用户和用户组管理
一、用户配置文件
1. 用户信息文件/etc/passwd
1.1 用户管理简介
- 所以越是对服务器安全性要求高的服务器,越需要建立合理的用户权限等级制度和服务器操作规范。
- 在Linux中主要是通过用户配置文件来查看和修改用户信息
1.2 /etc/passwd
- 第1字段:用户名称
- 第2字段:密码标志
- 第3字段:UID(用户ID)
- 0: 超级用户
- 1-499: 系统用户(伪用户)
- 500-65535: 普通用户(centos7 从1000开始计算)
- 第4字段:GID(用户初始组ID)[不推荐修改初始组]
- 第5字段:用户说明[备注,可为空]
- 第6字段:家目录
- 普通用户:/home/用户名/
- 超级用户:/root/
- 第7字段:登录之后的Shell
[root@localhost ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
saslauth:x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
oprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin
yebin:x:500:500::/home/yebin:/bin/bash
1.3 初始组和附加组
- 初始组:就是指用户一登录就立刻拥有这个用户组的相关权限,每个用户的初始组只能有一个,一般就是和这个用户的用户名相同的组名作为这个用户的初始组。
- 附加组:指用户可以加入多个其他的用户组,并拥有这些组的权限,附加组可以有多个。
1.4 Shell是什么
- Shell就是Linux的命令解释器。
- 在/etc/passwd当中,除了标准Shell是/bin/bash之外,还可以写如/sbin/nologin,/usr/bin/passwd等。
tips: 暂时禁用用户,可以把/bin/bash -> /bin/nologin
2. 影子文件/etc/shadow
2.1 影子文件/etc/shadow
- 第1字段:用户名
- 第2字段:加密密码
- 加密算法由MD5升级为SHA512散列加密算法
- 如果密码位是“!!”或“*”代表没有密码,不能登录【即可以在密码前面加上,即可让用户暂时不能登录】
- 第3字段:密码最后一次修改日期
- 使用1970年1月1日作为标准时间,每过一天时间戳加1
- 第4字段:两次密码的修改间隔时间(和第3字段相比)
- 第5字段:密码有效期(和第3字段相比)
- 第6字段:密码修改到期前的警告天数(和第5字段相比)
- 第7字段:密码过期后的宽限天数(和第5 字段相比)
- 0:代表密码过期后立即失效
- -1:则代表密码永远不会失效
- 第8字段:账号失效时间
- 要用时间戳表示
- 第9字段:保留
[root@localhost ~]# cat /etc/shadow
root:$6$//5ufoQL7W0cnibh$UICQXX6S2P7nbrt8t8hKmDI6hCxdoF8I3Hf57n4r2gHlAJpZx7QWoRLVzfhpx558XKdlje5Bsq5QngRd9O6A50:20358:0:99999:7:::
bin:*:15513:0:99999:7:::
daemon:*:15513:0:99999:7:::
adm:*:15513:0:99999:7:::
lp:*:15513:0:99999:7:::
sync:*:15513:0:99999:7:::
shutdown:*:15513:0:99999:7:::
halt:*:15513:0:99999:7:::
mail:*:15513:0:99999:7:::
uucp:*:15513:0:99999:7:::
operator:*:15513:0:99999:7:::
games:*:15513:0:99999:7:::
gopher:*:15513:0:99999:7:::
ftp:*:15513:0:99999:7:::
nobody:*:15513:0:99999:7:::
dbus:!!:20358::::::
vcsa:!!:20358::::::
rpc:!!:20358:0:99999:7:::
ntp:!!:20358::::::
saslauth:!!:20358::::::
postfix:!!:20358::::::
haldaemon:!!:20358::::::
rpcuser:!!:20358::::::
nfsnobody:!!:20358::::::
abrt:!!:20358::::::
avahi:!!:20358::::::
tcpdump:!!:20358::::::
sshd:!!:20358::::::
oprofile:!!:20358::::::
yebin:$6$1FxFIIC1$eRxoM7Jda3uFATOowmga9.nTkc0xKa5jl66nULInSAjxuslGGPecf9zqip2Fy3Y3cf.5v/9U22IK7f82cOi7i/:20361:0:99999:7:::
2.2 时间戳换算
- 把时间戳换算为日期
- date -d "1970-01-01 16066 days"
- 把日期换算为时间戳
- echo (date --date="2014/01/06" +%s)/86400+1))
3. 组信息文件/etc/group和组密码文件 /etc/gshadow
3.1 组信息文件/etc/group
- 第一字段:组名
- 第二字段:组密码标志
