名 -m -p 密碼 -s SHELL類型 -u UID號 -g GID號或組名
簡單說下:-m是創建家目錄,-p後面跟密碼,創建用戶的時候就設好了密碼,-s選擇用戶使用的SHELL類型,-u設置用戶ID號,-g設置主組的ID,-G後面跟要加的附加組名或組ID
- UID的話可以用id命令後面跟用戶名查看,簡單方便可以先掌握了,如下所示,是查看root的id
id root
- 然後可以用下面的命令查看用戶是否創建成功
cat /etc/passwd
- 它會輸出passwd文件內容,創建成功的話,輸出的最後一行有你剛創的用戶名,如下圖是我剛創建的用戶test4
![]()
所以 /etc/passwd 文件也知道了,他是存放用戶信息的,它的格式如下
用戶名:密碼:用戶id:主組id:用戶詳細信息:家目錄:shell類型
- 根據上面文件格式,可以發現用戶信息那欄我們還不知道怎麼改,最直接的可以在passwd文件裏改,格式如下
全名,工作地址,移動電話,家庭電話
這是一種方法,當然也可以用chfn命令解決,如下所示
![在這裏插入圖片描述]()
再介紹一個命令吧,除了直接用cat /etc/paswd查看用戶信息,其實還可以用finger命令,如下圖所示
![在這裏插入圖片描述]()
是不是更直觀,當然還有getent passwd等價於cat /etc/passwd,vipw等價於vi /etc/passwd,這兩個也可以瞭解下 - 好的,創建用戶完了,但之前設的密碼太簡單了現在要修改了怎麼辦,可以用usermod解決大部分問題,如下所示
usermod 用戶名 -p 新密碼
用法跟useradd相似,可選項也都差不多,所以不多提了,介紹另一個可以改用戶密碼的命令passwd,用法如下
passwd 用戶名
他有比較常用的幾個選項我說下:-l 鎖定用戶密碼,-u 解鎖用戶密碼,-f 迫使用戶下次登陸時改密(對新建用戶聽常用),-d 去掉用戶的密碼。
鎖定的話就是密碼不起作用了,也就是用戶登陸不了了。同樣 -d 去掉了密碼也登陸不了了。這些效果可以自行嘗試。那怎麼看密碼是不是改了呢,用下面的命令可以查看
cat /etc/shadow
- 下圖是結果,不過看到的是經過SHA512算法加密後的密碼,但確實是改了。
如果鎖定的話密碼會是兩個!!
![在這裏插入圖片描述]()
所以 /etc/shadow 目錄就是存放用戶密碼相關信息的地方,當然改這個文件也能得到改密碼的目的,用vim編輯文件內容即可,當然涉及密碼只有root用戶纔有查看修改這個文件的權限,他的文件格式如下:
用戶名:密碼:最後一次更新密碼的時間:最短可以隔幾天改一次密碼(改密碼間隔時間):隔多少天必須改密碼(密碼過期):提前多少天提醒密碼過期:過渡期(密碼過期後還能撐幾天):賬戶過期時間(不同於密碼過期,賬號過期就沒有這個帳號了,更別說密碼了):這裏是預留給以後用的,現在沒什麼用
這個文件會比之前的passwd更重要也更有用,大家多留意下
- 既然對密碼有這麼多的配置,那麼就有專門的命令可以設置,chage命令,專門負責密碼期限的相關設置,用法如下
![在這裏插入圖片描述]()
-d 設置最後更新密碼的時間,-E 設置賬號過期時間,-I 設置過渡期,-l 顯示期限信息,-m 改密最短間隔,-M 密碼過期時間,-W 提前多少天警告
這裏注意一點,時間都是相對於1970.1.1的時間(也就是跟1970.1.1相距多少天了) - 最後就是刪除用戶的操作了,同樣在passwd文件裏可以改,把他那欄信息都刪了就行,但是同時得在shadow文件裏也把他刪了,這種方法有弊端,你可以進到/home目錄下可以發現用戶的家目錄還在,所以還得刪除用戶的家目錄下。當然可以用userdel命令刪除用戶就比較方便,如下所示
userdel -rf 用戶名
- 加個 -r 選項就可以刪除家目錄,-f 是強制執行,就有可能刪除他的時候他的程序正在運行,那麼刪除程序文件就會報錯。這個Windows經常能遇到吧,現在Linux可以強行解決這類問題,很暴力攔都攔不住。
- 下面講下還沒提過的 /etc/login.defs 文件吧,它是控制新建默認用戶的配置文件。默認用戶的話,useradd 後面跟用戶名加 -D 選項就能創建,那它又是怎麼配置默認用戶的呢,那就直接看下它的內容
![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
這就是它的文件內容,雖然每個變量設置前都有說明,不過我還是簡單講下吧,沒理解再看文件裏的說明吧
- MAIL_DIR:用戶郵件地址,所以之前改文件刪用戶的時候還得看下用戶郵件存放目錄。好了我剛看了下確實沒刪掉,所以改文件來修改用戶可以,刪用戶就不推薦使用了
- PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN、PASS_WARN_AGE:密碼過期時間、改密最短間隔時間、密碼最短長度、密碼過期提前幾天警告
- UID_MIN、UID_MAX:用戶默認創建id的最小值和最大值,GID_MIN和GID_MAX同理
- CREAT_HOME:yes說明默認創建用戶後會同時創建它的家目錄
- UMASK:用戶創建文件、目錄的默認權限的掩碼,這個屬於權限問題後面再講
