用戶和組的管理

前言

本篇文章主要講Linux系統下用戶和組的概念，還有添加用戶和組，修改用戶和組的基本操作，會涉及不少與之相關的組態檔與命令的介紹，幾乎所有

正文

首先，簡單提下概念，用戶是作業系統的使用者，也是系統行程的所有者，也就是說其實作業系統是給一堆人使用的，就拿大家都熟悉的Windows作業系統來說，我們一般只看得見自己一個用戶，或是后來又創建的來賓用戶，其實還有許多不需要登陸的系統用戶，如下圖

他們的作用很明顯，運行不同的行程，來提供相應的服務，支持程式的運行，

然后用戶組的話，就是一堆用戶的集合，是為了方便管理某一堆用戶的權限，舉個例子來理解吧，假設我在跟一個團隊作業，我寫了段代碼，別人也寫了段代碼，那現在要一起除錯了，結果我的代碼檔案創建者是我，其他人沒權限運行，另一段代碼檔案創建者是另一個人，也沒給其他人權限，那還要一個個檔案改權限么，所以一個組就能避免這個問題，
一個用戶可以屬于多個組，然后就有主組與附加組之分，這個簡單了解下就行，用戶和組的概念就這些，下面講對他們的操作

用戶的操作

相關組態檔有/etc/passwd、/etc/shadow、/etc/default/useradd、/etc/login.defs ，下面結合具體命令一塊講下

1. useradd、usermod和userdel命令，他們分別用來添加、修改、洗掉用戶，首先看下添加用戶的例子

useradd 用戶名 -m -p 密碼 -s SHELL型別 -u UID號 -g GID號或組名

簡單說下：-m是創建家目錄，-p后面跟密碼，創建用戶的時候就設好了密碼，-s選擇用戶使用的SHELL型別，-u設定用戶ID號，-g設定主組的ID，-G后面跟要加的附加組名或組ID

• UID的話可以用id命令后面跟用戶名查看，簡單方便可以先掌握了，如下所示，是查看root的id

id root

2. 然后可以用下面的命令查看用戶是否創建成功

cat /etc/passwd

它會輸出passwd檔案內容，創建成功的話，輸出的最后一行有你剛創的用戶名，如下圖是我剛創建的用戶test4

所以 /etc/passwd 檔案也知道了，他是存放用戶資訊的，它的格式如下

　　　　用戶名：密碼：用戶id：主組id：用戶詳細資訊：家目錄：shell型別
3. 根據上面檔案格式，可以發現用戶資訊那欄我們還不知道怎么改，最直接的可以在passwd檔案里改，格式如下
　　　　全名，作業地址，移動電話，家庭電話
這是一種方法，當然也可以用chfn命令解決，如下所示

再介紹一個命令吧，除了直接用cat /etc/paswd查看用戶資訊，其實還可以用finger命令，如下圖所示

是不是更直觀，當然還有getent passwd等價于cat /etc/passwd，vipw等價于vi /etc/passwd，這兩個也可以了解下

4. 好的，創建用戶完了，但之前設的密碼太簡單了現在要修改了怎么辦，可以用usermod解決大部分問題，如下所示

usermod 用戶名 -p 新密碼

用法跟useradd相似，可選項也都差不多，所以不多提了，介紹另一個可以改用戶密碼的命令passwd，用法如下

passwd 用戶名

• 他有比較常用的幾個選項我說下：-l 鎖定用戶密碼，-u 解鎖用戶密碼，-f 迫使用戶下次登陸時改密（對新建用戶聽常用），-d 去掉用戶的密碼，鎖定的話就是密碼不起作用了，也就是用戶登陸不了了，同樣 -d 去掉了密碼也登陸不了了，這些效果可以自行嘗試，

