Linux 用户和用户组 配置说明

 

 

本文转自以下连接：

http://fedora.linuxsir.org/main/?q=node/98

 

原文档写的很详细，一是为了方便阅读，二是为了增强理解，仍是边看边本身动手练习了一下。从新整理后的内容以下。感谢原做者的辛苦劳动。

 

个人测试环境：redhat 6.3

 

用户（User）和用户组（Group）的配置文件，是系统管理员最应该了解和掌握的系统基础文件之一，从另外一方面来讲，了解这些文件也是系统安全管理的重要组成部份。作为一个合格的系统管理员应该对用户和用户组配置文件透彻了解才行。

 

一．用户（User）相关

 

谈到用户，就不得不谈用户管理，用户配置文件，以及用户查询和管理的控制工具。用户管理主要经过修改用户配置文件完成；用户管理控制工具最终目的也是为了修改用户配置文件。

 

什么是用户查询和管理控制工具呢？

 

用户查询和控制工具是查询、添加、修改和删除用户等系统管理工具。好比查询用户的id和finger命令，添加用户的useradd 或adduser 、userdel 用户的删除、设置密码的passwd命令 、修改用户usermod 等等。

 

咱们须要知道的是经过用户查询和控制工具所进行的动做的最终目的也是修改用户配置文件。因此咱们进行用户管理的时候，直接修改用户配置文件同样能够达到用户管理的目的。经过上面的解说，咱们能实实在在的感受到用户（User）配置文件的重要性。

 

1.1  关于/etc/passwd和 UID

/etc/passwd 是系统识别用户的一个文件，作个不恰当的比喻，/etc/passwd 是一个花名册，系统全部的用户都在这里有登陆记载。

 

[root@dave ~]# useradd dave

[root@dave ~]# passwd dave

Changing password for user dave.

New password:

BAD PASSWORD: it is too short

BAD PASSWORD: is too simple

Retype new password:

passwd: all authentication tokens updated successfully.

[root@dave ~]#

 

当咱们以dave 这个帐号登陆时，系统首先会查阅 /etc/passwd 文件，看是否有dave 这个帐号，而后肯定dave的UID，经过UID 来确认用户和身份，若是存在则读取/etc/shadow 影子文件中所对应的dave的密码；若是密码核实无误则登陆系统，读取用户的配置文件。

 

[root@dave ~]# cat/etc/passwd|grep dave

dave:x:54322:54323::/home/dave:/bin/bash

 

[root@dave ~]# cat/etc/shadow|grep dave

dave:$6$vOI742LC$Rb4oNevqA1c5gXB0isGqvSK3l9Q/QcJ.Dc40xJ01gMad2qonM/dwXzkrRSIZV7gF.FHNlu/nBPkMybnnoV9DV/:15800:0:99999:7:::

[root@dave ~]#

 

 

1.1.1 /etc/passwd 的内容理解

 

在/etc/passwd 中，每一行都表示的是一个用户的信息；一行有7个段位；每一个段位用:号分割。 以下：

 

[root@dave ~]# tail -5/etc/passwd

oprofile:x:16:16:Specialuser account to be used by OProfile:/home/oprofile:/sbin/nologin

vboxadd:x:496:1::/var/run/vboxadd:/bin/false

oracle:x:54321:54321::/home/oracle:/bin/bash

nx:x:495:490::/usr/NX/home/nx:/usr/NX/bin/nxserver

dave:x:54322:54323::/home/dave:/bin/bash

[root@dave ~]#

 

第一字段：用户名（也被称为登陆名）；

第二字段：口令；在例子中咱们看到的是一个x，其实密码已被映射到/etc/shadow 文件中；

第三字段：UID ；请参看本文的UID的解说；

第四字段：GID；请参看本文的GID的解说；

第五字段：用户名全称，这是可选的，能够不设置，在oprofile这个用户中，用户的全称是Special user account to be used by OProfile；而其余用户没有设置全称；

第六字段：用户的家目录所在位置；oracle 这个用户是/home/oracle

第七字段：用户所用SHELL 的类型，oracle用户用的是 bash ；因此设置为/bin/bash ；

 

1.1.2 关于UID 的理解

UID 是用户的ID 值，在系统中每一个用户的UID的值是惟一的。更确切的说每一个用户都要对应一个惟一的UID ，系统管理员应该确保这一规则。系统用户的UID的值从0开始，是一个正整数，至于最大值能够在/etc/login.defs 能够查到，通常Linux发行版约定为60000。

 

[root@dave~]# cat /etc/login.defs |grep -v ^#

MAIL_DIR        /var/spool/mail

 

PASS_MAX_DAYS   99999

PASS_MIN_DAYS   0

PASS_MIN_LEN    5

PASS_WARN_AGE   7

 

UID_MIN                   500

UID_MAX                 60000

 