- USERGROUPS_ENAB:yes也就是刪除用戶的時候把僅有他的組也刪了(主組),先不用瞭解
- ENCRYPT_METHOD:密碼加密方式,是SHA512加密方式
- 現在就只有 /etc/default/useradd 文件了,它的作用跟上面login.defs文件差不多,不過兩者既有聯繫也有區別(等下會結合起來細講),login.defs 文件針對的是用戶,而現在講的這個文件針對的是 useradd 命令,看它的路徑就明白,是useradd的默認配置,看下他的文件內容
![在這裏插入圖片描述]()
好像看不出太多,那就用之前學過的whatis配合man命令查看他的幫助吧,來看下結果,我直接把相關部分截出來了
![在這裏插入圖片描述]()
現在這個文件的內容可以理解了,順便可以看下他跟login.defs文件的關係了:
- GROUP:用戶默認組,對應第二幅圖 useradd 的 -g 選項來看,說的是如果login.defs文件裏的USERGROUPS_ENAB變量是no的話那麼這個文件裏的GROUP就生效了
- HOME用戶默認家目錄,對應上圖 -b 選項來看,是不是
- INACTIVE:-1,就是不啓用密碼的過渡期
- EXPIRE:賬號過期時間,沒填就不會過期
- SHELL默認用戶使用的shell類型
- SKEL:這是默認用戶目錄裏的內容,下面會簡單講下他
- CREAT_MAIL_SPOOL:yes就是默認創建郵件目錄,所以不需要創建郵件目錄的話可以在這裏填no
- 哎呀,又得填個坑了,/etc/skel目錄,直接看下它裏面有哪些文件吧,再看下你的家目錄你就明白一切了,相當於在創建家目錄時會複製skel的內容,所以用處還挺大的,說實話。
![在這裏插入圖片描述]()
好了用戶就介紹到這了,下面介紹組了
用戶組的操作
組的話,也有添加,修改和刪除等操作,對應groupadd、groupmod、groupdel三個命令,相關配置文件有這些/etc/group、/etc/gshadow,下面來看下
- groupadd命令,創建一個新的組,用法如下
groupadd 組名 -g GID組號 -p 密碼
-g 選項用來指定組號,-p 選項用來設組的密碼,一般 -g 選項會比較常用,而 -p瞭解以下即可
- 好了創建完一個組有怎麼查看呢,在 /etc/group 這文件裏,它裏面有組的信息,同樣除了cat能查看,getent group也能實現查看,後面getent我就不多提了,只是多個方法,沒必要掌握。結果如下圖所示
![在這裏插入圖片描述]()
testgrp就是我新建的組,至於這個文件的內容還是挺簡單的,格式如下:
組名:密碼(顯示爲x,安全起見):組號GID:組裏面的用戶 - 好了組建完了,現在要怎麼修改組呢,有多多個命令可以改,不過各有千秋。
- 首先groupmod命令,他能修改組的外在,但改不了它的內在——組成員。它的用法如下
groupmod 組名 -n 新組名 -g 新ID -p 新密碼
- 其次是gpasswd命令,它就可以修改組成員,去掉組的密碼,不過改組名id就做不到了,它的用法如下
gpasswd -a 用戶名 組名
-r 選項可以去掉組的密碼,這個就瞭解這兩個些即可,具體可以查幫助前篇筆記講過
- 最後就是groupmems命令,他是管理組內用戶的首選命令,可以查看修改組成員,用法如下
groupmems -a 用戶 -g 組
刪除用戶的話用 groupmems -d 用戶 -g 組 可實現,groupmems -l -g 組 可以查看該組的成員
這個命令掌握這三個用法差不多了
- 最後又是怎麼刪除的問題了,groupdel命令,用法如下
groupdel 組名
- 就還剩 /etc/gshadow 這個文件沒講,這個文件存放的是安全組信息,所謂安全就是只有root用戶能看,看下他的文件格式吧
![在這裏插入圖片描述]()
組名:密碼:管理員:組員 - 最後瞭解一下吧,就是加密算法函數crypt(),密碼就是靠這個函數加密的,用下面這個命令可以查看幫助
man 3 crypt
這是我截取的重要部分,下面id號對應一類加密算法,這樣密碼是哪種加密算法加密的就不用看login.defs文件了,看shadow的時候密碼開頭$1就是MD5算法,ok,這個理解就行,其他就先不講了
總結
配置文件:
/etc/passwd /etc/shadow /etc/group /etc/gshadow
/etc/login.defs /etc/skel /etc/default/useradd
命令:
useradd usermod userdel passwd chage chfn
groupadd groupmod groupdel groupmems gpasswd id
getent vipw vigr pwck grpck finger
pwck和grpck,分別是檢查passwd文件和group文件格式的,可以自行體驗
我之所以會把這些文件格式講得那麼清楚是它在批量操作的時候特別有用,如下面這個例子
newusers f1
newusers命令批量創建用戶使用的,f1就是我按passwd文件格式輸入的要創建的用戶的信息,如下圖所示
可以看下passwd文件,沒問題。再看下登陸界面,能登陸麼,密碼x輸入沒問題,好了這就是批量操作
對用戶和組的管理介紹到此爲止,希望對讀者有幫助