LINUX用户和组管理
linux用户分类:Username/UID
管理员:root,UID 0号,拥有最高权限;负责系统的启功、停止,安装新软件,
增加、删除用户,保证系统正常运转;
主目录:/root
普通用户:1-65535;通常情况下只能在自己的主目录下进行操作;
主目录通常在/home下,其中包含用户的设置、程序配置文件、邮件等
系统用户:1-499.对守护进程获取资源进行权限分配
登陆用户:500+,交互式登陆
为用户划分组的优点
1、避免手工逐个调整用户权限。当赋予某个工作组一定权限是,工组中的用户
自动具有相应的权限。
2、方便同组用户之间共享资源。
3、可将管理系统的任务划分到工作组内所有用户身上,而不需要逐一指定特定
的管理人员,增加了系统管理的灵活性。
用户账号文件
/etc/passwd文件
-包含系统所有用户的用户名及其相关信息。
-每行对应一个用户。
account:password:UID :GID :GECOS :directory:shell
account:用户名
x:口令占有位,很早以前放的是用户口令;系统为了安全,把它单独放在一个空间,
为了与其他系统保留兼容所以占有一个位置。
#pwunconv 回归传统,显示口令,不安全。
#pwconv
UID:用户UID身份号。管理员root,0号;
普通用户:1-65535
系统用户:1-499,1-999(CENTOS7);对守护进程获取资源进行权限分配
登陆用户:500+,1000+(CENTOS7);交互式登陆
GID:用户基本组的ID号
GECOS:用户的描述信息。(包括,用户的全名,办公地址,办公电话,家庭电话)
#chfn long 更改用户的描述信息,如下图。
#finger long 显示用户的描述信息
directory:用户的家目录路径
#usermod -d /home/long long 通过命令更改家目录时, 需确保用户退出状态。
shell:用户的shell类型。
#chsh -s /sbin/nologin long 更改用户的shell类型。
#/bin/bash 可以直接切换shell类型
#getent passwd long 只显示用户的信息
用户口令文件
/etc/shadow文件
-为保证系统安全性(passwd文件可以被任何用户读取),系统将用户口令
保存在shadow中
root:$6$nh0f4Ayy93oOdPAQ$MmF1V6ulOCqdAVLjsvwQ5rpOGo3lMCX0
rjyNbn7beEhIG3dXSi7iamAjFtEm/DtaVdyBRo/r1:17312:0:99999:7:5:17520:
bin:*:17110:0:99999:7:::
ntp:!!:17303::::::
root:用户登陆名。加密后的口令若为空,则表示不需要口令即可登陆;
若为“*”或“!”,则表示该账号被禁用。
#usermod -L long 锁定用户账号,使用户无法登陆;
#usermod -U long 解锁。
6:加密算法。单向加密:哈希算法,原文不同,密文必不同
md5:message digest 128bits
sha1:secure hash algorith,160bits
sha224,sha256,sha 384 ,sha 512(6,centos7默认加密算法)
#authconfig –passalgo=sha256 –update 定义加密算法
也可以直接更改配置文件:etc/login.defs
$nh0f4Ayy93oOdPAQ$: salt,盐,加密时生成的随机数;用户设定的密码一样,但是salt不 一样,生产的加密口令也不一样。
#openssl passwd -6 -salt “nh0f4Ayy93oOdPAQ”
设置相同的salt,以及相同的加密算法,是用户的密码一样。
17312:从1970-1-1起到密码最近一次被更改的天数
0:用户口令最短有效期,即口令更改后不可更改的天数。(0表示随时可被更改)
99999:用户口令最长有效期。口令更改后必须更改的天数。
7 :口令失效前警告用户的天数。(默认为一周)
5:口令过期后,账号被锁定的天数。
17520:账号的有效期(账号被禁用时距1970-1-1的天数)
linux组的类别:
用户的主要组:
用户必须属于一个且只有一个主组,组名和用户名相同,
且仅包含一个用户:私有组
用户的附加组:一个用户有零个或多个辅助组
当一个用户属于多个组的时候,它获取的是多个组的累加权限
用户组账号文件
/etc/group
格式: group_name:passwd:GID:user_list
组名:加密后的组口令(已不用)
组ID:以当前主组为附加组的用户列表(多个用,隔开)。
用户组口令文件
/etc/gshadow文件
定义用户组口令、组管理员。
组名:加密后的口令:组管理员:组成员
编辑和验 证用户和组账号
vipw:编辑/etc/passwd
vigr:编辑/etc/group
pwck:验证/etc/passwd和/etc/shadow的正确性
grpck:验证/etc/group和/etc/gshadow的正确性
创建新用户
用户创建必须有超级用户root来创建
主要步骤:添加一条记录到/etc/passwd文件中;创建用户主目录;
在用户主目录中设置用户的默认配置文件。
以上步骤可用/usr/sbin/useradd命令实现。
useradd [opption] LOGIN
- -u UID:定义在/etc/login.defs
- -o 配合-u 选项,不检查UID的唯一性,即可以创建相同的UID号的用户
- -g GID:指明用户所属基本组,可为组名。
- -c “comment”:用户的注释信息。
- -d HOME_DIR:以指定的路径(不存在)为家目录,
- -s SHELL:指明用户的默认SHELL程序,可用列表在/etc/shells文件中