GID_MIN                   500

GID_MAX                 60000

 

 

CREATE_HOME     yes

 

UMASK           077

 

USERGROUPS_ENAB yes

 

ENCRYPT_METHOD SHA512

 

[root@dave ~]#

 

在Linux 中，root的UID是0，拥有系统最高权限。 UID 在系统中具备惟一特性，作为系统管理员应该确保这一标准，UID 的惟一性关系到系统的安全，应该值得咱们关注！

 

好比我在/etc/passwd 中把dave的UID 改成0后，你设想会发生什么呢？dave这个用户会被确认为root用户。dave这个账号能够进行全部root的操做。

 

[root@dave ~]# cat/etc/passwd|egrep 'root|dave'

root:x:0:0:root:/root:/bin/bash

operator:x:11:0:operator:/root:/sbin/nologin

dave:x:54322:54323::/home/dave:/bin/bash

 

UID 是确认用户权限的标识，用户登陆系统所处的角色是经过UID 来实现的，而非用户名，切记；把几个用户共用一个UID 是危险的，好比咱们上面所谈到的，把普通用户的UID 改成0，和root共用一个UID ，这事实上就形成了系统管理权限的混乱。若是咱们想用root权限，能够经过su或sudo来实现；切不可随意让一个用户和root分享同一个UID 。

 

UID是惟一性，只是要求管理员所作的，其实咱们修改/etc/passwd 文件，能够修改任何用户的UID的值为0，通常状况下，每一个Linux的发行版都会预留必定的UID和GID给系统虚拟用户占用，虚拟用户通常是系统安装时就有的，是为了完成系统任务所必须的用户，但虚拟用户是不能登陆系统的，好比ftp、nobody、adm、rpm、bin、shutdown等；

 

linux系统会把前499 个UID和GID 预留出来，咱们添加新用户时的UID 从500开始的，GID也是从500开始。

 

有的系统可能会有出入，具体预留多少，能够查看/etc/login.defs文件中的 UID_MIN 的最小值； 咱们这里UID_MIN是500，而UID_MAX 值为60000，也就是说咱们经过adduser默认添加的用户的UID的值是500到60000之间；

 

经过adduser不指定UID来添加用户，每次添加都会从用户手工添加用户的UID和GID的最大值往上增长1。

 

[root@dave home]# useradddave

[root@dave home]# cat/etc/passwd|grep dave

dave:x:501:502::/home/dave:/bin/bash

[root@dave home]# cat/etc/group|grep dave

dave:x:502:

 

1.2  关于/etc/shadow

 

1.2.1 /etc/shadow 概说

/etc/shadow文件是/etc/passwd 的影子文件，这个文件并不禁/etc/passwd 而产生的，这两个文件是应该是对应互补的；shadow内容包括用户及被加密的密码以及其它/etc/passwd 不能包括的信息，好比用户的有效期限等；这个文件只有root权限能够读取和操做，权限以下：

 

[root@dave home]# ll/etc/shadow

----------.1 root root1137 Apr  6 06:40 /etc/shadow

 

/etc/shadow 的权限不能随便改成其它用户可读，这样作是危险的。若是您发现这个文件的权限变成了其它用户组或用户可读了，要进行检查，以防系统安全问题的发生；

 

若是咱们以普通用户查看这个文件时，应该什么也查看不到，提示是权限不够：

[root@dave home]# su - dave

[dave@dave ~]$ cat/etc/shadow

cat: /etc/shadow: Permissiondenied

[dave@dave ~]$

 

 

1.2.2 /etc/shadow 的内容分析

 

/etc/shadow 文件的内容包括9个段位，每一个段位之间用:号分割；以下：

 

从/etc/shadow文件中取了以下内容：

sync:*:15064:0:99999:7:::

shutdown:*:15064:0:99999:7:::

oprofile:!!:15566::::::

vboxadd:!!:15566::::::

oracle:$6$M1THq……ONvuu5RCfuLb9c63u0:15566:0:99999:7:::

dave:$6$ASwiI……dNSPfmWfNiij9/7Hbw.86.:15800:0:99999:7:::

 

第一字段：用户名（也被称为登陆名），在/etc/shadow中，用户名和/etc/passwd 是相同的，这样就把passwd 和shadow中用的用户记录联系在一块儿；这个字段是非空的；

 

第二字段：密码（已被加密），这里有4种值，*，！ 和！！，还有就是加密后的密码。这个字段是非空的；

"NP" or "!" or null - No password, the accounthas no password.
"LK" or "*" - the account is Locked, user will be unable tolog-in
"!!" - the password has expired

 

第三字段：上次修改口令的时间；这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔（天数），能够经过passwd 来修改用户的密码，而后查看/etc/shadow中此字段的变化；

 

