Linux基础系列（四）系统用户和组管理

Linux系统是一个多用户、多任务的操做系统，任何一个想要使用系统资源的用户，都必须向系统管理员申请一个帐号，并授予相应的权限给到这个帐号后才能进入系统。用户的帐号一方面能够帮助系统管理员对使用系统的用户进行跟踪，并控制他们对系统资源的访问；另外一方面也能够帮助用户组织文件，并为用户提供安全性保护。

每一个用户帐号都拥有一个唯一的用户名和密码。用户只有在提供了正确的用户名和密码以后，才可以进入系统和本身的主目录。（这就相似于咱们向银行申请我的帐号，银行会为你建立一个我的帐号和密码，并只授予你部分业务有相应的权限，如存钱、转账，银行能够经过后台跟踪你的帐号信息，用户享有相应的安全性保护）。

用户和组的UID的定义说明

Linux用户：

管理员：UID为“0”；

普通用户： UID 为“1-65535”

Linux组：

系统组：CentOS 6的UID为“1-499”，CentOS 7的UID为“1-999”

普通组：CentOS 6的UID为“500+”，CentOS 7的UID为“1000+”

简单的理解为用户名和它对应的UID、用户组和组UID他们都是惟一，好比咱们要查看一下Root用户的用户属于，能够经过直接查询用户名、或者是UID，以下：

[root@localhost ~]# id root
uid=0(root) gid=0(root) groups=0(root)
[root@localhost ~]# id 0
uid=0(root) gid=0(root) groups=0(root)

Linux用户和组相关的配置文件

/etc/passwd：用户及其属性信息(名称、UID、基本组ID等等)；

[root@localhost ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash

意义：用户名:密码:UID:GID:附加组:主目录:默认shell

/etc/group：组及其属性信息；

[root@localhost ~]# cat /etc/group
gentoo:x:2201:mandriva

意义：组名:组密码:GID:以当前组为附加组的用户列表(分隔符为逗号)

/etc/shadow：用户密码及其相关属性；

[root@localhost ~]# cat /etc/shadow
root:$1$6usIQoRH$544LSxLOucbxu6ONNAHea.:16787:0:99999:7:::

意义：用户名:加密了的密码:最近一次更改密码的日期:密码的最小使用期限:最大密码使用期限:密码警告时间段:密码禁用期:帐户过时日期:保留字段

/etc/gshadow：组密码及其相关属性；

用户和组相关的管理命令

用户建立命令：useradd

语法格式：
useradd [options] LOGIN #useradd 选项 用户名

选项包含以下：

-u UID: 用户号（身份标识），[UID_MIN,UID_MAX]，定义在/etc/login.defs
-g GID：指明用户所属基本组，可为组名，也能够GID；
-c "COMMENT"：用户的注释信息；
-d: 以指定的路径为家目录（主目录），若是此目录不存在，则同时使用-m选项，能够建立目录；
-s SHELL: 指明用户的默认登陆shell程序，可用列表在/etc/shells文件中；
-G GROUP1: 为用户指明附加组；组必须事先存在；
-r: 建立系统用户：

组建立命令：groupadd

语法格式：
groupadd [OPTION]... group_name #groupadd 选项 用户组

选项包含以下：

-g GID: 指明GID号；[GID_MIN,GID_MAX]
-r: 建立系统用户：(CentOS 6 ： ID<500;  CentOS 7 ： ID<10)

例如：

一、增添一个新组名为group1

#groudadd group1

二、增添一个新组名为group2，用户的UID为120

#groupadd –g 120 group2

组删除命令：groupdel

groupdel [OPTION]... group_name  #group 选项 组名

例如：[root@localhost ~]# groupdel Linux

例如：建立用户Jim，登陆shell为/bin/csh，附加组为Admin，注释信息为"Gentoo Distribution"，家目录为/usr/jim

[root@localhost ~]# groupadd Admin
[root@localhost ~]# useradd -s /bin/csh -GAdmin -c "Gentoo Distribution" -d /usr/jim -m jim

删除用户命令： userdel

命令语法：userdel [OPTION]... login  #userdel 选项 用户名

-r:删除用户家目录；

例如：[root@localhost ~]# userdel -r jim #删除用户jim以及家目录

切换用户或以其余用户身份执行命令：su

语法格式：su [options...] [-] [user [args...]]

