Linux用户和组

我们知道Linux是一个多用户多任务的操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。由于是多用户操作系统，必然要涉及到时管理用户。由于用户访问Linux上的资源比较多，为了方便管理出现的组的概念.将多个用户添加到一个组里，方便管理。

介绍安全3A

资源分派：

• Authentication：认证
• Authorization：授权
• Accouting|Audition：审计

用户user

令牌token,identity
Linux用户：Username/UID
管理员：root, 0
普通用户：1-65535
系统用户：1-499, 1-999 （CentOS7）
对守护进程获取资源进行权限分配
登录用户:500+, 1000+（CentOS7）
交互式登录

组group

Linux组：Groupname/GID
管理员组：root, 0
普通组：
系统组：1-499, 1-999（CENTOS7）
普通组：500+, 1000+（CENTOS7）

组的类别

用户的主要组(primary group)
Linuxk 中管理员创建一个用户，默认组名和用户名是一样的，用户必须属于一个且只有一个主组（私有组）
用户的附加组(supplementary group)
一个用户可以属于零个或多个辅助组

用户和组的配置文件

/dev/passwd:用户及其属性信息(名称、UID、主组ID等）

格式 ： name:password:UID:GID:GECOS:directory:shell

• login name：登录用名（wang）
• passwd：密码 (x)
• UID：用户身份编号 (1000)
• GID：登录默认所在组编号 (1000)
• GECOS：用户全名或注释
• home directory：用户主目录 (/home/wang)
• shell：用户默认使用shell (/bin/bash)

修改用户属性的相关命令

• chfn：修改用户的注释信息
• finger：查看用户的注释信息
• chsh：修改用户的shell类型

当用户的shell类型为/sbin/nologin时，代表该用户无法登录，用su是切换不过去的
用户的uid是默认往上递增的，这个定义来自于/etc/login.defs这个文件，当uid在这个范围无法往上递增时，会从最小的uid往上递增。

/etc/shadow：用户密码及其相关属性

格式：

• 登录用名
• 用户密码:一般用sha512加密
• 从1970年1月1日起到密码最近一次被更改的时间
• 密码再过几天可以被变更（0表示随时可被变更）
• 密码再过几天必须被变更（99999表示永不过期）
• 密码过期前几天系统提醒用户（默认为一周）
• 密码过期几天后帐号会被锁定
• 从1970年1月1日算起，多少天后帐号失效
• 为保留字段

修改密码属性的相关命令

• chage:改变用户的密码属性

用户的密码前面有 ！代表该用户已锁定，但可以切换。
锁定帐户，可以在加密口令前加个！。加两个！号是双保险。

/etc/group：组及其属性信息

格式：

• 群组名称：就是群组名称
• 群组密码：通常不需要设定，密码是被记录在 /etc/gshadow
• GID：就是群组的 ID
• 以当前组为附加组的用户列表(分隔符为逗号)

/etc/gshadow：组密码及其相关属性

格式：

• 群组名称：就是群组名称
• 群组密码：
• 组管理员列表：组管理员的列表，更改组密码和成员
• 以当前组为附加组的用户列表：(分隔符为逗号)

用户和组的相关命令

useradd:用户创建

语法：useradd [options] login.name

• -u 指定UID，如不指定，正常情况id按最大的id上递增，超过范围则按最小的数递增
• -o 配合-u选项，不检查UID的唯一性
• -g GID: 指明用户所属的基本组，可为组名，也可以为GID
• -c ”COMMMENT”: 用户的注释信息
• -d home_dir 以指定的路径（不存在）为家目录
• -s shell： 指明用户的默认shell程序，可用列表在/etc/shells中
• -G group1.. 为用户指明附加组，须存在
• -N 不创建私有组做主组，使用users组做主组100
• -r 创建系统用户
• -m 创建家目录，用于系统用户
• -M 不创建家目录，用于非系统用户，家目录不存在则登录会进入”/”

默认值设定：/etc/default/useradd文件中

useradd -D 显示基本设置
[root@sentos7 ~]#useradd -D
GROUP=100 -N选项，如果不创建同名主组，则属于这个组
HOME=/home 家目录
INACTIVE=-1 账号过期的宽限期，为-1，不会锁定
EXPIRE= 账号有效期，默认99999
SHELL=/bin/bash 默认使用的shell类型
SKEL=/etc/skel 创建家目录的源文件地址
CREATE_MAIL_SPOOL=yes 是否创建mail
useradd -D -s 修改默认shell类型
useradd -D -b 修改默认家目录
usreadd -D -g group -N选项之后默认的主组

*/etc/default/useradd 新建用户默认信息
/etc/skel/ 家目录复制地址
/etc/login.defs 添加用户配置信息
/var/spool/mail 邮箱路径
newusers /etc/passwd格式文件： 批量创建用户
cat filename | chpasswd 格式：username:passwd

usermod:用户属性修改

语法：usermod [options] login

• -u UID 新UID
• -g GID或者group 新主组
• -G Group1[,Group].. 新附加组，原来的附加组将会被覆盖
• -aG 若保留原有，则要同时使用-a 选项
• -s shell 新的默认使用shell
• -c ’comment‘： 新的注释信息
• -d home 修改家目录，新的家目录不会自动创建
• -dm home 创建新家目录并移动原家数据
• -l login.name 新的名字，改名之后家目录，邮箱不变
• -L： lock指定用户，在/etc/shadow密码栏增加！
• -U： unlock指定用户，将/etc/shadow密码栏的！拿掉
• -e yyyy-MM-DD:指明用户账号过期时间
• -f INACTIVE： 设定非活动期限，宽限期

userdel:删除用户

语法：userdel [option]… login.name

• -r: 删除用户家目录

id：查看用户的ID信息

语法：id [option]…[USER]

• -u: 显示UID
• -g: 显示GID
• -G： 显示用户所属附加组的ID
• -n: 显示名称，需配合ugG使用

passwd:设置密码：

语法：passwd [options] username: 修改指定用户的密码

• -d 删除指定用户的密码
• -l lock锁定指定用户，加！
• -u unlock，解锁指定用户，去掉！
• -e 强制用户下次登录修改密码
• -f 强制操作
• -n mindays: 指定最短使用期限
• -x maxdays： 最大使用期限
• -w warndays： 提前多少天开始警告
• -i inactivedays：过期还可以使用的天数
• –stdin：从标准输入接收用户密码
  echo helloyou |passwd –stdin username

groupadd:创建组

语法：groupadd [option]…group.name

• -g GID 指明GID号，[DID_MIN,GID-max]
• -r: 创建系统组

groupmod：组属性修改

语法：groupadd [option]…group

• -n group.name 修改组名
• -g GID： 新的GID

groupdel：组删除
groupdel GROUP

gpasswd：更改组密码

语法：gpasswd [option] group

• gpasswd username 创建与修改组密码
• -a user 将user添加至指定组中
• -d user 从指定组中移除用户user
• -A user1,user2,.. 设置有管理权限的用户列表
• -r 删除组密码

newgrp：临时切换主组

临时切换主组
如果用户本不属于此组，则需要组密码

groupmems ：更改组成员

语法：groupmems [options] [action]

• -g,–group groupname 更改为指定组
• -a,–add username 指定用户加入组
  -d,–delete username 指定用户从组中删除
  -p,–purge 删除组所有组成员
  -l，–list 显示组成员列表

groups： 查看用户属于哪些组

语法: groups [OPTION]… [USERNAME]…