Linux入门进阶第五天——用户管理(帐号管理 )上
一、帐号与群组
关于使用者帐号:
用户的ID与帐号信息所在位置是 /etc/passwd,而管理密码的数据则是在 /etc/shadow
每个登陆的使用者至少都会取得两个 ID ,
一个是使用者 ID (UserID ,简称 UID)、
一个是群组 ID (Group ID ,简称 GID)。
之前提到的文件的所有者和所属组,Linux就是通过UID与GID赖进行判断的呢(它只认识0和1这样的,对字符型的帐号名称其实没什么概念!,所以说,当系统有需要的时候,其实是通过查找/etc/passwd 和 /etc/group来进行帐号的显示的!如果没有找到对应UID的帐号,则直接显示UID的数字了!)
1./etc/passwd文件
[root@localhost ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
格式
1:用户名,用户登录系统时使用的用户名(账户名称) 2:密码位
在早期的Linux系统中,密码是存放在/etc/passwd文件中的,但是每个用户对该文件都有读的权限,这是比较危险的,
后来就不存放在这个文件了。
——转移到/etc/shadow下,所以显示x 3:UID,用户标识号
管理员标识(root):0 不会改变
普通用户: 1-65535
系统用户(伪用户):1-499, 1-999 (centos6 ,centos7)
登录用户:500-60000 , 1000-60000
4:GID,缺省组标识号
5:注释性描述
6:宿主目录,用户登录系统后的缺省目录
7:用户使用的shell,默认为bash
2./etc/shadow文件
[root@localhost ~]# ll /etc/shadow ----------. 1 root root 703 12月 13 12:32 /etc/shadow
// 这个权限表示:只有root可以读写!
想要查询加密方式,可以通过:
authconfig --test | grep hashing
[root@localhost ~]# authconfig --test | grep hashing
password hashing algorithm is sha512
shadow文件内容:
[root@localhost ~]# head -n 4 /etc/shadow
root:$6$lWdDY9NwZNDiRLx8$PxOrJJojIcT93j4q7SBqapAnkgLqS9AA6qCLMWkW5EF1P4zYGpDLGPSehUbVJInRmHpsXaQKW8J2fnVUvPfgz/::0:99999:7:::
bin:*:17110:0:99999:7:::
daemon:*:17110:0:99999:7:::
adm:*:17110:0:99999:7:::
格式
1:用户名
2:加密密码,如果是 !则代表密码无法使用!
3:最近一次修改时间,以天位单位,从1970年1月1日为参考点(两个时间点间累加的日期)
4:最小时间间隔,两次修改密码之间的最小天数,为0表示不限制,如改为3,表示间隔3天以上才能修改密码
5:最大时间间隔,密码保持有效的最多天数,超过天数不改密码,则用户无法登录
6:警告时间:从系统开始警告到密码失效的天数
7:账号闲置时间,密码过期后的帐号宽限时间
8:失效时间,密码失效的绝对天数,就是账号的失效日期,到了此日期帐号强制失效,例如用于收费服务等!
9:标志,一般不使用
3.口令管理
普通用户修改密码:直接运行passwd即可!passwd指令介绍,参考:http://man.linuxde.net/passwd
[linuxde@localhost ~]$ passwd Changing password for user linuxde. //更改linuxde用户的密码;
(current) UNIX password: //请输入当前密码;
New UNIX password: //请输入新密码;
Retype new UNIX password: //确认新密码;
passwd: all authentication tokens updated successfully. //更改成功;
来自: http://man.linuxde.net/passwd
普通用户忘记密码以及root用户修改自己密码:(root修改自己密码运行 passwd root即可!)
[root@localhost ~]# passwd linuxde //更改或创建linuxde用户的密码;
Changing password for user linuxde. New UNIX password: //请输入新密码;
Retype new UNIX password: //再输入一次;
passwd: all authentication tokens updated successfully. //成功;
来自: http://man.linuxde.net/passwd
口令密码详细的设置命令chage的参考:http://linux.51yip.com/search/chage
root用户忘记密码比较棘手,将在单人维护章节讲述!
关于群组
1./etc/group
[root@localhost ~]# head -n 4 /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
1.组名称
2.组密码,通常不用,同样类似有/etc/gshadow文件
3.GID,群组ID
4.组员列表,新版Linux对于初始群组已经不显示默认成员了!
一个用户可以加入多个群组(使用命令 groups 可以查看所有群组!),所以这里会有有效群组的概念(不然新建一个文件怎么确定是属于哪个群组呢)
[dmtsai@study ~]$ groups
dmtsai wheel users
其中,第一个群组就是有效群组,新建文件所属的群组就是这个群组!