例如：

[root@localhost ~]# su jimjimlv  #切换至用户jimjimlv
[jimjimlv@localhost root]$ ls  #已切换至用户jimjimlv，尝试运行ls命令 
ls: cannot open directory .: Permissiondenied  #此时报错，缘由是当前目录仍在root下，而用户jimjimlv是没有权限访问root用户目录下的文件，
[jimjimlv@localhost root]$ su – root  #切换为root用户 
Password:
Last login: Tue Jan  5 19:22:53 PST 2016 on pts/0
[root@localhost~]# su – jimjimlv   #切换至用户jimjimlv，此次咱们使用“-”选项       
Last login: Tue Jan  5 19:23:04 PST 2016 on pts/0
[jimjimlv@localhost ~]$ ls  #成功切换至用户jimjimlv，当前目录也为用户jimjimlv的家目录，
Desktop Documents  Downloads  game.sh Music  Pictures  playground Public  Templates  Videos
[jimjimlv@localhost ~]$ su - root
Password:
Last login: Tue Jan  5 19:23:37 PST 2016 on pts/0
[root@localhost ~]# su jimjimlv
[jimjimlv@localhost root]$ su - root -c ls #以root帐号执行ls命令
Password:
anaconda-ks.cfg  config.sh passWD  Passwd

总结：

su UserName：非登陆式切换，即不会读取目标用户的配置文件；

su - UserName：登陆式切换，会读取目标用户的配置文件；彻底切换；

换个身份执行命令：su [-] UserName -c 'COMMAND'

备注：root su至其余用户无须密码；非root用户切换时须要密码；

用户属性修改：usermod

语法格式：usermod [OPTION] login  #usermod 选项 用户名

-u UID: 新UID
-g GID: 新基本组
-G：新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使用-a选项，表示append；
-s SHELL：新的默认SHELL；
-c 'COMMENT'：新的注释信息；
-d HOME: 新的家目录；原有家目录中的文件不会同时移动至新的家目录；若要移动，则同时使用-m选项；
-l login_name: 新的名字；
-L: lock指定用户
-U: unlock指定用户
-e YYYY-MM-DD: 指明用户帐号过时日期；
-f INACTIVE: 设定非活动期限

例如：修改用户jimjimlv的shell 为/bin/zch，家目录为/home/jimjimlv, 注释信息为“Revies Deitribution”，用户组为“Linux”

[root@localhost home]# usermod -s /bin/zch-d /home/jimjimlv -m -c "Revies Distribution" -G Linux jimjimlv

用户密码管理：passwd

用户管理的一项重要内容是用户密码的管理。用户帐号刚建立时没有密码，可是被系统锁定，没法使用，必须为其指定密码后才可使用，即便是指定空密码。

 

指定和修改用户密码的Shell命令是passwd。超级用户能够为本身和其余用户指定密码，普通用户只能用它修改本身的密码。命令的格式为：

Passwd  [OPTIONS] UserName  passwd 选项 用户名

-l: 锁定指定用户，即禁用帐号
-u: 解锁指定用户
-d：使帐号无密码
-n mindays: 指定最短使用期限
-x maxdays：最大使用期限
-w warndays：提早多少天开始警告
-i inactivedays：非活动期限；
-f: 强迫用户下次登陆时修改密码

密码的复杂性策略：

1、使用数字、大写字母、小写字母及特殊字符中至少3种；

2、足够长；

3、使用随机密码；

4、按期更换；不要使用最近曾经使用过的密码；

例如：

修改用户Rain的登陆密码

[root@localhost ~]# passwd Rain
Changing password for user Rain.
New password:
Retype new password:
passwd: all authentication tokens updatedsuccessfully.

只容许管理员修改密码

[Rain@localhost ~]$ passwd jimjimlv
passwd: Only root can specify a user name.
[Rain@localhost ~]$ passwd Rain
passwd: Only root can specify a user name.

使用选项“-l”锁定用户帐号，使其不能登陆

[root@localhost ~]# passwd -l Rain
Locking password for user Rain.
passwd: Success