美文网首页linux学习笔记
用户和用户组管理

用户和用户组管理

作者: 全村滴希望 | 来源:发表于2018-09-17 22:35 被阅读0次

    用户配置文件

    用户信息文件/etc/passwd

    第1字段:用户名称

    第2字段:密码标志

    第3字段:UID(用户ID)

    0:超级用户

    1-499:系统用户(伪用户)

    500-65535:普通用户

    第4字段:GID(用户初始组ID)

    第5字段:用户说明

    第6字段:家目录

    普通用户:/home/用户名/

    超级用户:/root/

    第7字段:登录之后的Shell

    Shell是Linux的命令解释器

    在/etc/passwd当中,除了标准Shell是/bin/bash之外,还可以写如/sbin/nologin(也就是暂时禁止该用户的登陆)

    影子文件/etc/shadow

    第1字段:用户名

    第2字段:加密密码

    加密算法升级为SHA512散列加密算法

    如果密码位是"!!"或"*"代表没有密码,不能登录

    第3字段:密码最后一次修改日期

    使用1970年1月1日作为标准时间,每过一天时间戳加1

    第4字段:两次密码的修改间隔时间(和第3字段相比)

    第5字段:密码有效期(和第3字段相比)

    第6字段:密码修改到期前的警告天数(和第5字段相比)

    第7字段:密码过期后的宽限天数(和第5字段相比)

    0: 代表密码过期后立即失效

    -1:则代表密码永远不会失效

    第8字段:账号失效时间

    要用时间戳表示

    第9字段:保留

    时间戳换算

    把时间戳换算为日期

    date -d "1970-01-01 16066 days"

    把日期换算为时间戳

    echo (((date --date="2014/01/06" +%s)/86400+1))

    组信息文件/etc/group和组密码文件/etc/gshadow

    group

    第1字段:组名

    第2字段:组密码标志

    第3字段:GID

    第4字段:组中附加用户

    gshadow

    第1字段:组名

    第2字段:组密码

    第3字段:组管理员用户名

    第4字段:组中附加用户


    用户管理相关文件

    用户的家目录

    普通用户:/home/用户名/,所有者和所属用户组都是此用户,权限是700

    超级用户:/root/,所有者和所属组都是root用户,权限是550

    如果将普通用户更改为超级用户,那么只有权限的变化,家目录并不会改变

    用户的邮箱

    /var/spool/mail/用户名/

    创建用户后,系统会在该目录下为用户创建邮箱

    用户模板目录

    /etc/skel/

    系统为用户创建家目录,家目录下的文件需要一个拷贝模板,系统会将/etc/skel/下的文件拷贝至该用户的家目录下,如果需要给新加用户添加一下信息,可以在此模板目录中添加


    用户管理命令

    用户添加命令useradd

    useradd [选项] 用户名

    选项:

    -u UID:手工指定用户的UID号

    -d 家目录:手工指定用户的家目录

    -c 用户说明: 手工指定用户的说明

    -g 组名:手工指定用户的初始组

    -G 组名:手工指定用户的附加组

    -s shell:手工指定用户的登录shell。默认是/bin/bash

    useradd -u 550 -G root,bin -d /home/lamp1 -c "test user" -s /bin/bash sc

    添加一个 UID为550,附加组为root和bin,家目录为/home/lamp1,用户说明为“test user”,/bin/bash为shell,用户名为sc的用户。

    用户默认值文件

    /etc/default/useradd

    GROUP=100 #用户默认组

    HOME=/home #用户家目录

    INACTIVE=-1 #密码过期宽限天数(shadow文件7字段)

    EXPIRE= #密码失效时间(8)

    SHELL=/bin/bash #默认shell

    SKEL=/etc/skel #模板目录

    CREATE_MAIL_SPOOL=yes #是否建立邮箱

    /etc/login.defs

    PASS_MAX_DAYS 99999 #密码有效期(5)

    PASS_MIN_DAYS 0 #密码修改间隔(4)

    PASS_MIN_LEN 5 #密码最小5位(PAM)

    PASS_WARN_AGE 7 #密码到期警告(6)

    UID_MIN 500 #最小和最大UID范围

    GID_MAX 60000 #最小和最大组ID范围

    ENCRYPT_METHOD SHA512 #加密模式

    修改用户密码passwd

    passwd [选项] 用户名

    选项:

    -S: 查询用户密码的密码状态。仅root用户可用。

    -l:暂时锁定用户。仅root用户可用。

    -u:解锁用户。仅root用户可用。

    --stdin:可以用过管道符输出的数据作为用户的密码

    passwd 不加用户名即为改自己的密码。

    passswd -S lamp

    lamp PS 2013-01-06 0 99999 7 -1

    #用户名密码设定时间(2013-01-06)密码修改间隔时间(0)

    #密码有效期(99999)警告时间(7)密码不失效(-1)

    -l 选项执行后,实际上是再shadow文件下将该用户的密码前加入了 “!!”

