1 用户和用户组概述

1.1 用户介绍

Linux系统是一个多用户多任务的分时操作系统（服务器系统），允许多个用户同时登陆到系统上，并响应每个用户的请求。

任何需要使用操作系统的用户，都需要一个系统账号。用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪，并控制他们对系统资源的访问；另一方面也可以帮助用户组织文件，并为用户提供安全性保护。

用户在系统中是分角色的，在Linux系统中，由于角色的不同，权限和所完成的任务也不同。值得注意的是每个用户是通过UID（User ID）来唯一标识的。

用户账号类型：

1）超级用户：

• 默认是root用户。在每台unix/linux操作系统中都是唯一且真实存在的，通过它可以登录系统，可以操作系统中任何文件和命令，拥有最高的管理权限。在生产环境，一般禁止root账号远程登录SSH连接服务器，以加强系统安全。
• 其UID和GID均为0

2）普通用户：

• 这类用户一般是由具备系统管理员root的权限的运维人员添加的。
• 在 centos 7中 ，普通用户的UID范围为1000-60000。

3）程序用户：

• 与真实用户区分开来，这类用户的最大特点是安装系统后默认就会存在，且默认情况不能登录系统。它们是系统正常运行必不可少的，他们的存在主要是方便系统管理，满足相应的系统进程都文件属主的要求。例如系统默认的bin、adm、nodoby、mail用户等。
• 在centos 7中，系统用户的UID范围为1-999。
• 由于服务器角色的不同，有部分用不到的系统服务被禁止开机执行，因此，在做系统安全优化时，被禁止开机启动了的服务对应的虚拟用户也是可以处理掉的(删除或注释)。

1.2 用户组介绍

linux系统中的用户组(group)就是具有相同特性的用户(user)集合。

有时我们需要让多个用户具有相同的权限，比如查看、修改某一个文件，只需要把授权的用户都加入到同一个用户组里，然后通过修改该文件对应组的权限，让用户组具有符合需求的操作权限，这样组内所有用户对该文件就会具有相同的权限，这就是用户组的用途。

将用户分组是linux系统中对用户进行管理及控制访问权限的一种手段，通过定义用户组，在很大程度上简化了运维管理工作。

组账号类型：

1）基本组（私有组）

• 创建用户账号时，如果没有指定用户所属的组，系统会建立一个和用户名相同的组，这个组就是基本组，默认只容纳一个用户。
• 在用户所属组中的第一个组称为基本组，基本组在/etc/passwd 文件中指定。
• 基本组有且唯一。

2）附加组（公共组）

• 在用户所属组中，除了第一个组（基本组）以外的其他组就是附加组，附加组在/etc/group文件中指定。
• 附加组可有可无，且可以有多个。

2 用户账号管理

用户账号的管理工作主要涉及到用户账号的添加、修改和删除。

2.1 用户信息存储文件

2.1.1 用户账号文件/etc/passwd

用途：保存用户名称、宿主目录、登录shell等基本信息。

文件位置：/etc/passwd。

每行说明：每一行对应一个用户的账号记录。

行内字段含义：

[root@localhost ~]# haed -2 /etc/passwd    //查看passwd文件头2行
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
复制代码

冒号（:）作为分隔符，将每行分为了7段。以第一行“root:x:0:0:root:/root:/bin/bash”为例，解释每段含义：

• 字段1：root，用户名。
  
• 字段2：x，密码占位符。为保障用户密码的安全性，密码实际存放在/etc/shadow文件中。
  
• 字段3：0，用户编号UID。
  
• 字段4：0，用户基本组编号GID。
  
• 字段5：root，用户描述说明。
  
• 字段6：/root，用户家目录。
  
• 字段7：/bin/bash，用户的登录shell。
  

注：可使用”man 5 passwd“命令，查看/etc/passwd文件说明及每个字段含义。

2.1.2 用户口令文件/etc/shadow

用途：存储用户的密码信息，又称为“影子文件” 。/etc/shadow 文件只有 root 用户拥有读权限，其他用户没有任何权限，这样就保证了用户密码的安全性。

文件位置：/etc/shadow。

每行说明：每一行对应一个用户的密码信息。

查看文件内容：

[root@localhost ~]# tail -3 /etc/shadow    //查看shadow文件尾部3行
alice:$6$Cm32tytk$KT.XqgcgaZqZdB9USbAes2QBrh.ItCItnKqaj/wrXubrjqZpAZH.1pjsy3gjGdYzdsV0rTXy6FBY4dN.Qe4eM1:19026:0:99999:7:::
jack:!!:19017:0:99999:7:::
zhangsan:!!:19030:0:99999:7:::
复制代码

/etc/shadow文件也是以冒号（:）作为分隔符，将每行分成了9段，每个字段的含义如下：

• 字段1：用户名。
  
• 字段2：密码加密值。当此字段为*或!!时，表示用户不能登录到此系统。当为空时，表示用户无需密码即可登录。
  
• 字段3：上次修改密码时间。从1970/1/1到上次修改密码的天数。 0 有特殊意思，表示用户应该在下次登录系统时更改密码。
  
• 字段4：最小修改密码间隔天数，即两次修改口令之间所需的最小天数。若不设置，默认为0，表示当天即可修改。 空字段或 0 都表示当天即可修改。
  
• 字段5：密码有效期。若为99999，表示永久有效。
  
• 字段6：警告时间。表示从系统开始警告用户到用户密码正式失效之间的天数。空字段或者 0 表示没有密码警告期。
  
• 字段7：密码过期后的宽限天数。
  密码过期后，仍然接受使用此密码进行登录的天数（在此期间，用户应该在下次登录时修改密码）。
  
• 字段8：账户失效时间。从1970/1/1日起，到用户被禁用的天数。默认为空。
  账户过期不同于密码过期。账户过期后，用户将不被允许登录。密码过期后，用户将不被允许使用此密码登录。
  
• 字段9：保留字段。此字段保留作将来使用。

2.2 添加用户账号 useradd

命令格式：

useradd [选项] 用户名
复制代码

添加用户后，会在/etc/passwd文件和/etc/shadow文件中生成相应信息：

• 在/etc/passwd 文件和/etc/shadow 文件的末尾增加该用户账号的记录。
• 若未明确知道用户的宿主目录，则在/home 目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。
• 若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group 和 /etc/shadow 文件中。

[root@localhost ~]# useradd nancy       //创建nancy用户
[root@localhost ~]# cat /etc/passwd |grep nancy   //查看passwd文件中和nancy有关的行
nancy:x:1006:1007::/home/nancy:/bin/bash
[root@localhost ~]# tail -1 /etc/passwd    //查看passwd文件最后一行
nancy:x:1006:1007::/home/nancy:/bin/bash
[root@localhost ~]# tail -1 /etc/shadow    //查看shadow文件最后一行
nancy:!!:19044:0:99999:7:::
复制代码

常用选项：