第四字段：两次修改口令间隔最少的天数；若是设置为0,则禁用此功能；也就是说用户必须通过多少天才能修改其口令；此项功能用处不是太大；默认值是经过/etc/login.defs文件定义中获取，PASS_MIN_DAYS 中有定义；

 

第五字段：两次修改口令间隔最多的天数；这个能加强管理员管理用户口令的时效性，应该说在加强了系统的安全性；若是是系统默认值，是在添加用户时由/etc/login.defs文件定义中获取，在PASS_MAX_DAYS 中定义；

 

第六字段：提早多少天警告用户口令将过时；当用户登陆系统后，系统登陆程序提醒用户口令将要做废；若是是系统默认值，是在添加用户时由/etc/login.defs文件定义中获取，在PASS_WARN_AGE 中定义；

 

第七字段：在口令过时以后多少天禁用此用户；此字段表示用户口令做废多少天后，系统会禁用此用户，也就是说系统会不能再让此用户登陆，也不会提示用户过时，是彻底禁用；

 

第八字段：用户过时日期；此字段指定了用户做废的天数（从1970年的1月1日开始的天数），若是这个字段的值为空，账号永久可用；

 

第九字段：保留字段，目前为空，以备未来Linux发展之用；若是更为详细的，请用 man shadow来查看帮助，您会获得更为详尽的资料；

 

看具体的分析：

[root@dave home]# cat/etc/shadow|grep root

root:$6$rhOLRand$64hQaBfM12GZeliBxpuVCJ5OCKealgHXUruEVnR2KUTOhKoBGa6D/NoEi30D1dWxgUXEWEGNKAOs0mIbil5OG/:15566:0:99999:7:::

 

第一字段：用户名，root

第二字段：被加密的密码

 

第三字段：表示上次更改口令的天数（距1970年01月01日），在例子中root用户更改密码的时间距1970年01月01日的天数为15566；

 

咱们估算一下今天到1970年1月1号的时间差：

[root@dave home]#time1=$(($(date +%s -d '2013-04-09') - $(date +%s -d '1970-01-01 00:00:00')));

[root@dave home]# echo$time1

1365465600

[root@dave home]# expr1365465600 / 3600 / 24

15804

[root@dave home]#

 

相差15804天。基本和咱们里面的值差很少。

 

咱们用passwd命令重置一下root用户的密码：

[root@dave home]# cat/etc/shadow|grep root

root:$6$C40per4D$4Nc/UXf3tj9/gJ1hZUz.z/bIKM04qOtOs/15HhCfHJdqGk1fh.mNFGMaYfSGRAGNRGT09TmgM3kRvPipTx/Wl.:15801:0:99999:7:::

这里显示的15801天，和咱们上面估算的就很接近了。

 

 

第四字段：禁用两次口令修改之间最小天数的功能，设置为0

 

第五字段：两次修改口令间隔最多的天数，在例子中都是99999天；这个值若是在添加用户时没有指定的话，是经过/etc/login.defs来获取默认值，PASS_MAX_DAYS 99999；能够查看/etc/login.defs来查看具体的值；

 

第六字段：提早多少天警告用户口令将过时；当用户登陆系统后，系统登陆程序提醒用户口令将要做废；若是是系统默认值，是在添加用户时由/etc /login.defs文件定义中获取，在PASS_WARN_AGE 中定义；在例子中的值是7 ，表示在用户口令将过时的前7天警告用户更改期口令；

 

第七字段：在口令过时以后多少天禁用此用户；此字段表示用户口令做废多少天后，系统会禁用此用户，也就是说系统会不能再让此用户登陆，也不会提示用户过时，是彻底禁用；在例子中，此字段两个用户的都是空的，表示禁用这个功能；

 

第八字段：用户过时日期；此字段指定了用户做废的天数（从1970年的1月1日开始的天数），若是这个字段的值为空，账号永久可用；在例子中，咱们看到 beinan这个用户在此字段是空的，表示此用户永久可用；而linuxsir这个用户表示在距1970年01月01往后13108天后过时，算起来也就是2005年11月21号过时；哈哈，若是有兴趣的的弟兄，本身来算算，大致仍是差很少的;)；

 

第九字段：保留字段，目前为空，以备未来Linux发展之用；

 

 

二. 关于用户组

 

具备某种共同特征的用户集合起来就是用户组（Group）。用户组（Group）配置文件主要有 /etc/group和/etc/gshadow，其中/etc/gshadow是/etc/group的加密信息文件。

 

2.1 /etc/group 解说

/etc/group 文件是用户组的配置文件，内容包括用户和用户组，而且能显示出用户是归属哪一个用户组或哪几个用户组，由于一个用户能够归属一个或多个不一样的用户组；同一用户组的用户之间具备类似的特征。