    所以,也可以通过手动删除 "!!"来实现-u的解锁效果

    echo "123" | passwd --stdin lamp 常用于脚本,保存下来是明文。

    修改用户信息usermod、修改用户密码状态chage

    usermod [选项] 用户名

    选项:

    -u UID:修改用户的UID号

    -c 用户说明: 修改用户的说明

    -g 组名:修改用户的初始组

    -G 组名:修改用户的附加组

    -L:临时锁定用户(Lock)

    -U:解锁用户锁定(Unlock)

    chage [选项] 用户名

    选项:

    -l: 列出用户的详细密码状态

    -d 日期:修改密码最后一次更改日期(shadow3字段)

    -m 天数:两次密码修改间隔(shadow4字段)

    -M 天数:密码有效期(5字段)

    -W 天数:密码过期前警告天数(6字段)、

    -l 天数:密码过后宽限天数(7字段)

    -E 日期:账号失效时间(8字段)

    以上命令都可以直接修改shadow文件来实现相同功能。

    但是比较重要、且常用的是

    chage -d 0 lamp

    #这个命令其实是把密码修改日期归0了(shadow第3字段),也就是该用户从未修改过密码

    #这样用户一登陆就要修改密码,保证了系统安全性

    删除用户userdel

    userdel [-r] 用户名

    选项:

    -r:删除用户的同时删除用户家目录

    手动删除用户

    vi /etc/passwd

    vi /etc/shadow

    vi /etc/group

    vi /etc/gshadow

    rm -rf /var/spool/mail/lamp

    rm -rf /home/lamp/

    查看用户id

    id 用户名

    用户身份切换su

    su [选项] 用户名

    -:选项只使用 "-" 代表连带用户的环境变量一起切换(一定要加,不然是不完全切换)

    env用于查看该用户的环境变量

    -c 命令:仅执行一次命令,而不切换用户身份

    su - root -c "useradd user3"


    用户组管理命令

    添加用户组

    groupadd [选项] 组名

    选项:

    -g GID: 指定组ID
    

    修改用户组

    groupmod [选项] 组名

    选项:

    -g GID: 修改组ID
    
    -n 新组名: 修改组名
    

    groupmod -n testgrp group1 #把组名group1修改为testgrp

    删除用户组

    groupdel 组名

    如果该组中有初始用户,那么不能删除该组,如果只有附加用户,则可以删除该组

    把用户添加入组或从组中删除

    gpasswd [选项] 组名

    选项:

    -a 用户名 : 把用户加入组
    
    -d 用户名:把用户从组中删除
    

    添加用户到sudo list,有两种做法可以做到:

    1. 修改sudoers文件
      a. 切换到root用户下
      b. 添加sudo文件的写权限,命令是:
      chmod u+w /etc/sudoers
      c. 编辑sudoers文件
      vi /etc/sudoers
      找到这行 root ALL=(ALL) ALL,在他下面添加xxx ALL=(ALL) ALL (这里的xxx是你的用户名)
      d. ps:这里说下你可以sudoers添加下面四行中任意一条
      youuser ALL=(ALL) ALL
      %youuser ALL=(ALL) ALL
      youuser ALL=(ALL) NOPASSWD: ALL
      %youuser ALL=(ALL) NOPASSWD: ALL

    第一行:允许用户youuser执行sudo命令(需要输入密码).
    第二行:允许用户组youuser里面的用户执行sudo命令(需要输入密码).
    第三行:允许用户youuser执行sudo命令,并且在执行的时候不输入密码.
    第四行:允许用户组youuser里面的用户执行sudo命令,并且在执行的时候不输入密码.

    Attention: 在有的环境中,配置为youuser ALL=(ALL) ALL
    也可以达到sudo无需输入密码的效果,但不能保证所有环境都有效,肯定有效的做法是:
    youuser ALL=(ALL) NOPASSWD: ALL

    1. 增加用户组文件
      在etc/sudoers.d目录下增加以用户组为名的文件,例如:TestGroup,在其中配置如下内容:
      %TestGroup ALL=(ALL) NOPASSWD: ALL

    则属于TestGroup组的用户都被加入到了sudo list

    相关文章

      网友评论

        本文标题:用户和用户组管理

        本文链接:https://www.haomeiwen.com/subject/gfljnftx.html