Linux用户组管理

1.Linux用户管理

1.1useradd命令创建用户过程

1、不带任何参数使用添加用户时,首先读取/etc/login.defs /etc/default/useradd 预先定义的规则

2、根据设置的规则添加用户,同时会向/etc/passwd /etc/group文件添加新建的用户和组,但/etc/shadow /etc/gshadow也会同步生成记录

3、同时系统会根据/etc/login.defs /etc/default/useradd文件中配置的信息建立用户的家目录,并复制/etc/skel中所有隐藏的环境配置文件到新用户的家目录中,以完成对用户环境的初始化设置

1.2用户配置文件

1.2.1 /etc/passwd

  • 作用

    存储用户信息文件,每一行表示一个用户信息,有多少行就表示有多少个用户

  • 格式

    root : x : 0 : 0 : root : /root : /bin/bash

  • 格式含义(此文件由7个字段的数据组成,字段之间用“:”分隔)

    1用户名:2密码:3用户标识号UID:4组标识号GID:5个人资料:6主目录:7命令解释器

1.2.2 /etc/shadow

  • 作用

    存储用户密码信息文件

  • 格式

    u1 : !! : 17749 : 0 : 99999 : 7 : : :

  • 格式含义(此文件由9个字段的数据组成,字段之间用“:”分隔)

    1用户名 2 密码 !!表示没有密码 3 最近改动密码的日期 4 密码不可被更动的天数 5 密码需要重新变更的天数 6 密码需要变更期限前的警告期限 7 密码过期的宽限时间 8帐号失效日期 9 保留

1.2.3 /etc/skel(目录)

  • 作用

    创建用户相关的目录,此目录用来存放新用户需要的所有基础环境变量文件

    [root@exercise1 skel]# pwd
    /etc/skel
    
    [root@exercise1 skel]# ls -a
    
    .  ..  .bash_logout  .bash_profile  .bashrc
    
    [root@exercise1 skel]# ll -a
    total 28
    drwxr-xr-x.   2 root root  4096 Aug  4 13:09 .
    drwxr-xr-x. 103 root root 12288 Aug  8 06:29 ..
    -rw-r--r--.   1 root root    18 Mar 23  2017 .bash_logout
    -rw-r--r--.   1 root root   176 Mar 23  2017 .bash_profile
    -rw-r--r--.   1 root root   124 Mar 23  2017 .bashrc
    

与/etc/skel有关的问题

1.用户u1登陆系统后提示符如下
-bash-4.1$

2. 原因
用户家目录下的相关环境配置文件被删除

3.解决方法
复制/etc/skel下的.bash*到用户家目录
cp /etc/skel/.bash* ~

1.3组配置文件

1.3.1 /etc/group

  • 作用

    存储组相关信息

  • 格式

    g1: x : 500 :

  • 格式含义(此文件由4个字段的数据组成,字段之间用“:”分隔)

    1组名 2组密码 3组管理员 4用户组成员

1.3.2 /etc/gshadow

  • 作用

    存储组密码信息

  • 格式

    hehe : ! : :

  • 格式含义(此文件由4个字段的数据组成,字段之间用“:”分隔)

    1组名 2组密码 3组管理员 4用户组成员

1.4Linux用户分类

1.4.1管理员用户

  • 默认是root用户,它的UID 和GID均为0,系统安装完成后自动生成的,默认通过它就可以登录系统,拥有最高的管理权限

1.4.2普通用户

  • 由系统管理员root创建的,创建完成后可以登录系统,但默认无法创建、修改和删除任何管理员下的文件;UID从500-65535

1.4.3系统用户(或虚拟用户)

  • 安装系统后默认生成的用户,大多数不能登录系统,但它们是系统正常运行不可缺少的,它们的存在主要是为了方便系统管理,满足相应的系统进程对文件所属用户的要求;UID从 1-499

1.5用户相关命令

1.5.1 useradd 创建用户

语法格式

  • useradd 选项 用户名

选项

  • -n 不创建以用户名为名的组

  • -c 创建用户时,添加个人信息

  • -u 用户ID值,这个值必须是唯一的

  • -s 用户登录后使用的shell

  • -g 指定用户对应的组,对应的组必须在系统中存在

  • -M 不创建用户家目录

1.5.2 usermod 修改用户

语法格式

  • usermod 选项 用户名

选项(usermod只有-l选项与useradd不同)

  • -c 修改用户的个人信息,同useradd 的-c功能

  • -g 修改用户对应的用户组,同 useradd的-d功能

  • -s 修改用户登录后使用的shell名称,同useradd的-s功能

  • -u 修改用户的uid ,同useradd 的-u功能

  • -l 修改用户的名称

    • -usermod -l 新用户名称 旧用户名称

1.5.3 userdel 删除用户

语法格式

  • userdel 选项 用户名

选项

  • -f 强制删除用户
  • -r 删除用户的同时,删除与用户相关的所有文件(包含邮箱信息/var/spool/mail/)