切换有效群组可以使用 newgrp
[dmtsai@study ~]$ newgrp users
修改用户加入群组,可以通过usermod:http://man.linuxde.net/usermod
2./etc/gshadow
[root@localhost ~]# head -n 4 /etc/gshadow
root:::
bin:::
daemon:::
sys:::
1.组名称
2.密码栏,空或者!表示无密码,表示无群组管理员
3.群组管理员帐号
4.加入群组的帐号列表,与/etc/group相似!
二、帐号管理
1.添加用户——useradd
[root@localhost ~]# useradd --help
用法:useradd [选项] 登录
useradd -D
useradd -D [选项]
选项:
-b, --base-dir BASE_DIR 新账户的主目录的基目录
-c, --comment COMMENT 新账户的 GECOS 字段
-d, --home-dir HOME_DIR 新账户的主目录
-D, --defaults 显示或更改默认的 useradd 配置
-e, --expiredate EXPIRE_DATE 新账户的过期日期
-f, --inactive INACTIVE 新账户的密码不活动期
-g, --gid GROUP 新账户主组的名称或 ID
-G, --groups GROUPS 新账户的附加组列表
-h, --help 显示此帮助信息并推出
-k, --skel SKEL_DIR 使用此目录作为骨架目录
-K, --key KEY=VALUE 不使用 /etc/login.defs 中的默认值
-l, --no-log-init 不要将此用户添加到最近登录和登录失败数据库
-m, --create-home 创建用户的主目录
-M, --no-create-home 不创建用户的主目录
-N, --no-user-group 不创建同名的组
-o, --non-unique 允许使用重复的 UID 创建用户
-p, --password PASSWORD 加密后的新账户密码
-r, --system 创建一个系统账户
-R, --root CHROOT_DIR chroot 到的目录
-s, --shell SHELL 新账户的登录 shell
-u, --uid UID 新账户的用户 ID
-U, --user-group 创建与用户同名的组
-Z, --selinux-user SEUSER 为 SELinux 用户映射使用指定 SEUSER
创建一般用户示例:
useradd vbird1
CentOS 这些默认值主要会帮我们处理几个项目:
在 /etc/passwd 里面创建一行与帐号相关的数据,包括创建 UID/GID/主文件夹等;
在 /etc/shadow 里面将此帐号的密码相关参数填入,但是尚未有密码;
在 /etc/group 里面加入一个与帐号名称一模一样的群组名称;
在 /home 下面创建一个与帐号同名的目录作为使用者主文件夹,且权限为 700
[root@localhost ~]# useradd -u 1500 vbird2
[root@localhost ~]# ll -d /home/vbird2
drwx------. 2 vbird2 vbird2 62 12月 18 14:06 /home/vbird2
[root@localhost ~]# grep vbird2 /etc/passwd /etc/shadow /etc/group
/etc/passwd:vbird2:x:1500:1500::/home/vbird2:/bin/bash
/etc/shadow:vbird2:!!:17518:0:99999:7:::
/etc/group:vbird2:x:1500:
更多实例,参考菜鸟教程:http://www.runoob.com/linux/linux-comm-useradd.html
创建系统用户示例:
[root@study ~]# useradd -r vbird3
[root@study ~]# ll -d /home/vbird3
ls: cannot access /home/vbird3: No such file or directorya <==不会主动创建主文件夹
[root@study ~]# grep vbird3 /etc/passwd /etc/shadow /etc/group
/etc/passwd:vbird3:x:699:699::/home/vbird3:/bin/bash
/etc/shadow:vbird3:!!:16636::::::
/etc/group:vbird3:x:699:
useradd的默认配置可以通过 -D选项进行查看:
[root@localhost ~]# useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
关于参考目录SKEL,参考鸟哥的介绍:
SKEL=/etc/skel:使用者主文件夹参考基准目录 这个咚咚就是指定使用者主文件夹的参考基准目录啰~举我们的范例一为例, vbird1 主文件 夹 /home/vbird1 内的各项数据,都是由 /etc/skel 所复制过去的~所以呢,未来如果我想要让 新增使用者时,该使用者的环境变量 ~/.bashrc 就设置妥当的话,您可以到 /etc/skel/.bashrc 去编辑一下,也可以创建 /etc/skel/www 这个目录,那么未来新增使用者后,在他的主文件夹 下就会有 www 那个目录了!这样瞭呼?
