Linux基础系列（用户，组管理）

   Linux是一个多用户操作系统多任务的分时操作系统，平时的日常使用离不开用户登录以及用户组的管理，熟练管理用户和用户组，会提升我们的工作效率。

Linux用户管理：

  Linux包括系统管理员，普通用户。普通用户又分为系统用户和登录用户。系统用户一般不会登陆系统，其shell类型一般为/etc/nologin.

      管理员：root, 0
      普通用户：1-65535
         系统用户：1-499（CENTOS6）, 1-999
            对守护进程获取资源进行权限分配
         登录用户:500（CENTOS6）+, 1000+
         交互式登录

   配置文件：

        /etc/passwd ：存放用户账号信息

       /etc/shadow  ：存放用户密码信息

/etc/passwd文件格式：

[root@localhost ~]# getent passwd root
root:x:0:0:root:/root:/bin/bash
gentoo:x:4322:4322:Gentoo Distribution:/home/gentoo:/bin/csh

可以看到/etc/passwd文件一共存在七个字段，每个字段用冒号隔开，其意义分别为：

   用户名：密码位：uid：gid：描述信息：家目录：shell类型

可以看到密码位为x，是因为为了保险起见，密码被放在了另一个文件中，这个文件就是/etc/shadow，让我们也来看看这个文件的格式内容

/etc/shadow:

[root@localhost test]# tail /etc/shadow
gentoo:!!:17015:0:99999:7:::
natasha:$6$Fr6mxmMZ$QZzqqAJAlZzsygjzHo6NwaEkgM0oOl16sn8h.lfVht4k2VbnhMpImBqy2VOy8eRPHkhvGrjyEflmwaYSYLaq41:17015:0:99999:7:::
harry:$6$cf2ssZV3$roPCkbiIdQKZGwyg5EW9bP5g/KWDYxFBlx8db5JbT4J575zlOGAjUEBLmK/8G1hUL/fBS28DbQ0dyNpaUPMfy.:17015:0:99999:7:::
sarah:$6$Cx7kTnrR$n.Ly6GsbMxkM9Xen/QzahpQjAM8N.7u.TMqXMf.UTbdJy8XUucCByCkMnGYOkGzHcGvTSxpFgO9UAy2BXHAwP/:17015:0:99999:7:::
rooter:!!:17015:0:99999:7:::
router:!!:17015:0:99999:7:::
user1:!!:17016:0:99999:7:::

   同上，这个文件也是用冒号隔开，不过一共有九个字段

用户名：加密的口令：最后一次更改密码的时间：密码最短使用时间:密码最长使用时间：提前几天通知：密码过期后可以使用几天：账户可用时间：保留字段

  可以看到加密的口令字段开头都有$6，这是一种加密方式，加密类型为sha512:512bits。加密口令后面跟着好几个时间，下面有个图，可以较为清晰地来区分这几个时间。

注意：添加用户时如果没有设密码，此时密码位显示两个！！号，表示双重锁定的意思，如果将！ ！删去，那用户便可以空密码登录。

在centos6，7中，使用usermod -L 解锁只能去掉一个！号，在redhat5中，使用usermod -L可以解锁两个！号 ，从而实现空密码登录

last change date ：最后一次修改密码的时间，如若此值为0，则表示下次登录必须修改密码

min days：密码最少被使用的天数（0表示随时可被变更）

max days：密码最长能使用多少天（99999表示永不过期）

warn days：当密码最长使用天数快到时，提前几天通知

inactive days：当密码过期后，还能使用多少天

账号管理命令：

    useradd
    usermod
    userdel

useradd[options] LOGIN
-u UID: [UID_MIN, UID_MAX]定义在/etc/login.defs
-o 配合-u 选项，不检查UID的唯一性
-g GID：指明用户所属基本组，可为组名，也可以GID
-c "COMMENT"：用户的注释信息
-d HOME_DIR:以指定的路径(不存在)为家目录
-s SHELL: 指明用户的默认shell程序，可用列表在/etc/shells文件中
-G GROUP1[,GROUP2,…]：为用户指明附加组，组必须事先存在
-N 不创建私用组做主组，使用users组做主组
-r: 创建系统用户CentOS 6: ID<500，CentOS 7: ID<1000

练习：创建一个用户jane，要求其的UID为2222，注释信息为“hello world”，用户家目录为/testdir/hello，默认shell类型为csh，附加组为root。