那怎么看密碼是不是改了呢，用下面的命令可以查看

cat /etc/shadow

下圖是結果，不過看到的是經過SHA512演算法加密后的密碼，但確實是改了，
如果鎖定的話密碼會是兩個！！

所以 /etc/shadow 目錄就是存放用戶密碼相關資訊的地方，當然改這個檔案也能得到改密碼的目的，用vim編輯檔案內容即可，當然涉及密碼只有root用戶才有查看修改這個檔案的權限，他的檔案格式如下：
　　　　用戶名：密碼：最后一次更新密碼的時間：最短可以隔幾天改一次密碼（改密碼間隔時間）：隔多少天必須改密碼（密碼過期）：提前多少天提醒密碼過期：過渡期（密碼過期后還能撐幾天）：賬戶過期時間（不同于密碼過期，賬號過期就沒有這個帳號了，更別說密碼了）：這里是預留給以后用的，現在沒什么用
這個檔案會比之前的passwd更重要也更有用，大家多留意下

5. 既然對密碼有這么多的配置，那么就有專門的命令可以設定，chage命令，專門負責密碼期限的相關設定，用法如下

•  -d 設定最后更新密碼的時間，-E 設定賬號過期時間，-I 設定過渡期，-l 顯示期限資訊，-m 改密最短間隔，-M 密碼過期時間，-W 提前多少天警告
• 這里注意一點，時間都是相對于1970.1.1的時間（也就是跟1970.1.1相距多少天了）

6. 最后就是洗掉用戶的操作了，同樣在passwd檔案里可以改，把他那欄資訊都刪了就行，但是同時得在shadow檔案里也把他刪了，這種方法有弊端，你可以進到/home目錄下可以發現用戶的家目錄還在，所以還得洗掉用戶的家目錄下，當然可以用userdel命令洗掉用戶就比較方便，如下所示

userdel -rf 用戶名

• 加個 -r 選項就可以洗掉家目錄，-f 是強制執行，就有可能洗掉他的時候他的程式正在運行，那么洗掉程式檔案就會報錯，這個Windows經常能遇到吧，現在Linux可以強行解決這類問題，很暴力攔都攔不住，

7. 下面講下還沒提過的 /etc/login.defs檔案吧，它是控制新建默認用戶的組態檔，默認用戶的話，useradd 后面跟用戶名加 -D 選項就能創建，那它又是怎么配置默認用戶的呢，那就直接看下它的內容

這就是它的檔案內容，雖然每個變數設定前都有說明，不過我還是簡單講下吧，沒理解再看檔案里的說明吧

• MAIL_DIR：用戶郵件地址，所以之前改檔案刪用戶的時候還得看下用戶郵件存放目錄，好了我剛看了下確實沒刪掉，所以改檔案來修改用戶可以，刪用戶就不推薦使用了
• PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN、PASS_WARN_AGE：密碼過期時間、改密最短間隔時間、密碼最短長度、密碼過期提前幾天警告
• UID_MIN、UID_MAX：用戶默認創建id的最小值和最大值，GID_MIN和GID_MAX同理
• CREAT_HOME：yes說明默認創建用戶后會同時創建它的家目錄
• UMASK：用戶創建檔案、目錄的默認權限的掩碼，這個屬于權限問題后面再講
• USERGROUPS_ENAB：yes也就是洗掉用戶的時候把僅有他的組也刪了（主組），先不用了解
• ENCRYPT_METHOD：密碼加密方式，是SHA512加密方式

8. 現在就只有 /etc/default/useradd 檔案了，它的作用跟上面login.defs檔案差不多，不過兩者既有聯系也有區別（等下會結合起來細講），login.defs 檔案針對的是用戶，而現在講的這個檔案針對的是 useradd 命令，看它的路徑就明白，是useradd的默認配置，看下他的檔案內容

好像看不出太多，那就用之前學過的whatis配合man命令查看他的幫助吧，來看下結果，我直接把相關部分截出來了

 現在這個檔案的內容可以理解了，順便可以看下他跟login.defs檔案的關系了：

• GROUP：用戶默認組，對應第二幅圖 useradd 的 -g 選項來看，說的是如果login.defs檔案里的USERGROUPS_ENAB變數是no的話那么這個檔案里的GROUP就生效了
• HOME：用戶默認家目錄，對應上圖 -b 選項來看，是不是
• INACTIVE：-1，就是不啟用密碼的過渡期
• EXPIRE：賬號過期時間，沒填就不會過期
• SHELL：默認用戶使用的shell型別
• SKEL：這是默認用戶目錄里的內容，下面會簡單講下他
• CREAT_MAIL_SPOOL：yes就是默認創建郵件目錄，所以不需要創建郵件目錄的話可以在這里填no哎呀，又得填個坑了，/etc/skel目錄，直接看下它里面有哪些檔案吧，再看下你的家目錄你就明白一切了，相當于在創建家目錄時會復制skel的內容，所以用處還挺大的，說實話，