更多useradd默认配置可以参考:https://www.cnblogs.com/craftor/p/3811612.html
关于GID/UID以及密码的参考则是来自 /etc/login/defs,
MAIL_DIR /var/spool/mail <==使用者默认邮件信箱放置目录 PASS_MAX_DAYS 99999 <==/etc/shadow 内的第 5 栏,多久需变更密码日数 PASS_MIN_DAYS 0 <==/etc/shadow 内的第 4 栏,多久不可重新设置密码日数 PASS_MIN_LEN 5 <==密码最短的字符长度,已被 pam 模块取代,失去效用! PASS_WARN_AGE 7 <==/etc/shadow 内的第 6 栏,过期前会警告的日数 UID_MIN 1000 <==使用者最小的 UID,意即小于 1000 的 UID 为系统保留 UID_MAX 60000 <==使用者能够用的最大 UID SYS_UID_MIN 201 <==保留给使用者自行设置的系统帐号最小值 UID SYS_UID_MAX 999 <==保留给使用者自行设置的系统帐号最大值 UID GID_MIN 1000 <==使用者自订群组的最小 GID,小于 1000 为系统保留 GID_MAX 60000 <==使用者自订群组的最大 GID SYS_GID_MIN 201 <==保留给使用者自行设置的系统帐号最小值 GID SYS_GID_MAX 999 <==保留给使用者自行设置的系统帐号最大值 GID CREATE_HOME yes <==在不加 -M 及 -m 时,是否主动创建使用者主文件夹? UMASK 077 <==使用者主文件夹创建的 umask ,因此权限会是 700 USERGROUPS_ENAB yes <==使用 userdel 删除时,是否会删除初始群组 ENCRYPT_METHOD SHA512 <==密码加密的机制使用的是 sha512 这一个机制!
关于这里,可以参考:http://blog.csdn.net/u010181136/article/details/17436407
综上:useradd至少会参考以下3个文件:
/etc/default/useradd
/etc/login.defs
/etc/skel/*
2.修改用户——usermod
-c<备注>:修改用户帐号的备注文字;
-d<登入目录>:修改用户登入时的目录;
-e<有效期限>:修改帐号的有效期限;
-f<缓冲天数>:修改在密码过期后多少天即关闭该帐号;
-g<群组>:修改用户所属的群组;
-G<群组>;修改用户所属的附加群组;
-l<帐号名称>:修改用户帐号名称;
-L:锁定用户密码,使密码无效;
-s:修改用户登入后所使用的shell;
-u:修改用户ID;
-U:解除密码锁定。
来自: http://man.linuxde.net/usermod
示例:
[root@localhost ~]# usermod -c "test accout" vbird2
3.删除用户——userdel
确定了不使用此帐号再删除,否则只需要usermod -L 锁定即可!
[root@study ~]# userdel [-r] username
选项与参数:
-r :连同使用者的主文件夹也一起删除
以上3个都是管理员使用的指令,不过一般的使用者也是阔以有相关的命令的!
1.查看信息——id
id [-gGnru][--help][--version][用户名称]
来自: http://man.linuxde.net/id
详细选项这里不展开,反正直接使用id就列出所有洛!
[root@localhost ~]# id root
uid=0(root) gid=0(root) 组=0(root)
[root@localhost ~]# id vbird2
uid=1500(vbird2) gid=1500(vbird2) 组=1500(vbird2)
像这样我们之前直接指定UID为1500,则中间的1000-1049就直接废弃了!
2.查看与修改指纹信息——finger与chfn,修改shell——chsh
暂略。
三、群组管理
与账户管理十分相似,也是增删改的相关操作!
1.群组新增——groupadd
groupadd [-g gid] [-r] 群组名称
选项与参数:
-g :后面接某个特定的 GID ,用来直接给予某个 GID ~
-r :创建系统群组啦!与 /etc/login.defs 内的 GID_MIN 有关。
更多groupadd参考:http://man.linuxde.net/groupadd
2.群组修改——groupmod
groupmod [-g gid] [-n group_name] 群组名
选项与参数:
-g :修改既有的 GID 数字;
-n :修改既有的群组名称
更多groupmod参考:http://man.linuxde.net/groupmod
3.群组删除——groupdel
groupdel [groupname]
不过,这个命令需要注意,如果这个群组是某个用户的默认群组,则无法删除!(不然使用者一登录,发现默认群组都没了。。)
所以,要么你把那用户删了,要么改他的默认群组。
更多groupdel参考:http://man.linuxde.net/groupdel
4.群组管理员设置——gpasswd
和我们的社交帐号的群是一样的,不用什么事都通过root来干,可以设置群管理员,让群管理员来管理群
[root@study ~]# gpasswd groupname
[root@study ~]# gpasswd [-A user1,...] [-M user3,...] groupname
[root@study ~]# gpasswd [-rR] groupname
选项与参数:
:若没有任何参数时,表示给予 groupname 一个密码(/etc/gshadow)
-A :将 groupname 的主控权交由后面的使用者管理(该群组的管理员)
-M :将某些帐号加入这个群组当中!
-r :将 groupname 的密码移除
-R :让 groupname 的密码栏失效
# 关于群组管理员(Group administrator)做的动作:
[someone@study ~]$ gpasswd [-ad] user groupname
选项与参数:
-a :将某位使用者加入到 groupname 这个群组当中!
-d :将某位使用者移除出 groupname 这个群组当中。
关于gpasswd的用法参考:http://linux.51yip.com/search/gpasswd
ACL不再赘述,待补充...