⚠️

当使用-r 也无法彻底清空用户内容时,把这两个配置文件中与要删除的用户相关的信息,注释或删除掉。

/etc/passwd

/etc/group

1.5.4 passwd 修改用户密码

命令格式

  • passwd 选项 用户名

选项

  • --stdin 非交互式设置密码

    [root@exercise2 local]# echo 123abc|passwd --stdin caonima
    Changing password for user caonima.
    passwd: all authentication tokens updated successfully.
    
  • -d 删除密码

    [root@exercise2 ~]# passwd -d hehe
    Removing password for user hehe.
    passwd: Success
    
  • -l 锁定密码

    [root@exercise2 ~]# passwd -l hehe
    Locking password for user hehe.
    passwd: Success
    
    锁定用户hehe的密码后,其他用户就无法登陆hehe用户,会提示错误的密码
    [haha@exercise2 ~]$ su - hehe
    Password:
    su: incorrect password
    
  • -u 解锁密码

    [root@exercise2 ~]# passwd -u hehe
    Unlocking password for user hehe.
    passwd: Success
    
  • -S 显示账户状态信息

    账户信息包含7个字段 第1个字段是用户的登录名 第2个字段指示用户账号口令是锁定(L)、无口令(NP)还是有可用口令(P) 第3个字段给出最后一次口令修改的 日期 接下来4个字段是最小有效期,最大有效期,警告字段和口令的休止期,这些时期用天标志

    [root@exercise2 ~]# passwd -S hehe hehe PS 2018-08-06 0 1 1 -1 (Password set, SHA512 crypt.)

  • -w,--warndays WARN_DAYS(长格式) 设置口令需要修改前发出警告的天数

    WARN_DAYS选项是口令过期前的天数。据到期日这些天数时, 用户将被警告其口令即将过期

  • -x, --maxdays MAX_DAYS 设置口令有效的最大天数

    MAX_DAYS天数后,口令需要修改

  • -i, --inactive INACTIVE 此选项用于在口令过期几天后禁用该账户

    用户账号的口令过期INACTIVE指定的天数后,该用户将无法再登录此账号

  • -n, --mindays MIN_DAYS 设置口令修改的最小天数间隔为MIN_DAYS

    此字段设为0表示用于可以随时修改其口令

  • -e, --expire 使一个账户的口令立即过期。这实际上强迫用户在下次登录时修改密码

    WARNING: Your password has expired. You must change your password now and login again! Changing password for user hehe. Changing password for hehe. (current) UNIX password:

1.5.5 su 切换用户

⚠️不加- 直接切换到root家目录,环境变量没有改变,此方式不安全

[root@exercise1 ~]# su hehe
[hehe@exercise1 root]$ pwd
/root

[hehe@exercise1 root]$ ls
ls: cannot open directory .: Permission denied
[hehe@exercise1 root]$ cd /
[hehe@exercise1 /]$ ls
app     bin   caonima  dev  hehe  lib    lost+found  misc  net     opt      proc  sbin     server  sys   tmp  var
backup  boot  cgroup   etc  home  lib64  media       mnt   oldboy  package  root  selinux  srv     test  usr
[hehe@exercise1 /]$

⚠️加- 切换到自己的家目录,环境变量改变

[root@exercise1 ~]# su - hehe
[hehe@exercise1 ~]$ pwd
/home/hehe

1.5.6 sudo 用户授权

  • 作用

    通过配置文件来限制用户的权限 ,可以让普通用户在执行指定的命令或程序时,拥有超级用户的权限

  • sudo工作过程

    1.当用户执行sudo时,系统会主动寻找/etc/sudoers文件,判断该用户是否有执行sudo的权限

    2.确认用户具有可执行sudo的权限后,让用户输入用户自己的密码确认

    3.若密码输入成功,则开始执行sudo后续的命令

    4.root执行sudo时不需要输入密码(因为sudoers文件中有配置root ALL=(ALL) ALL这样一条规则)

  • 选项

    • -l 显示用户拥有的sudo权限
    • -k 清空密码,密码有效时间默认5分钟
  • 授权示例

    示例1:给普通用户u1提权,让普通用户可以查看root用户的家目录;普通用户可以使用useradd命令,创建新用户
    范例分析步骤:
    1) useradd u1
    
    2) visudo=vi打开/etc/sudoers文件 或 vim /etc/sudoers
    注:visudo会检查内部语法,避免用户输入错误信息,所以我们一般使用visudo,编辑此文件要用root权限
    
