Linux操作系统：基础篇6基本功能之用户管理

一、Linux中的用户/组概述

 在Linux系统中，由于角色不同，权限和所完成的任务也不同；用户的角色是通过UID识别的；在系统管理中，系统管理员一定要坚守UID唯一的特性；

 Linux下的用户可以分为三类：超级用户、系统用户和普通用户。

 超级用户：用户名为root，具有一切权限，只有进行系统维护（例如建立用户等）或其他必要情形下才用超级用户登录，以避免系统出现安全问题。

 系统用户：Linux系统正常工作所必需的内建的用户，主要是为了满足相应的系统进程对文件属主的要求而建立的，系统用户不能登录，如bin、daemon、adm、lp等用户，系统用户也称为虚拟用户。

 普通用户：为了让使用者能够使用Linux系统资源而建立的，我们的大多数用户属于此类。

 用户（user）的概念：

Linux是真正意义上的多用户操作系统，所以我们能在Linux系统中建立若干用户。

 用户组（group）的概念：

 用户组（group）就算具有相同特征的用户（user）的集合体；

 用户和用户组的对应关系是：一对一、多对一、一对多或多对多。

 一对一：某个用户可以是某个组的唯一成员；

 多对一：多个用户可以是某个唯一的组的成员，不归属其它用户组；

 一对多：某个用户可以是多个用户组的成员；

 多对多：多个用户对应多个用户组，并且几个用户可以是归属相同的组；

二、用户和用户组相关配置文件

 在 Linux中，用户账号、密码、用户组信息和用户组密码均是存放在不同的配置文件中的。

 在 Linux系统中，用户账号及其相关信息（密码除外）均是存放在一个名叫 passwd的配置文件中的，该文件位于/etc目录。用户密码保存在 shadow配置文件中。

 Linux的配置文件均是文本文件，因此可使用文本文件内容查看命令来查看。在 passwd文件中，一行定义一个用户账号，每行均由多个不同的字段构成，各字段值间用“:”分隔，每个字段均代表该账户某方面的信息。

（1）/etc/passwd 用户账号文件

 第一行是root用户信息，紧接着为系统用户的信息，普通用户的信息位于文件的尾部。passwd文件中每一行由7个字段的数据组成，字段之间用“：”分割，格式如下：

 账号名称：密码：UID：GID：用户的全名或其他描述：主目录：登录Shell

说明如下：

 账号名称：用户登录Linux系统时使用的名称。

 密码：这里的密码是经过加密后的密码，而不是真正的密码，若为“x”，说明密码已经被移动到shadow这个加密过后的文件。

 UID：用户的标识，是一个数值，Linux系统内部使用它来区分不同的用户。

 GID：用户所在组的标识，是一个数值，Linux系统内部使用它来区分不同的组，相同的组具有相同的GID。

 用户的全名或其他描述：可以记录用户的个人信息，如姓名、电话等信息。

 主目录：对于root的主目录在/root，对于普通用户通常是/home/username，username是用户名。

 登录Shell：定义用户登录后使用的Shell版本，默认是bash。

（2）/etc/shadow：用户密码文件

 为每个用户提供一条记录，shadow文件中的每行由9个字段组成，格式如下：

 用户名：加密密码：最后一次修改时间：最小时间间隔：最大时间间隔：警告时间：不活动时间：失效时间：保留字段。

 说明如下：

 最后一次修改时间：表示从1970年1月1日起到上次修改口令所经过的天数。

 最小时间间隔：表示两次修改口令之间至少经过的天数。

 最大时间间隔：表示口令还会有效的最大天数，如果是99999则表示永不过期。

 警告时间：表示口令失效前多少天内系统向用户发出警告。

 不活动时间：密码失效后距离账号被查封的天数。

 失效时间：账号被查封时间距离1970年1月1日的天数。

 保留字段：无意义，未使用。

 在shadow文件中，密码字段为“*”表示用户被禁止登录，为“！”表示用户被锁定。

（3）/etc/group：用户组账号文件

 用户组账户信息保存在 /etc/group配置文件中，任何用户均可以读取。用户组的真实密码保存在/etc/shadow配置文件中。

 在group文件中，第1个字段代表用户组的名称，第2列为x，第3列为用户组的ID号，第4列为该组中的用户成员列表，各用户名间用逗号分隔。

 格式：groupname:passwd:GID:userlist

 Linux中的用户组可以分为三类:用户私有组、系统默认组和普通用户组。

 用户私有组：是创建用户账号时默认生成的与用户登录名一样的用户组。

 系统默认组：（又称标准组）是安装时系统自动创建的用户组，用于向该组内的用户授予某些特定的访问权限。

 普通用户组：是系统管理员创建的组。

三、Linux中用户账号与密码管理

1、添加用户

 在Linux中创建或添加新用户，使用useradd命令来实现。语法为：

 useradd [参数] 用户名

 常用参数：

   -d<登入目录>：指定用户登入时的起始目录

    -m：自动建立用户的登入目录

    -g<群组>：指定用户所属的群组

    -r：建立系统帐号

    -u<用户号>：指定用户的用户号，如果同时有-o选项，则可以重复使用其他用户的标识号。

 增加用户命令的执行有三个过程:

 （1）在/etc/ passwd文件中写入该用户对应的记录项。

 （2）为新登录用户在”/home下建立一个主目录，用户登录后自动进入该目录。

 （3）在/ etc/group中为新用户增加一个入口项。该用户属于哪一个用户组，就把用户名加到该组对应的用户列表中。

 示例：

（1）添加test1用户：
    #useradd test1
  （2）为添加的用户指定相应的用户组：
     #useradd -g root test
  （3）为新添加的用户指定home目录
     #useradd -d /home/test test
t

2、设置用户属性

 对于已创建好的账户，可使用 usermod命令来修改和设置账户的各项属性，包括登录名、主目录、用户组、登录 shell等，该命令的用法为：

   usermod [参数] 用户名

  常用参数：

   -d登入目录>：修改用户登入时的目录。

    -g<群组>：修改用户所属的群组。

    -l<帐号名称>：修改用户帐号名称。

    -u：修改用户ID。

 示例：

（1）改变用户账号名和主目录

  将用户test更名为newtest，操作命令如下：

#usermod –l newtest test

    查看用户信息：

#tail –l /etc/passwd
  newtest:x:503:503::/home/test:/bin/bash

  更改用户主目录：

#usermod –d /home/newtest newtest

（2）锁定账户

 若要临时禁止用户登户，可采取将该用户账户锁定。锁定账户可利用-L参数来实现。

  锁定test账户，则操作命令为:

#usermod –L test

 Linux锁定账户，是通过在密码文件 shadow的密码字段前加“！”来标识该用户被锁定。

（3）解锁用户

 要解锁账户，可使用带-U参数的 usermod命令来实现。

  解锁test账户，则操作命令为:

#usermod –U test

3、删除账号

 要删除账户，可使用 userdel命令来实现，其用法为：

   userdel [-r][用户帐号]

 -r为可选项，若带上该参数，则在删除该账户的同时，一并删除该账户对应的主目录。比如，若要删除test账户，并同时删除其主目录，则操作命令为：

#userdel –r test

4、用户密码管理

 Linux的账户必须设置密码后，才能登录系统。设置账户登录密码，使用passwd命令，其用法为: passwd 账户名

 只有root用户才有权设置指定账户的密码，一般用户只能设置或修改自己账户的密码。例如，若要设置test账户的登录密码，则操作命令为:

#passwd test
  Changing password for user test.
  New password: #键入密码
  Retype new password: #重输密码
  passwd: all authentication tokens updated successfully.

在Linux中，除了用户账户可被锁定外，账户密码也可被锁定，任何一方被锁定后，都将导致该账户无法登录系统。只有root用户才有权执行该命令锁定账户密码使用带-l参数的 passwd命令，其用法为:

    passwd –l 账户名

 示例：

 锁定test账户的密码:

#passwd –l test

用户密码被锁定后，若要解锁，使用带-u参数的 passwd命令，该命令只有root用户才有权执行，其用法为:

    passwd –u 要解锁的账户名

 示例：

  解锁test账户的密码：

#passwd –u test

四、Linux中用户组管理

1、创建用户组

  创建用户组使用 groupadd命令，其命令用法为:

 groupadd 用户组名称

 示例：若要创建一个名为test的用户组，则操作命令为:

#groupadd test
    #tail –l /etc/group
    test: x: 1001 #该用户组的ID为1001

2、删除用户组

 删除用户组使用groupdel命令来实现，其用法为：

  groupdel 用户组名

 示例：删除test用户组，则操作命令为：

#groupdel test

 注：在删除用户组时，被删除的用户组不能是某个账户的私有用户组，否则将无法删除，若要删除，则应该先删除引用该私有用户组的账户，然后再删除用户组。

3、修改用户组属性

（1）将用户添加到指定组，使其成为该组的成员。实现命令为：

    gpasswd –a 用户账户 用户组名

 示例：把用户test加入到gtest用户组中，操作命令为：

#gpasswd –a test gtest
    Adding user test to group gtest

（2）从用户组中移除某用户，实现命令为：

    gpasswd –d 用户账户名 用户组名

 示例：从gtest用户组中，将test用户组移除，操作命令为：

#gpasswd –d test gtest
    Removing user test from group gtest

（3）查询某用户属于哪个用户组，实现命令为：

    groups 用户名

 示例：查询root用户都隶属于那些用户组，操作命令为：

#groups root