好比咱们把某一用户加入到root用户组，那么这个用户就能够浏览root用户家目录的文件，若是root用户把某个文件的读写执行权限开放，root用户组的全部用户均可以修改此文件，若是是可执行的文件（好比脚本），root用户组的用户也是能够执行的。

 

用户组的特性在系统管理中为系统管理员提供了极大的方便，但安全性也是值得关注的，如某个用户下有对系统管理有最重要的内容，最好让用户拥有独立的用户组，或者是把用户下的文件的权限设置为彻底私有；另外root用户组通常不要轻易把普通用户加入进去。

 

 

2.2  /etc/group 内容具体分析

/etc/group 的内容包括用户组（Group）、用户组口令、GID及该用户组所包含的用户（User），每一个用户组一条记录；格式以下：

group_name:passwd:GID:user_list

 

[root@dave home]# cat/etc/group |grep root

root:x:0:root

bin:x:1:root,bin,daemon

daemon:x:2:root,bin,daemon

sys:x:3:root,bin,adm

adm:x:4:root,adm,daemon

disk:x:6:root

wheel:x:10:root

[root@dave home]#

 

在/etc/group 中的每条记录分四个字段：

第一字段：用户组名称；

第二字段：用户组密码；

第三字段：GID

第四字段：用户列表，每一个用户之间用,号分割；本字段能够为空；若是字段为空表示用户组为GID的用户名；

 

 

示例说明：

（1）root:x:0:root,linuxsir  

注：用户组root，x是密码段，表示没有设置密码，GID是0,root用户组下包括root、linuxsir以及GID为0的其它用户（能够经过/etc/passwd查看）

 

 

（2）beinan:x:500:linuxsir 

注：用户组beinan，x是密码段，表示没有设置密码，GID是500,beinan用户组下包括linuxsir用户及GID为500的用户（能够经过/etc/passwd查看）

 

（3）linuxsir:x:502:linuxsir 

注：用户组linuxsir，x是密码段，表示没有设置密码，GID是502,linuxsir用户组下包用户linuxsir及GID为502的用户（能够经过/etc/passwd查看）

 

（4）helloer:x:503:  

注：用户组helloer，x是密码段，表示没有设置密码，GID是503,helloer用户组下包括GID为503的用户，能够经过/etc/passwd查看；

 

 

而/etc/passwd对应的相关的记录为：

root:x:0:0:root:/root:/bin/bash

beinan:x:500:500:beinansun:/home/beinan:/bin/bash

linuxsir:x:505:502:linuxsir open,linuxsiroffice,13898667715:/home/linuxsir:/bin/bash

helloer:x:502:503::/home/helloer:/bin/bash

 

由此能够看出helloer用户组包括 helloer用户；因此咱们查看一个用户组所拥有的用户，能够经过对比/etc/passwd和/etc/group来获得；

 

2.3  关于GID

GID和UID相似，是一个正整数或0，GID从0开始，GID为0的组让系统付予给root用户组；系统会预留一些较靠前的GID给系统虚拟用户（也被称为假装用户）之用；

 

每一个系统预留的GID都有所不一样， Linux预留了500个，咱们添加新用户组时，用户组是从500开始的；

查看系统添加用户组默认的GID范围应该查看 /etc/login.defs 中的 GID_MIN 和GID_MAX 值；咱们能够对照/etc/passwd和/etc/group 两个文件；咱们会发现有默认用户组之说；咱们在 /etc/passwd 中的每条用户记录会发现用户默认的GID ；

 

在/etc/group中，咱们也会发现每一个用户组下有多少个用户；在建立目录和文件时，会使用默认的用户组；

 

 

示例：咱们将dave用户添加到root用户组：

[root@dave home]# usermod -a-G root dave

 

/etc/passwd文件中的记录：

[root@dave home]# cat/etc/passwd|grep dave

dave:x:501:502::/home/dave:/bin/bash

 

dave用户的默认GID 为502.

 

[root@dave home]# cat /etc/group|grepdave

root:x:0:root,dave

dave:x:502:

 

而502的GID 在/etc/group中查到是dave用户组；

 

所以咱们看到dave用户组的GID 为502，而dave 用户归属为root、dave用户组；

 

 

咱们用dave来建立一个目录，以观察dave用户建立目录的权限归属；

[root@dave home]# su - dave

[dave@dave ~]$ mkdir test

[dave@dave ~]$ ll

total 4

drwxrwxr-x. 2 dave dave 4096Apr  6 12:18 test

[dave@dave ~]$

 

经过咱们用dave来建立目录时发现，test的权限归属仍然是dave用户和dave用户组的；而没有归属root用户组；但值得注意的是，判断用户的访问权限时，默认的GID 并非最重要的，只要一个目录让同组用户能够访问的权限，那么同组用户就能够拥有该目录的访问权，在这时用户的默认GID 并非最重要的。

 

2.4  /etc/gshadow 解说

/etc/gshadow是/etc/group的加密资讯文件，好比用户组（Group）管理密码就是存放在这个文件。/etc/gshadow和 /etc/group是互补的两个文件；对于大型服务器，针对不少用户和组，定制一些关系结构比较复杂的权限模型，设置用户组密码是极有必要的。

 

好比咱们不想让一些非用户组成员永久拥有用户组的权限和特性，这时咱们能够经过密码验证的方式来让某些用户临时拥有一些用户组特性，这时就要用到用户组密码。

 

/etc/gshadow格式以下，每一个用户组独占一行：

groupname:password:admin,admin,...:member,member,...