[root@localhost ~]# useradd -u 2222 -c "hello world" -d /testdir/hello -s /shell/csh -G root jane
[root@localhost ~]# getent passwd jane
jane:x:2222:2222:hello world:/testdir/hello:/shell/csh
[root@localhost ~]# useradd -u 2222 -c "hello world" -d /testdir/hello -s /shell/csh -G root jane
[root@localhost ~]# getent passwd jane
jane:x:2222:2222:hello world:/testdir/hello:/shell/csh

当你想创建两个uid相同的用户时，使用-o选项，他会忽略UID的唯一性：

[root@localhost ~]# useradd -u 2222 -o lilei
[root@localhost ~]# getent passwd lilei
lilei:x:2222:4333::/home/lilei:/bin/bash

每个用户在创建的时候系统都会重建一个与他重名用户组，如果指定主组，则会使用它做用户的主组

[root@localhost ~]# useradd tom
[root@localhost ~]# getent passwd tom
tom:x:4331:4334::/home/tom:/bin/bash
[root@localhost ~]# getent group tom
tom:x:4334:

使用-N选项可以不创建私用组做主组，使用users组做主组

[root@localhost ~]# useradd -N tomre
[root@localhost ~]# id tomre
uid=4332(tomre) gid=100(users) groups=100(users)

至于为什么会用users做主组，这个取决于用户配置的默认配置文件/etc/default/useradd,使用useradd -D可以显示或更改默认设置：

[root@localhost ~]# useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
[root@localhost ~]# useradd -D -s /shell/csh
[root@localhost ~]# useradd -D 
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/shell/csh
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

usermod[OPTION] login
-u UID: 新UID
-g GID: 新基本组
-G GROUP1[,GROUP2,…[,GROUPN]]]：新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使用-a选项，表示append；
-s SHELL：新的默认SHELL；
-c 'COMMENT'：新的注释信息；
-d HOME: 新家目录不会自动创建，原家目录中的文件不会同时移动至新的家目录；若要创建新家目录并移动原家数据，同时使用-m选项
-l login_name: 新的名字；
-L: lock指定用户,在/etc/shadow 密码栏的增加!
-U: unlock指定用户,将/etc/shadow 密码栏的! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期；
-f INACTIVE: 设定非活动期限；

可以发现usermod和useradd的大多数参数差不多，用法也大致相同，下面我们来实验几个参数。

-l 更改用户名：

[root@localhost ~]# usermod -l tomch tom
[root@localhost ~]# id tom
id: tom: no such user
[root@localhost ~]# id tomch
uid=4331(tomch) gid=4334(tom) groups=4334(tom)

-L 锁定用户，使其不能登录

[root@localhost ~]# passwd tomre
Changing password for user tomre.
New password: 
BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@localhost ~]# usermod -L tomre

-U 解锁被锁定的用户：

[root@localhost ~]# usermod -U tomre

userdel[OPTION]… login 删除用户
-r: 删除用户家目录；

如果不加参数直接跟账号，那么用户会被删除，但是用户的家目录还在，其属主属组被原用户的UID和GID代替。

[root@localhost ~]# useradd lihua
[root@localhost ~]# id lihua
uid=4333(lihua) gid=4335(lihua) groups=4335(lihua)
[root@localhost ~]# userdel lihua
[root@localhost ~]# id lihua 
id: lihua: no such user

-r 删除家目录

[root@localhost home]# useradd lihua
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
Creating mailbox file: File exists
[root@localhost home]# id lihua
uid=4333(lihua) gid=4335(lihua) groups=4335(lihua)
[root@localhost home]# userdel -r lihua

用户密码修改：

passwd[OPTIONS] UserName: 修改指定用户的密码，仅root用户权限
passwd: 修改自己的密码；
常用选项：
-l:锁定指定用户
-u:解锁指定用户
-e:强制用户下次登录修改密码
-n mindays: 指定最短使用期限
-x maxdays：最大使用期限
-w warndays：提前多少天开始警告
-iinactivedays：非活动期限；
–stdin：从标准输入接收用户密码；
echo "PASSWORD" | passwd–stdinUSERNAME

root用户可以更改自己密码以及其他普通用户的密码，而普通用户只能更改自己的密码。

[root@localhost home]# passwd user1
Changing password for user user1.
New password: 
BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word
Retype new password: 
passwd: all authentication tokens updated successfully.