- -G GROUP1[,GROUP2,…] :为用户指明附属组,组须事先存在
- -N 不创建私有组做主组,使用users组做主组
- -r: 创建系统用户 CENTOS6:ID<500, CENTOS7:ID<1000
指定家目录路径,但不生成;邮件也不生成
显示useradd命令的默认值
上图中的具体值得设置可以用以下命令,也可以直接修改/etc/default/useradd 文件
useradd -D -s SHELL
useradd -D -b BASE_DIR
useradd -D -g GROUP
删除用户
主要步骤:删除/etc/passwd文件中此用户的记录;
删除/etc/group文件中此用户的信息;
删除用户的主目录;
删除用户所创建的或属于此用户的文件。
以上步骤可用/usr/sbin/userdel命令实现。
-例:userdel -r long (删除用户long 及其主目录和其中所有文件)
临时禁用账户
把用户的记录从/etc/passwd中注释掉或删除掉,保留其主目录和其他文件不变。
在/etc/passwd文件中或/etc/shadow中,将该用户的口令域的第一个字符前面加
上一 个“*”
用户已有属性的修改
usermod [OPTION] login
-u UID: 新UID ,更改用户UID
-g GID: 新主组 ,更改用户的主组
-G GROUP1[,GROUP2,…[,GROUPN]]]:新附加组,原来的
附加组将会被覆盖;若保留原有,则要同时使用-a选项
-s SHELL:新的默认SHELL
-c ‘COMMENT’:新的注释信息
-d HOME: 新家目录不会自动创建;若要创建新家目录并移动原家数据,
同时使用-m选项
-l login_name: 更改用户名
-L: lock指定用户,在/etc/shadow 密码栏增加 !
-U: unlock指定用户,将 /etc/shadow 密码栏的 ! 拿掉
-e YYYY-MM-DD: 指明用户账号过期日期
-f INACTIVE: 设定非活动期限
创建/修改/删除 组
groupadd [OPTION]… group_name
-g GID : 指明GID号;[GID_MIN,GID_MAX]
创建一个组ID为510的用户组
#groupadd -g 510 group_name
-r:创建系统组 centos6:ID <500 ; centos7:ID<1000
更改组的已有属性
groupmod [OPTION]…group
-n group_name:给用户的组名修改新的组名
-g GID:新的GID
删除组:groupdel
groupdel GROUP 只能删除用户的附属组,主组不能删除
管理组中的用户
在组中添加用户或删除用户
-直接编辑/etc/group文件,为组添加用户。
-或用gpasswd和groupmems命令
groupmems [options] [action]
options:
-g, –group groupname 更改为指定组 (只有root)
#groupmems -g xiaoqiang -l 查看小强组里的附属组成员
Actions:
-a, –add username 指定用户加入组
-d, –delete username 从组中删除用户
-p, –purge 从组中清除所有成员
-l, –list 显示组成员列表
gpasswd [OPTION] GROUP
-a user: 将user添加至指定组中
-d user: 从指定组中移除用户user
用户和组状态命令
显示用户当前的uid,gid,和所属组列表
id [OPTION]… [USER]
-u: 显示UID
-g: 显示GID
-G: 显示用户附加组的ID
-n: 显示名称,需配合ugG使用
#id xxx &> /dev/null 判断用户是否存在
用户和组的密码相关设置
修改用户密码策略
chage [OPTION]… LOGIN
-d LAST_DAY 最后一次口令更改的时间
-E –expiredate EXPIRE_DATE 用户账号的过期时间
-I –inactive INACTIVE 过了账户期后多少天,把账号锁定
-m –mindays MIN_DAYS 口令最短有效期
-M –maxdays MAX_DAYS 口令最长有效期
-W –warndays WARN_DAYS 账号快过期时,提前几天警告
–l 显示密码策略
示例: chage -d 0 tom 下一次登录强制重设密码
chage -m 0 –M 42 –W 14 –I 7 tom
chage -E 2016-09-10 tom
设置密码
passwd [OPTIONS] UserName: 修改指定用户的密码,
仅 root用户权限
passwd: 修改自己的密码
常用选项:
-l:锁定指定用户 -u:解锁指定用户
-e:强制用户下次登录修改密码,相当于#chage -d 0
-n mindays: 指定最短使用期限
-x maxdays:最大使用期限
-w warndays:提前多少天开始警告
-i inactivedays:非活动期限
–stdin:从标准输入接收用户密码
echo “PASSWORD” | passwd –stdin USERNAME &> /dev/null
可以把改密码的信息隐藏
更改组密码
组密码:gpasswd
gpasswd [OPTION] GROUP
-a user: 将user添加至指定组中
-d user: 从指定组中移除用户user
-A user1,user2,…: 设置有管理权限的用户列表
newgrp命令:临时切换主组
如果用户本不属于此组,则需要组密码
原创文章,作者:shenjialong,如若转载,请注明出处:http://www.178linux.com/77129