 

第一字段：用户组

第二字段：用户组密码，这个段能够是空的或!，若是是空的或有!，表示没有密码；

第三字段：用户组管理者，这个字段也可为空，若是有多个用户组管理者，用,号分割；

第四字段：组成员，若是有多个成员，用,号分割；

 

举例：

beinan:!::linuxsir

linuxsir:oUS/q7NH75RhQ::linuxsir

 

第一字段：这个例子中，有两个用户组beinan用linuxsir

第二字段：用户组的密码，beinan用户组无密码；linuxsir用户组有已经，已经加密；

第三字段：用户组管理者，二者都为空；

第四字段：beinan用户组所拥有的成员是linuxsir ，而后还要对照一下/etc/group和/etc/passwd 查看是否还有其它用户，通常默认添加的用户，有时同时也会建立用户组和用户名同名称； linuxsir 用户组有成员linuxisir ；

 

如何设置用户组的密码？ 咱们能够经过 gpasswd 来实现；不过通常的状况下，没有必要设置用户组的密码；不过本身实践一下也有必要；下面是一个为linuxsir用户组设置密码的例子: 注：gpasswd 的用法： gpasswd 用户组

[root@localhost ~]# gpasswdlinuxsir

正在修改 linuxsir 组的密码

新密码：

请从新输入新密码：

 

 

用户组之间的切换，应该用 newgrp ，这个有点象用户之间切换的su ；示例：

[beinan@localhost ~]$ newgrplinuxsir

密码：

[beinan@localhost ~]$ mkdirlingroup

[beinan@localhost ~]$ ls -ldlingroup/

drwxr-xr-x  2 beinan linuxsir 4096 10月 18 15:56 lingroup/

 

 

三. 经过用户和用户组配置文件来查询或管理用户

 

3.1 用户和用户组查询的方法

 

3.1.1 经过查看用户（User）和用户组的配置文件的办法来查看用户信息

咱们对用户（User）和用户组（Group）的配置文件已经有个基本的了解，经过查看用户（User）和用户组的配置文件，咱们就能作到对系统用户的了解，固然您也能够经过id 或finger 等工具来进行用户的查询等任务。

 

对于文件的查看，咱们能够经过 more 或cat 来查看，好比 more /etc/passwd 或cat /etc/passwd ；其它工具也同样，能对文本查看就行，好比less 也比如如咱们能够经过more 、cat 、less命令对/etc/passwd 的查看，虽然命令不一样，但达到的目的是同样的， 都是获得/etc/passwd的内容：

[root@localhost ~]# more/etc/passwd

[root@localhost ~]# cat /etc/passwd

[root@localhost ~]# less/etc/passwd

 

3.1.2 经过id和finger 工具来获取用户信息

    除了直接查看用户（User）和用户组（Group）配置文件的办法除外，咱们还有 id和finger工具可用，咱们同样经过命令行的操做，来完成对用户的查询；

 

id和finger，是两个各有测重的工具：

（1）id工具更测重用户、用户所归属的用户组、UID 和GID 的查看；

（2）finger测重用户资讯的查询，好比用户名（登陆名）、电话、家目录、登陆SHELL类型、真实姓名、空闲时间等等。

 

id 命令用法：id 选项  用户名

好比：我想查询beinan和linuxsir 用户的UID、GID 以及归属用户组的状况：

[root@localhost ~]# idbeinan  

uid=500(beinan)gid=500(beinan) groups=500(beinan)

 

注：beinan的UID 是 500，默认用户组是beinan，默认用户组的GID 是500,归属于beinan用户组；

 

[root@localhost ~]# idlinuxsir 

uid=505(linuxsir)gid=502(linuxsir) groups=502(linuxsir),0(root),500(beinan)

 

注：linuxsir的UID 是505,默认用户组是linuxsir，默认用户组的GID 是502，归属于linuxsir（GID为502）、root（GID为0），beinan（GID为500）；

 

 

finger的用法：finger 选项 用户名1 用户名2 ... 