好了用戶就介紹到這了，下面介紹組了

用戶組的操作

組的話，也有添加，修改和洗掉等操作，對應groupadd、groupmod、groupdel三個命令，相關組態檔有這些/etc/group、/etc/gshadow，下面來看下

1. groupadd命令，創建一個新的組，用法如下

groupadd 組名 -g GID組號 -p 密碼

• -g 選項用來指定組號，-p 選項用來設組的密碼，一般 -g 選項會比較常用，而 -p了解以下即可

2. 好了創建完一個組有怎么查看呢，在 /etc/group 這檔案里，它里面有組的資訊，同樣除了cat能查看，getent group也能實作查看，后面getent我就不多提了，只是多個方法，沒必要掌握，結果如下圖所示

testgrp就是我新建的組，至于這個檔案的內容還是挺簡單的，格式如下：

　　　　組名：密碼（顯示為x，安全起見）：組號GID：組里面的用戶

3. 好了組建完了，現在要怎么修改組呢，有多多個命令可以改，不過各有千秋，

• 首先groupmod命令，他能修改組的外在，但改不了它的內在——組成員，它的用法如下

groupmod 組名 -n 新組名 -g 新ID -p 新密碼

• 其次是gpasswd命令，它就可以修改組成員，去掉組的密碼，不過改組名id就做不到了，它的用法如下

gpasswd -a 用戶名 組名

　　-r 選項可以去掉組的密碼，這個就了解這兩個些即可，具體可以查幫助前篇筆記講過

• 最后就是groupmems命令，他是管理組內用戶的首選命令，可以查看修改組成員，用法如下

groupmems -a 用戶 -g 組

洗掉用戶的話用 groupmems -d 用戶 -g 組 可實作，groupmems -l -g 組 可以查看該組的成員，這個命令掌握這三個用法差不多了

4. 最后又是怎么洗掉的問題了，groupdel命令，用法如下

groupdel 組名

5. 就還剩 /etc/gshadow 這個檔案沒講，這個檔案存放的是安全組資訊，所謂安全就是只有root用戶能看，看下他的檔案格式吧

 　　　　組名：密碼：管理員：組員

6. 最后了解一下吧，就是加密演算法函式crypt（），密碼就是靠這個函式加密的，用下面這個命令可以查看幫助

man 3 crypt

這是我截取的重要部分，下面id號對應一類加密演算法，這樣密碼是哪種加密演算法加密的就不用看login.defs檔案了，看shadow的時候密碼開頭$1就是MD5演算法，ok，這個理解就行，其他就先不講了

 總結

用戶和組的資訊檔案：/etc/passwd       /etc/shadow    /etc/group    /etc/gshadow
相關的默認組態檔：/etc/login.defs    /etc/skel         /etc/default/useradd   

用戶：useradd   usermod   userdel   passwd     chage    chfn  
組：groupadd  groupmod  groupdel  groupmems  gpasswd    
查看：getent    vipw     vigr     pwck    grpck    finger    id 

pwck和grpck，分別是檢查passwd檔案和group檔案格式的，可以自行體驗

• 我之所以會把這些檔案格式講得那么清楚是它在批量操作的時候特別有用，如下面這個例子

newusers f1

newusers命令批量創建用戶使用的，f1就是我按passwd檔案格式輸入的要創建的用戶的資訊，如下圖所示

可以看下passwd檔案，沒問題，再看下登陸界面，能登陸么，密碼x輸入沒問題，好了這就是批量操作

 對用戶和組的管理介紹到此為止，希望對讀者有幫助

標籤：Linux

上一篇：docker 守護行程

下一篇：centos7.7上安裝broadcom bcm4312無線網卡驅動