用户管理命令:
首先要先知道两个配置文件:
/etc/group 用户组配置文件
/etc/passwd 保存了所有用户的用于读取的必要信息
**/etc/shadow **是 Linux 系统中用于存储用户密码信息的文件。这个文件也被称为“影子文件”,因为它包含了 /etc/passwd 文件中用户账号的加密密码。与 /etc/passwd 文件不同,/etc/shadow 文件通常只有 root 用户和具有特殊权限的用户才能访问,从而增强了系统的安全性。
在添加用户之前,应该先查看一下当前系统下已经存在的用户情况。Linux系统的所有用户都在系统文件/etc/passwd文件中存放,在命令行窗口中运行如下命令
cat /etc/passwd 查看用户列表下面是一些用户(一行表示一个用户,每个字段之间用“:”分隔)
/etc/passwd配置文件字段及说明:
举例:root:x:0:0:root:/root:/bin/bashcg:x:1000:1000:vm1:/home/cg:/bin/bash
| 字段1 | 用户名 |
|---|---|
| 字段2 | 密码占位符(早先时间真的保存了用户密码,后来随着安全提升,就放到/etc/shadow,但是字段保留了。) |
| 字段3 | 用户的UID 0表示超级用户,500 60000普通用户,(换句话说,如果把某个普通用户的UID修改为0,则该用户就变成了管理员账户。)UID从1到499是系统预留的系统用户,也称伪用户,不能用于登录。可以看到在CentOS 7中,普通用户的UID是从1000开始进行分配的。 1-499程序用户(启动一个程序的时候需要依托一个用户的权限来启动,如果没有这些程序用户的话,比如说用root份启动了一个apache服务。如果这个服务有漏洞,或者说被注入恶意代码,那么恶意代码就会以root身份运行,因此启动不同程序的时候使用的都是程序用户的身份,这种用户是不允许登陆系统的,这是程序用户的特点,为了系统安全(在Liunx中,系统不认识用户名,只认UID,相当于身份证) |
| 字段4 | 基本组的 GID ,概念:先有组才有用户【用户必须存在于一个组】 |
| 字段5 | 用户信息记录字段【比如用户在公司的工号是多少,联系方式,家庭地址,现在已经很少了,基本废弃了】 |
| 字段6 | 用户的家目录 |
| 字段7 | shell脚本:用户登录系统后使用的命令解释器(默认是bash) |
/etc/shadow配置文件字段及说明cat /etc/shadow** **展示出如下数据:
| 序号 | 字段 | ** 说明** |
|---|---|---|
| 字段1 | 用户名 | 登录用户名 |
| 字段2 | 密码 | 加密后的密码(默认使用sha-512这种加密方式,同时过于简单的密码加密完了的信息完全相同,还混合了salt值,salt值不能被别人看到,若看到可利用字典进行密码暴力破解) |
| 字段3 | 最后一次修密码的时间 | (从1970年1月1日到最后一次修改密码的天数 |
| 字段4 | 最小间隔时间 | 两次修改密码之间最少间隔的天数 |
| 字段5 | 最大间隔时间 | 密码有效的最大天数, 99999表示永不过期 |
| 字段6 | 警告时间 | 密码有效期前多少天开始向用户发出警告信息 |
| 字段7 | 不活动天数 | 密码过期后多少天内允许用户登录 |
| 字段8 | 失效时间 | 整数,是从1970年1月1日到用户禁止登录时间 |
| 字段9 | 标认位 | 保留,未使用 |
为什么Linux要分别使用两个文件来管理用户信息和密码信息呢?查看两个文件的权限,运行如下命令并查看结果:ls -l /etc/passwd /etc/shadow
可以看到,passwd 文件所有人都可以读,shadow文件无人有权限,除了root用户(linux机制规定)
创建用户:
每创建一个用户都会新建/home/用户名 ,并作为该用户的家目录,用户对家目录拥有控制权,这也是将用户文件进行分隔的有效措施
useradd [-g -d] 用户名 :
- 下面可以看到/etc/passwd中已经包含了用户cg2的信息
- 可以看到已经包含了同名的cg2目录,并将其作为cg2用户的家目录
图形化展示:
useradd命令只能root用户使用,或者root用户组使用
我们可以验证一下:whereis useradd得到useradd所在的文件
查看权限:发现其他没有任何权限。得证
刚才我们只是创建了用户,但是还没有设置密码,cat /etc/shadow | grep cg2
可以看到第二个字段是!! 说明还没有设置密码
locate查找cg2,发现原来还创建了cg2的邮件目录
**综上所述,**当使用useradd命令新建一个用户后,将在/etc/passwd文件中写入一行新建用户信息,在/etc/shadow文件中写入一行用户密码信息,在/home目录中新建和用户名相同的家目录,在/var/spool/mail目录下新建与用户名相同的邮件目录。
useradd命令的选项
- 把新建用户cg3放入指定用户组cg2中
useradd -g cg2 cg3
检查一下
cat /etc/passwd可以看到cg3的组号是1001
或者我们还可以使用id命令检验
- -d :创建用户时指定家目录 ,若不指定 ,家目录默认在:/home/用户名
用户组:
默认无密码:
root模式下:
passwd 用户名
添加密码
批量添加用户:
newusers命令可以批量添加用户
步骤:
- 首先新建一个文本文档user.txt(内容是要添加用户,格式要和/etc/passwd相同)
/etc/passwd
user.txt
- 新建密码文档pwds.txt(内容是)
上面我们介绍了创建一个用户,
创建完用户后,家目录中没有任何文件(但是其实有隐藏文件)
若需要在新建用户的同时就在其家目录中放入一些文件,如本服务器的使用说明文档或注意事项文档等,则可以通过修改/etc/skel目录中的内容来达到目的。
/etc/skel目录在Linux系统中扮演着重要的角色。它主要用于存放新建用户时需要拷贝到其家目录下的文件。当系统管理员使用useradd命令添加新用户时,/etc/skel目录下的所有文件都会自动地复制到新用户的家目录下。
passwd命令设置密码
一般的用法有两种:一是使用root用户来为普通用户设置密码,二是普通用户使用passwd命令为自己设置密码。使用普通用户登录并为自己设置密码时必须知道原密码(正常的流程应该是使用root账户来新建用户并为其设置初始密码。)
要点:
- 使用root用户为普通用户设置密码
passwd 用户名(不加用户名是为自己设置密码) - root用户下设置密码不受密码格式限制,普通用户受密码格式限制
拓展:
passwd命令除了设置用户密码外,还可以完成显示用户密码状态和锁定(解锁)用户的功能,这两个功能须在root用户登录下进行,如下所示:
锁定用户passwd -l 用户名,如下:锁定了cg2,但是root用户可以强制进入
普通用户cg3就无法进入cg2了
解锁用户(root下使用):passwd -u 用户名如下:
chage修改帐号、密码的有效期
chage -d 999999999999 jack表示从1970年1月1日起,密码的有效期是999999999天
选项:
删除用户
userdel [-r] 用户名
- 选项:-r ,删除用户HOME目录,
- 不使用 - r ,保留HOME目录,
用户组管理命令
之前我们已经创建好了几个用户,现在我们可以再了解一个文件–组文件 /etc/group cat /etc/group 
可以发现新建一个用户,都会在group中新增一条记录,每一条记录都包含四个字段。
除了/etc/group文件外,还有另外一个与组相关的配置文件/etc/gshadowcat /etc/gshadow
第一字段:用户组
第二字段:用户组密码,这个段可以是空的或!,如果是空的或有!,表示没有密码;
第三字段:用户组管理者,这个字段也可为空,如果有多个用户组管理者,用,号分割;
第四字段:组成员,如果有多个成员,用,号分割;
创建用户组:
groupadd group1创建用户组group1cat /etc/group | grep group1查看group文件
cat /etc/gshadow | grep group1查看 gshadow文件
可以看到group1已经创建好了,但是组内还没有文件
修改组id和组名等信息
使用groupmod命令 注意谨慎修改
删除组
groupdel命令 注意谨慎,防止该组内用户集体失去某些文件的权限
如:
但是这里报错了,不可删除初始组,也就是说要先要先删除同名的用户cg3后该用户组也会随之被删除
为了便于群组的管理,有时需要为组设置组管理员,组管理员管理哪些用户可以被添加或被移除。
groupadd majorgroup 1添加组
gpasswd majorgroup 2给组添加密码
gpasswd -A cg majorgroup 3将用户cg设置为组管理员
可以在,gshadow文件中加密的密码,还有管理员cg (并没有被添加进组)
接着,添加cg和cg2进majorgroup
gpasswd -a cg majorgroup
gpasswd -a cg2 majorgroup
成功添加进去
如果这两个用户需要在不同的所属组之间切换,则可以使用newgrp命令。
组成员共享目录
在实际工作中,会出现如下场景:3个普通用户在同一个项目组内,他们各自都有自己的家目录和初始私有组,而他们同时要在同一个目录下进行项目开发。这时就需要共享成员目录来协同工作
上述命令运行后,work组已经创建,并且加入了jim,tom,bob(管理员)
下面将通过命令来讲项目专属目录的所属组变为working组
chgrp work /project/working
chmod 2770 /project/working
chgrp working /project/working的意思是将 /project/working文件或目录的组所有权更改为 working 组。
其中 2 代表 “set group ID”(SGID)位。当设置了这个位时,对于目录,新创建的文件或子目录将继承其父目录的组,而不是继承创建者的主组。
结果显示working目录的权限情况是创建者root拥有读、写和执行权限,而working组成员的权限为rws,其中s为特殊权限。
组外成员想进入组共享目录:不允许
拓展:
执行权限对于目录和文件来说是不同的。对于目录来说,执行权限是指是否可以进入某个目录,而对于文件来说,执行权限是指该文件中的内容是否可以被执行
查看用户所属组:
id [用户名]
uid是用户id
gid是用户所属组id
直接输入id命令,没有用户参数的话,会直接输出当前用户的用户信息
修改用户所属组
usermod -aG 用户组 用户名,
将指定用户加入指定用户组
注意:用户和用户组都得提前存在
getent
使用getent命令,可以查看当前系统中有哪些用户
语法:getent passwd
…中间还有很多用户
cat /etc/passwd效果一样