    3) 编辑文件的第98行,编辑完成后,wq! 强制保存退出(vim 编辑/etc/sudoers 文件权限默认440)
    root ALL=(ALL) ALL
    u1 ALL=(ALL) /bin/ls,/usr/sbin/useradd
    u1 ALL=(ALL) /bin/*,!/bin/ls,!/usr/sbin/useradd        排除/bin/ls
    u1 ALL=(ALL) NOPASSWD:/bin/ls                    执行sudo命令不需要输入密码
    
    4)使用u1 用户登录测试
    sudo useradd u11 //可成功创建用户,证明提权成功
    sudo ls /root //可查看root的家,证明提权成功
    
    5) sudo -l //-l 参数是列出当前用户可执行的命令,但只有在sudoers文件里的用户才能使用该选项
    

1.5.7 用户查询命令

1.5.7.1 w 显示目前登入系统的用户信息

执行这项指令可得知目前登入系统的用户有哪些人,以及他们正在执行的程序

[root@exercise1 ~]# w
09:09:47 up  6:31,  7 users,  load average: 0.07, 0.06, 0.01
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    192.168.1.6    05:33    2:35m  0.37s  0.37s -bash
root     pts/1    192.168.1.6    05:43    3:07m  0.04s  0.02s bash
root     pts/2    192.168.1.6    05:53    3:07m  0.06s  0.05s bash
root     pts/3    192.168.1.6    05:55    3:13m  0.02s  0.01s bash
root     pts/4    192.168.1.6    06:01    3:07m  0.01s  0.01s -bash
root     pts/5    192.168.1.6    07:46    0.00s  0.14s  0.01s w
root     pts/6    192.168.1.6    08:04    1:04m  0.04s  0.03s -bash

1.5.7.2 id 查看用户UID、GID

[root@exercise1 ~]# id root
uid=0(root) gid=0(root) groups=0(root)

1.5.7.3 last 显示用户登录情况

[root@exercise1 ~]# last
u1       pts/7        192.168.1.6    Wed Aug  8 08:05 - 08:35  (00:29)   
root     pts/7        192.168.1.6    Wed Aug  8 08:05 - 08:05  (00:00)   
root     pts/6        192.168.1.6    Wed Aug  8 08:04   still logged in  
root     pts/5        192.168.1.6    Wed Aug  8 07:46   still logged in  
root     pts/4        192.168.1.6    Wed Aug  8 06:01   still logged in  
root     pts/3        192.168.1.6    Wed Aug  8 05:55   still logged in  
root     pts/2        192.168.1.6    Wed Aug  8 05:53   still logged in  
root     pts/1        192.168.1.6    Wed Aug  8 05:43   still logged in  
root     pts/0        192.168.1.6    Wed Aug  8 05:33   still logged in  
user     pts/3        192.168.1.6    Wed Aug  8 03:34 - 05:00  (01:26)   
user     pts/2        192.168.1.6    Wed Aug  8 03:33 - 05:00  (01:27)    
u1       pts/6        192.168.1.6    Wed Aug  8 03:25 - 03:25  (00:00)

1.5.7.4 lastlog 显示linux中所有用户最近一次远程登录的信息

[root@exercise1 ~]# lastlog
Username         Port     From             Latest
root             pts/7    192.168.1.6    Wed Aug  8 08:05:24 +0800 2018
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**

1.6组相关命令

1.6.1 groupadd 创建组

语法格式

  • groupadd 选项 用户组

选项

  • -g gid 指定用户组的GID,GID唯一不能为负数,如果不指定GID从500开始
  • -f 新增一个组,强制覆盖一个已存在的组,GID、组成员不会改变

1.6.2 gpasswd 将已存在的用户加入到组中

语法格式

  • gpasswd 选项 用户名 组名

选项

  • -a:添加一个用户到组,可以追加到组
  • -M:添加多个用户到组,覆盖之前的组成员
  • -d:从组删除用户

⚠️

1. -a只能添加一个用户到组中,批量添加用户到组用-M选项

2. -M选项再次执行添加用户到组会覆盖之前的用户

1.6.3 groupmod 修改组信息

语法格式

  • groupmod 选项 组名

选项

  • -n 修改组名
  • -g 修改GID

1.6.4 groupdel 删除组

语法格式

  • groupdel 组名

1.6.5 groups 查看用户属于哪些组

语法格式

  • groups 用户名

    [root@exercise1 ~]# groups root
    root : root
    
泡泡吐肥皂o © gitbook.pptfz.top 2021 all right reserved,powered by Gitbook文件修订时间: 秃笔南波湾!!!

results matching ""

    No results matching ""