 

在Linux 6.3 版本里须要单独的安装这个工具包。

[root@dave home]# yuminstall finger.x86_64

 

 

若是finger 不加任何参数和用户，会显示出当前在线用户，和w命令相似；对比一下；不过各有测重。

[root@dave home]# finger

Login     Name      Tty      Idle  Login Time  Office     Office Phone

root      root      tty1    18:01  Apr  518:35 (:0)

root      root      pts/0    8:58  Apr  603:35 (192.168.1.1)

root      root      pts/1          Apr  6 03:36 (192.168.1.1)

[root@dave home]#

 

[root@dave home]# w

 12:35:50 up 18:02,  3 users, load average: 0.39, 0.20, 0.07

USER     TTY     FROM              LOGIN@   IDLE  JCPU   PCPU WHAT

root     tty1    :0               Fri18   18:01m 10.12s 10.12s /usr/bin/Xorg :0 -nr-verbose -auth /var/r

root     pts/0   192.168.1.1      03:35    8:59m 0.06s  0.06s -bash

root     pts/1   192.168.1.1      03:36   0.00s  0.38s  0.09s w

 

 

若是咱们在finger 后面加上用户名，就能够看到用户更为详细的信息，能够一次查看多个用户，用空格分开，好比下面的例子中，咱们一次查询两个用户beinan和linuxsir的信息：

 

[root@localhost~]# finger beinan linuxsir

Login: beinan 注：用户名（也是登陆名） Name: beinan sun （用户名全称）

Directory: /home/beinan 注：家目录 Shell: /bin/bash 注：所用SHELL类型

On since Tue Oct 18 13:53(CST) on tty2 10 minutes 55 seconds idle 注：空闲时间；

On since Tue Oct 18 13:57(CST) on pts/0 from :0.0

No mail.

No Plan.

 

Login: linuxsir Name:linuxsir open

Directory: /home/linuxsirShell: /bin/bash

Office: linuxsir office,+1-389-866-7715

On since Tue Oct 18 13:39(CST) on tty1 24 minutes 58 seconds idle

No mail.

No Plan.

 

3.1.3 用户组查询的办法

咱们能够经过用户来查询所归属的组，用groups 来查询；好比我查询beinan和linuxsir 所归属的组，咱们能够用groups 来查询；

[root@localhost ~]# groupsbeinan linuxsir 

beinan : beinan

linuxsir : linuxsir rootbeinan

 

注：这是经过groups 同时查看了用户beinan和linuxsir所归属的组；

 

3.2 经过修改用户（User）和用户组（Group）配置文件的办法来添加

在前面说过，能够经过修改配置文件的办法来管理用户，因此此主题应该包括此内容；固然经过用户及用户组管理工具（好比 adduser、userdel、usermod、userinfo、groupadd 、groupdel 、groupmod等）也是能够的。

 

经过修改用户（User）和用户组（Group）配置文件的方法管理用户之用户的添加流程：

 

咱们先以添加用户为例，对用户的删除和修改都比较简单。

 

3.2.1 修改 /etc/passwd ，添加用户记录

咱们按/etc/passwd的格式的约定来添加新的用户记录；固然您要让一个用户失效，能够删除您想要删除的用户记录；值得注意的是，不能让UID 重复。

 

好比我想添加anqing 这个用户，发现UID 508没有用户用，而且我想把其用户组也设置为anqing ，用户组的GID 也设置为508,若是GID 没有占用的话；咱们要打开 /etc/passwd ，在最下面加一行：

anqing:x:508:508::/home/anqing:/bin/bash

 

而后执行pwconv ，让/etc/passwd 和/etc/shadow同步，您能够查看 /etc/shadow的内容是否同步；

[root@dave home]# pwconv

[root@dave home]# cat/etc/shadow|grep anqing

anqing:x:15801:0:99999:7:::

[root@dave home]#

 

 

3.2.2 修改/etc/group

首先，咱们得查看是否有anqing用户组，以及GID 508 是否被其它用户组占用；

[root@dave home]# cat/etc/group|grep anqing

[root@dave home]# cat/etc/group|grep 508

 

经过查看，咱们发现没有被占用；因此咱们要添加anqing的记录到 /etc/group中：

anqing:x:508:

 

其次，是运行 grpconv 来同步/etc/group 和/etc/gshadow内容，而后经过查看/etc/gshadow的内容变化确认是否是添加组成功了。

 

[root@dave home]# grpconv

[root@dave home]# cat/etc/gshadow |grep anqing

anqing:x::

[root@dave home]#

 

 

3.2.3 建立用户的家目录，并把用户启动文件也复制过去

建立用户的家目录，咱们要以/etc/passwd 中添加的新用户的记录为准，咱们在/etc/passwd 中添加新用户anqing ，她的家目录是处于/home/anqing ；另外咱们还须要把/etc/skel 目录下的.*隐藏文件复制过去：

 

[root@dave home]# cd/etc/skel/

[root@dave skel]# ls -la

total 40

drwxr-xr-x.   4 root root 4096 Aug 15  2012 .

drwxr-xr-x. 115 root root12288 Apr  6 12:42 ..

