Linux:用户账号和权限管理的命令

一、Linux用户的分类和组的分类

1.1、用户账号和组账号

1.2、用户的分类

1.3、组账号

1.4、用户账号文件/etc/passwd

二、用户管理相关命令

2.1、chage命令：用来修改帐号和密码的有效期限，针对目前系统已经存在的用户

2.2、useradd：添加用户账号

2.3、passwd命令

2.4、usermod命令

2.5、userdel命令

三、用户账号文件与组账号文件

3.1、用户账号的初始配置文件

3.2、组账号文件

四、组账号文件相关命令

4.1、groupadd命令

4.2、gpasswd命令

4.3、groupdel命令

4.4、groups命令

4.5、finger命令：查询用户账号的详细信息

4.6、查询账号信息w、who、users

五、设置文件/目录的权限和归属

5.1、设置文件/目录权限 — chmod

5.2、文件或目录的权限和归属

六、权限掩码umask

一、Linux用户的分类和组的分类

1.1、用户账号和组账号

（1）用户帐号

①超级用户 ②普通用户 ③程序用户

（2）组帐号

①基本组(私有组) ②附加组(公共组)
（3）UID和GID

①UID (User IDentity,用户标识号)

②GID (Group IDentify,组标识号)

1.2、用户的分类

①超级用户 ②普通用户 ③程序用户

（1）超级用户： root 用户是 Linux 操作系统中默认的超级用户账号，对本主机拥有至高无上的权限，类似于 Windows 操作系统中的 Administrator 用户。只有当进行系统管理、维护任务时，才建议使用 root 用户登录系统，日常事务处理建议只使用普通用户账号。
root 拥有对系统的最高的管理权限 ID=0

（2）普通用户：普通用户账号需要由 root 用户或其他管理员用户创建，拥有的权限受到一定限制，一般只在用户自己的宿主目录中拥有完整权限
系统用户 UID:1-999(centos7 版本) 1-499(centos6 版本)
UID:即每个用户的身份标示,类似于每个人的身份证号码。

（3）程序用户：在安装Linux操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，而仅用于维持系统或某个程序的正常运行，如 bin、daemon、ftp、mail 等伪用户一般不会用来登录系统的，它主要是用于维持某个服务的正常运行.如：ftp，apache。

1.3、组账号

管理员组：root, 0 普通组:GID
系统组：1-499（CentOS6）, 1-999（CENTOS7）
普通组：500+（CentOS6）, 1000+（CENTOS7）
表示该账户需要密码才能登录，为空时，账户无须密码即可登录
组账号
基本组：基于某种特定联系（如都需要访问 FTP 服务）将多个用户集合在一起，即构成一个用
户组，表示该组内所有用户的账号称为组账号。每一个用户账号至少属于一个组，这个组称为该用户的基本组（或私有组）。

1.4、用户账号文件/etc/passwd

wangming：用户名是为了方便用户查看，，linux系统是通过UID来识别用户身份，并给权限

x：表示用户没有设置密码，但不是真正的密码，真正密码在/etc/shadow下（！这个x是不能删除的，删除了回导致用户不用密码也能登陆，从而引发安全问题）

1000：表示用户的UID

1000：表示所属基本组账号的GID

wangming：描述性信息，此字段只是用来解释这个用户的意义而已

/home/wangming：宿主目录，即该用户登录后所在的默认工作目录

/bin/bash：录 Shell 等信息，用户完成登录后使用的

扩展：/etc/shadow（影子文件）
/etc/shadow 文件只有 root 用户拥有读权限，其他用户没有任何权限，这样就保证了用户密码的安全性和 /etc/passwd 文件一样，文件中每行代表一个用户，同样使用 ":" 作为分隔符，不同之处在于，每行用户信息被划分为 9 个字段。

第一列：账户名
第二列：存放真正加密的密码，采用SHA512散列算法，更加安全加密原来用MD5 或 DES
!!和*表示没有密码不能登陆，新创建用户也是!!，如果密码前面显示双感叹号表示该账户被锁定了

第三列：上一次修改密码的时间，从1970年1月1日开始算的，因为1970年是linux的诞生日，date -d "1970-01-01 18983 days"可以查看哪一天改过