- 第三字段:GID
- 第四字段:组中附加用户
[root@localhost ~]# cat /etc/group
root:x:0:
bin:x:1:bin,daemon
daemon:x:2:bin,daemon
sys:x:3:bin,adm
adm:x:4:adm,daemon
tty:x:5:
disk:x:6:
lp:x:7:daemon
mem:x:8:
kmem:x:9:
wheel:x:10:
mail:x:12:mail,postfix
uucp:x:14:
man:x:15:
games:x:20:
gopher:x:30:
video:x:39:
dip:x:40:
ftp:x:50:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
dbus:x:81:
utmp:x:22:
utempter:x:35:
floppy:x:19:
vcsa:x:69:
rpc:x:32:
cdrom:x:11:
tape:x:33:
dialout:x:18:
ntp:x:38:
cgred:x:499:
saslauth:x:76:
postdrop:x:90:
postfix:x:89:
haldaemon:x:68:haldaemon
rpcuser:x:29:
nfsnobody:x:65534:
abrt:x:173:
avahi:x:70:
stapusr:x:156:
stapsys:x:157:
stapdev:x:158:
tcpdump:x:72:
sshd:x:74:
oprofile:x:16:
slocate:x:21:
yebin:x:500:
group1:x:501:
3.2 组密码文件/etc/gshadow
- 第一字段:组名
- 第二字段:组密码 (不推荐使用,可以理解为给组设置个小组长)
- 第三字段:组管理员用户名
- 第四字段:组中附加用户
二、用户管理相关文件
1. 用户的家目录
- 普通用户:/home/用户名/,所有者和所属组都是此用户,权限是700
- 超级用户:/root/,所有者和所属组都是root用户,权限是550
2. 用户的邮箱
- /var/spool/mail/用户名/
3. 用户模板目录
- /etc/skel/
三、用户管理相关命令
1. 用户添加命令useradd
1.1 useradd命令格式
[root@localhost ~]#useradd [选项] 用户名
选项:
-u UID: 手工指定用户的UID号
-d 家目录: 手工指定用户的家目录
-c 用户说明: 手工指定用户的说明
-g 组名: 手工指定用户的初始组
-G 组名: 指定用户的附加组
-s shell: 手工指定用户的登录shell。默认是/bin/bash
1.2 添加默认用户
- [root@localhost ~]# useradd lamp
- [root@localhost ~]# grep "lamp" /etc/passwd
- [root@localhost ~]# grep "lamp" /etc/shadow
- [root@localhost ~]# grep "lamp" /etc/group
- [root@localhost ~]# grep "lamp" /etc/gshadow
- [root@localhost ~]# ll -d /home/lamp/
- [root@localhost ~]# ll /var/spool/mail/lamp
1.3 指定选项添加用户
- groupadd lamp1
- useradd -u 550 -g lamp1 -G root -d /home/lamp1 \ -c "test user" -s /bin/bash lamp1
1.4 用户默认值文件
- /etc/default/useradd
- GROUP=100 #用户默认组
- HOME=/home #用户家目录
- INACTIVE=-1 #密码过期宽限天数(7)
- EXPIRE= #密码失效时间(8)
- SHELL=/bin/bash #默认shell
- SKEL=/etc/skel #模板目录
- CREATE_MAIL_SPOOL=yes #是否建立邮箱
[root@localhost ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
- /etc/login.defs
- PASS_MAX_DAYS 99999 #密码有效期(5)
- PASS_MIN_DAYS 0 #密码修改间隔(4)
- PASS_MIN_LEN 5 #密码最小5位(PAM)
- PASS_WARN_AGE 7 #密码到期警告(6)
- UID_MIN 500 #最小和最大UID范围
- GID_MAX 60000
- ENCRYPT_METHOD SHA512 #加密模式
[root@localhost ~]# grep -v ^# /etc/login.defs
MAIL_DIR /var/spool/mail
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
UID_MIN 500
UID_MAX 60000
GID_MIN 500
GID_MAX 60000
CREATE_HOME yes
UMASK 077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512
2. 修改用户密码passwd
2.1 passwd命令格式