-rw-r--r--.   1 root root    18 Mar 29 2011 .bash_logout

-rw-r--r--.   1 root root  176 Mar 29  2011 .bash_profile

-rw-r--r--.   1 root root  124 Mar 29  2011 .bashrc

drwxr-xr-x.   2 root root 4096 Nov 20  2010 .gnome2

-rw-r--r--.   1 root root  121 May  2  2012 .kshrc

drwxr-xr-x.   4 root root 4096 Aug 15  2012 .mozilla

 

[root@dave home]# cp -R/etc/skel/ /home/anqing

[root@dave skel]# cd/home/anqing

[root@dave anqing]# ls -la

total 32

drwxr-xr-x. 4 root root 4096Apr  6 12:43 .

drwxr-xr-x. 5 root root 4096Apr  6 12:43 ..

-rw-r--r--. 1 root root   18 Apr 6 12:43 .bash_logout

-rw-r--r--. 1 root root  176 Apr 6 12:43 .bash_profile

-rw-r--r--. 1 root root  124 Apr 6 12:43 .bashrc

drwxr-xr-x. 2 root root 4096Apr  6 12:43 .gnome2

-rw-r--r--. 1 root root  121 Apr 6 12:43 .kshrc

drwxr-xr-x. 4 root root 4096Apr  6 12:43 .mozilla

 

3.2.4 改变新增用户家目录的属主和权限

咱们发现新增用户的家目录的属主目前是root ，而且家目录下的隐藏文件也是root权限：

[root@dave anqing]# ls -ld/home/anqing/

drwxr-xr-x. 4 root root 4096Apr  6 12:43 /home/anqing/

 

因此咱们要经过chown 命令来改变/home/anqing目录归属为anqing用户；

[root@dave anqing]# chown -Ranqing:anqing /home/anqing

 

 

查看是否已经更换了属主为lanhaitun用户全部：

[root@dave anqing]# ls -ld/home/anqing

drwxr-xr-x. 4 anqing anqing4096 Apr  6 12:43 /home/anqing

 

[root@dave anqing]# ls -la/home/anqing

total 32

drwxr-xr-x. 4 anqing anqing4096 Apr  6 12:43 .

drwxr-xr-x. 5 root   root  4096 Apr  6 12:43 ..

-rw-r--r--. 1 anqinganqing   18 Apr  6 12:43 .bash_logout

-rw-r--r--. 1 anqinganqing  176 Apr  6 12:43 .bash_profile

-rw-r--r--. 1 anqinganqing  124 Apr  6 12:43 .bashrc

drwxr-xr-x. 2 anqing anqing4096 Apr  6 12:43 .gnome2

-rw-r--r--. 1 anqinganqing  121 Apr  6 12:43 .kshrc

drwxr-xr-x. 4 anqing anqing4096 Apr  6 12:43 .mozilla

[root@dave anqing]#

 

看来已经实现了；但这样仍是不够的，由于/home/anqing/的目录权限可能会过于公开：

drwxr-xr-x. 4 anqing anqing4096 Apr  6 12:43 /home/anqing

 

咱们看到 /home/anqing目录的权限为 drwxr-xr-x ，也就是同组用户和其它用户组所能查看，为了保密，咱们有理由把新增用户家目录的权限设置为只有其本身可读可写可执行；因而... ...

 

[root@dave anqing]# chmod700 /home/anqing/

[root@dave anqing]# ls -ld/home/anqing

drwx------. 4 anqing anqing4096 Apr  6 12:43 /home/anqing

 

咱们用其它用户，固然得把具备超级权限的root用户除外；好比我以dave用户来查看anqing的家目录会获得以下信息；

[root@dave anqing]# su -dave

[dave@dave ~]$ ls -la/home/anqing

ls: cannot open directory /home/anqing:Permission denied

 

3.2.5 设置新增用户的密码

以上各步骤都就序了，咱们得为新增用户设置密码了；要经过passwd命令来生成；这个没有办法经过修改文件解决；

 

passwd 的用法：passwd 用户名

[root@dave anqing]# passwdanqing

Changing password for useranqing.

New password:

BAD PASSWORD: it is based ona dictionary word

BAD PASSWORD: is too simple

Retype new password:

passwd: all authenticationtokens updated successfully.

[root@dave anqing]#

 

3.2.6 测试添增用户是否成功

您能够用新增用户登陆测试，也能够经过su 来切换用户测试：

[root@dave anqing]# su -dave

[dave@dave ~]$ su - anqing

Password:

[anqing@dave ~]$ cd ~

[anqing@dave ~]$ pwd

/home/anqing

[anqing@dave ~]$ ls -la

total 32

drwx------. 4 anqing anqing4096 Apr  6 12:43 .

drwxr-xr-x. 5 root   root  4096 Apr  6 12:43 ..