第四列：多久之后才可以修改密码，如果是 0，则密码可以随时修改
最小修改间隔时间，也就是说该字段规定了从第三个字段（最后一次修改密码的日期）起，多长时间之内不能修改密码，如果是0 则随时修改密码，如果是10 则代表密码修改后10天之内不能再次修改密码，此字段是为了针对某些人频繁更改账号密码而设计的。

第五列：密码有效期，默认99999（273年），表示永久生效

第六列：密码到期前的第几天发出告警信息，默认是7天，每次登录系统都会向该账户发出 "修改密码" 的警告信息

第七列：密码过期的宽限天数，过期后的几天还是可以登陆的，如果过了宽限天数，系统将不再让此账户登陆，也不会提示账户过期，是完全禁用

比如说，此字段规定的宽限天数是10，则代表密码过期10天后失效；如果是0 则代表密码过期后立即失效；如果是 -1 则代表密码永远不会失效
第八列：账号失效时间，使用自 1970 年 1 月 1 日以来的总天数作为账户的失效时间
第九列：保留，未使用

二、用户管理相关命令

2.1、chage命令：用来修改帐号和密码的有效期限，针对目前系统已经存在的用户

chage [选项] 用户名

-m：密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M：密码保持有效的最大天数。chage -M 60 root
-w：用户密码到期前，提前收到警告信息的天数。
-E：帐号到期的日期。过了这天，此帐号将不可用。
-d：上一次更改的日期。
-i：停滞时期。如果一个密码已过期这些天，那么此帐号将不可用。
-l：例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

2.2、useradd：添加用户账号

useradd [选项] 用户名

-u：指定用户的 UID 号，要求该 UID 号码未被其他用户使用。
-d：指定用户的宿主目录位置（当与-M 一起使用时，不生效）。
-e：指定用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。
-g：指定用户的基本组名（或使用 GID 号）。
-G：指定用户的附加组名（或使用 GID 号）。
-M：不建立宿主目录，即使/etc/login.defs 系统配置中已设定要建立宿主目录。
-s：指定用户的登录Shell。

2.3、passwd命令

passwd [选项] 用户名

-d：清空指定用户的密码，仅使用用户名即可登录系统。
-l：锁定用户账户。
-S：查看用户账户的状态（是否被锁定）。
-u：解锁用户账户。

2.4、usermod命令

usermod [选项] 用户名

-l：更改用户账号的登录名称（Login Name）。

-L：锁定用户账户。
-U：解锁用户账户。

-u：修改用户的 UID 号。
-d：修改用户的宿主目录位置。
-e：修改用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。
-g：修改用户的基本组名（或使用 GID 号）。
-G：修改用户的附加组名（或使用 GID 号）。
-s：指定用户的登录 Shell。

2.5、userdel命令

userdel [-r] 用户名

添加 -r 选项时，表示连用户的宿主目录一并删除

三、用户账号文件与组账号文件

3.1、用户账号的初始配置文件

1 .bash_profile：示例代码中为用户添加了2个环境变量(JAVA_HOME和CLASSPATH),并修改了已有环境变量PATH的值.(PATH的查找是从前开始查找,找到就返回)
CLASSPATH环境变量的值是在JAVA运行时查找加载类的默认classpath.

2 .bashrc ：例子中定义了路径，语言，命令别名（使用rm删除命令时总是加上-i参数需要用户确认，使用ls命令列出文件列表时加上颜色显示）。
每次修改.bashrc后，使用source ~/.bashrc（或者 . ~/.bashrc）就可以立刻加载修改后的设置，使之生效。

一般会在.bash_profile文件中显式调用.bashrc。登陆linux启动bash时首先会去读取~/.bash_profile文件，这样~/.bashrc也就得到执行了，你的个性化设置也就生效了。
关于环境变量的读取顺序:
用户登录 ->> 加载~/.bash_profile --> bash_profile中配置了首先是使~/.bashrc生效

3 .bash_logout
用途: 用户登出时执行的命令

# ~/.bash_logout

# 在当前用户登出时,打印出Logout 和当前的时间
echo "Logout, `date`"