-l 锁定指定用户：

[root@localhost home]# passwd  -l user1
Locking password for user user1.
passwd: Success

-u 解锁用户

[root@localhost home]# passwd  -u user1
Unlocking password for user user1.
passwd: Success

-e:强制用户下次登录修改密码

[root@localhost home]# passwd  -e user1
Expiring password for user user1.
passwd: Success

还有一种修改密码的方法就是使用echo命令管道送给passwd，不过这种方法是明文，可以再历史命令中查看到

echo "PASSWORD" | passwd–stdinUSERNAME

[root@localhost /]# echo "centos" | passwd --stdin xiaoshui
Changing password for user xiaoshui.
passwd: all authentication tokens updated successfully.

chage[OPTION]… LOGIN
-d LAST_DAY
-E, –expiredateEXPIRE_DATE
-I, –inactive INACTIVE
-m, –mindaysMIN_DAYS
-M, –maxdaysMAX_DAYS
-W, –warndaysWARN_DAYS
–l，显示密码策略

chage命令作用和passwd的用法差不多，这里只举例一两个：

[root@localhost /]# chage -l root
Last password change                    : never
Password expires                    : never
Password inactive                    : never
Account expires                        : never
Minimum number of days between password change        : 0
Maximum number of days between password change        : 99999
Number of days of warning before password expires    : 7

chage -d0 表示用户下次登录必须要修改密码：

[root@localhost /]# chage -d0 user1

此外还有一些其他的账户管理命令：

chfn

更该用户的注释信息

finger：查看详细的用户注释信息

chsh 更改用户shell类型

用户组管理：

有关用户组的两个文件：

   /etc/group

   /etc/gshadow

/etc/group存放着用户组信息，/etc/gshadow中存放着组密码及相关信息

/etc/group文件格式：

每个字段用：隔开，分为四个字段：

组名：组密码：GID：组成员

/etc/gshadow文件格式：

组名：组密码：组管理员：组成员

管理用户组也是通过命令来实现；

groupadd[OPTION]… group_name
-g GID: 指明GID号；[GID_MIN, GID_MAX]
-r: 创建系统组（CentOS 6: ID<500；CentOS 7: ID<1000）

[root@localhost /]# groupadd -g 3333 ad
[root@localhost /]# getent group ad
ad:x:3333:

组属性修改：groupmod
groupmod[OPTION]… group
-n group_name: 新名字
-g GID: 新的GID；

[root@localhost /]# groupmod -n newad ad
[root@localhost /]# getent group ad
[root@localhost /]# getent group newad
newad:x:3333:
[root@localhost /]# groupmod -g 3111 newad 
[root@localhost /]# getent group newad
newad:x:3111:

组删除：groupdel
groupdelGROUP

[root@localhost /]# groupdel newad
[root@localhost /]# getent group newad
[root@localhost /]#

组密码：gpasswd
gpasswd[OPTION] GROUP
-a user: 将user添加至指定组中；
-d user: 从指定组中移除用户user
-A user1,user2,…: 设置有管理权限的用户列表
newgrp命令：临时切换基本组；
如果用户本不属于此组，则需要组密码

[root@localhost /]# gpasswd -a user1 root
Adding user user1 to group root
[root@localhost /]# id user1
uid=4329(user1) gid=4329(user1) groups=4329(user1),0(root)
[root@localhost /]# gpasswd -d user1 root
Removing user user1 from group root
[root@localhost /]# id user1
uid=4329(user1) gid=4329(user1) groups=4329(user1)
[root@localhost /]# gpasswd -A user1 user2
[root@localhost /]# getent gshadow user2
user2:!:user1:

组密码：使用没有加入过的组名当作当前主组时候，需要输入这个组的组密码

groupmems[options] [action]
options：
-g, –group groupname更改为指定组(只有root)
Actions:
-a, –add username 指定用户加入组
-d, –delete username 从组中删除用户
-p, –purge 从组中清除所有成员
-l, –list 显示组成员列表

groupmems就不练习，基本上用法都差不多

[root@localhost /]# groupmems -l 
gentoo  jane

groups [OPTION].[USERNAME]… 查看用户所属组列表

[root@localhost /]# groups gentoo
gentoo : gentoo root bin    

好了，以上是此次博客的全部内容，还是需要多多练习，才能熟练掌握。