-rw-r--r--. 1 anqinganqing   18 Apr  6 12:43 .bash_logout

-rw-r--r--. 1 anqinganqing  176 Apr  6 12:43 .bash_profile

-rw-r--r--. 1 anqinganqing  124 Apr  6 12:43 .bashrc

drwxr-xr-x. 2 anqing anqing4096 Apr  6 12:43 .gnome2

-rw-r--r--. 1 anqinganqing  121 Apr  6 12:43 .kshrc

drwxr-xr-x. 4 anqing anqing4096 Apr  6 12:43 .mozilla

[anqing@dave ~]$ mkdirtestdir

[anqing@dave ~]$ ls -lh

total 4.0K

drwxrwxr-x. 2 anqing anqing4.0K Apr  6 12:49 testdir

[anqing@dave ~]$

 

经过上面一系列动做，验证anqing用户已经成功。

 

3.3 经过修改用户（User）和用户组（Group）配置文件的办法来修改用户或用户组

 

咱们能够修改/etc/passwd 和/etc/group 来达到修改用户和用户所归属的组，这个过程和添加新用户时差很少；好比我想修改anqing的用户名全称、公司以及电话等信息；咱们能够修改/etc/passwd 实现。

 

 

3.3.1 修改用户信息

 

--原始记录：

[root@dave anqing]# cat/etc/passwd|grep anqing

anqing:x:508:508::/home/anqing:/bin/bash

 

咱们能够修改成

anqing:x:508:508:david dai,Officeanqing,13800000000:/home/anqing:/bin/bash

 

固然咱们还能够修改用户的bash 类型，家目录等，固然若是修改家目录，还得进行建家目录、属主和权限的操做，这和前面添加用户的办法在程序上有些是相同的；修改完成后，咱们要进行pwconv 同步，经过finger 来查看用户的信息等。

 

[root@dave anqing]# pwconv

[root@dave anqing]# fingeranqing

Login: anqing                           Name: david dai

Directory: /home/anqing                 Shell: /bin/bash

Office: Office anqing,+1-380-000-0000

Never logged in.

No mail.

No Plan.

[root@dave anqing]#

 

3.3.2 修改用户所归属的组，能够经过/etc/group 修改实现

固然修改用户和用户组，不只能经过修改配置文件来实现，还能过过 usermod 及chfn来实现；这里咱们先讲一讲如何经过修改配置文件来达到目的；若是咱们想把anqing 这个用户归属到root用户组，因此咱们还能修改/etc/group 的办法来达到目的；找到/etc/group 中的root开头的一行，按其规划加入anqing；

root:x:0:root,anqing

 

 

而后执行 grpconv 命令来同步/etc/group 和/etc/gshadow两个文件的内容。

 

[root@dave anqing]# grpconv

[root@dave anqing]# idanqing

uid=508(anqing)gid=508(anqing) groups=508(anqing),0(root)

 

 

3.3.3 删除用户及用户组的办法

这个比较简单，咱们能够经过删除/etc/passwd 和/etc/group 相应的用户和用户组记录就能达到目的，也能过过userdel 和groupdel 来实现对用户及用户组的删除；若是是经过修改用户和用户组配置文件的办法来删除用户，就是删除相应的记录就好了，若是不想保留其家目录，删除就是了。

 

只删除anqing用户，其家目录和mail等仍会保存：

[root@localhost ~]# userdel  anqing

 

加上-r 参数，是删除家目录及mail等：

[root@localhost ~]# userdel  -r anqing

 

用userdel 删除用户的同时，也会把其用户组删除；咱们能够经过/etc/passwd 和/etc/group 的内容变化来查看。

 

[root@dave anqing]# cat/etc/passwd |grep anqing

[root@dave anqing]# cat/etc/group|grep anqing

[root@dave anqing]# cat/etc/group|grep root

root:x:0:root,dave

bin:x:1:root,bin,daemon

daemon:x:2:root,bin,daemon

sys:x:3:root,bin,adm

adm:x:4:root,adm,daemon

disk:x:6:root

wheel:x:10:root

[root@dave anqing]#

 

 

 

 

 

 

 

 

 

 

--------------------------------------------------------------------------------------------

Skype:    tianlesoftware

QQ:       tianlesoftware@gmail.com

Email:    tianlesoftware@gmail.com

Blog:     http://blog.csdn.net/tianlesoftware

Weibo:    http://weibo.com/tianlesoftware

Twitter:  http://twitter.com/tianlesoftware

Facebook: http://www.facebook.com/tianlesoftware

Linkedin: http://cn.linkedin.com/in/tianlesoftware