[root@localhost ~]#passwd [选项] 用户名
选项:
-S 查询用户密码的密码状态。仅root用户可用。
-l 暂时锁定用户。仅root用户可用
-u 解锁用户。仅root用户可用
--stdin 可以通过管道符输出的数据作为用户的密码。
2.2 查看密码状态
[root@localhost ~]# passwd -S lamp
lamp PS 2013-01-06 0 99999 7 -1
#用户名 密码设定时间(2013-01-06) 密码修改间隔时间(0) #密码有效期(99999 ) 警告时间(7) 密码不失效(-1)
2.3 锁定用户和解锁用户
- [root@localhost ~]# passwd -l lamp
- [root@localhost ~]# passwd -u lamp
2.4 使用字符串作为用户的密码
- [root@localhost ~]# echo "123" | passwd --stdin lamp(shell脚本可能会用到)
tips:以下命令也可修改用户密码:
echo “新密码” | passwd --stdin 用户名
#这种方式虽然简单,但是通过history命令可以查到用户的密码,所以不安全。
3. 修改用户信息usermod,修改用户密码状态chage
3.1 修改用户信息usermod
[root@localhost ~]#usermod [选项] 用户名
选项:
-u UID: 修改用户的UID号
-c 用户说明: 修改用户的说明信息
-G 组名: 修改用户的附加组
-L: 临时锁定用户(Lock)
-U: 解锁用户锁定(Unlock)
[root@localhost ~]# usermod -c "test user" lamp
修改用户的说明
[root@localhost ~]# usermod -G root lamp
把lamp用户加入root组
[root@localhost ~]# usermod -L lamp
锁定用户
[root@localhost ~]# usermod -U lamp
解锁用户
3.2 修改用户密码状态chage
[root@localhost ~]#chage [选项] 用户名
选项:
-l: 列出用户的详细密码状态
-d 日期: 修改密码最后一次更改日期(shadow3字段)
-m 天数: 两次密码修改间隔(4字段)
-M 天数: 密码有效期(5字段)
-W 天数: 密码过期前警告天数(6字段)
-I 天数: 密码过后宽限天数(7字段)
-E 日期: 账号失效时间(8字段)
[root@localhost ~]# chage -d 0 lamp
这个命令其实是把密码修改日期归0了(shadow第3字段)#这样用户一登陆就要修改密码
4. 删除用户userdel,用户切换命令su
4.1 删除用户userdel
[root@localhost ~]# userdel [-r] 用户名
选项:
-r 删除用户的同时删除用户家目录
手工删除用户
-
[root@localhost ~]# vi /etc/passwd
-
[root@localhost ~]# vi /etc/shadow
-
[root@localhost ~]# vi /etc/group
-
[root@localhost ~]# vi /etc/gshadow
-
[root@localhost ~]# rm -rf /var/spool/mail/lamp
-
[root@localhost ~]# rm -rf /home/lamp/
4.2 查看用户ID
[root@localhost ~]# id 用户名
[root@localhost ~]# id suifeng
uid=501(suifeng) gid=502(suifeng) 组=502(suifeng)
4.3 切换用户身份su
[root@localhost ~]# su [选项] 用户名 #选项一定要 -
选项:
- : 选项只使用“-”代表连带用户的环境变量一起切换 (env命令查看当前环境变量)
-c 命令: 仅执行一次命令,而不切换用户身份
-
[lamp@localhost ~]$ su – root
#切换成root
-
[lamp@localhost ~]$ su - root -c "useradd user3"
#不切换成root,但是执行useradd命令添加user1用户,类似超级管理员运行,需要超级管理员密码
四、用户组管理命令
1. 添加用户组
[root@localhost ~]# groupadd [选项] 组名
选项:
-g GID 指定组ID
2. 修改用户组
[root@localhost ~]# groupmod [选项] 组名
选项:
-g GID 修改组ID(不建议)
-n 新组名 修改组名(不建议,不熟悉还是删除再新增)
3. 删除用户组
[root@localhost ~]# groupdel [选项] 组名
tips:删除组的时候,组内不允许有初始用户存在。
$ groupadd lol
$ useradd -g lol timo
$ useradd -G lol yasuo
因为timo是初始组是lol。删除lol会导致timo没有初始组。所以不可删。需要先删除用户。
而yasuo是附加组。可删。
4. 把用户添加入组或从组中删除
[root@localhost ~]# groupdel [选项] 组名
选项:
-a 用户名: 把用户加入组
-d 用户名: 把用户从组中删除
cat /etc/group
#组加入用户,删除用户 都是操作附加组
