Linux的用戶和用戶組管理

Linux是個多用戶多任務的分時操做系統，全部一個要使用系統資源的用戶都必須先向系統管理員申請一個帳號，而後以這個帳號的身份進入系統。用戶的帳號一方面能幫助系統管理員對使用系統的用戶進行跟蹤，並控制他們對系統資源的訪問；另外一方面也能幫助用戶組織文件，併爲用戶提供安全性保護。每一個用戶帳號都擁有一個唯一的用戶名和用戶口令。用戶在登陸時鍵入正確的用戶名和口令後，才能進入系統和本身的主目錄。
實現用戶帳號的管理，要完成的工做主要有以下幾個方面：
a.用戶帳號的添加、刪除和修改。
b.用戶口令的管理。
c.用戶組的管理。
Linux用戶帳號的管理

用戶帳號的管理主要涉及到用戶帳號的添加、刪除和修改。
添加用戶帳號就是在系統中建立一個新帳號，而後爲新帳號分配用戶號、用戶組、主目錄和登陸Shell等資源。剛添加的帳號是被鎖定的，沒法使用。
一、添加新的用戶帳號使用useradd命令，語法以下：
useradd 選項 用戶名
其中各選項含義以下：
-c comment 指定一段註釋性描述。
-d 目錄 指定用戶主目錄，若是此目錄不存在，則同時使用-m選項，能建立主目錄。
-g 用戶組 指定用戶所屬的用戶組。
-G 用戶組,用戶組 指定用戶所屬的附加組。
-s Shell文件 指定用戶的登陸Shell。
-u 用戶號 指定用戶的用戶號，若是同時有-o選項，則能重複使用其餘用戶的標識號。
-p這個命令是需求提供md5碼的加密口令，普通數字是不行的。
     
用戶名 指定新帳號的登陸名。
      
ex: 
例1：
# useradd -d /usr/sam -m sam
此命令建立了一個用戶sam，其中-d和-m選項用來爲登陸名sam產生一個主目錄/usr/sam（/usr爲默認的用戶主目錄所在的父目錄）。
例2：
# useradd -s /bin/sh -g group -G adm,root gem
此命令新建了一個用戶gem，該用戶的登陸Shell是/bin/sh，他屬於group用戶組，同時又屬於adm和root用戶組，其中group用戶組是其主組。
這裏可能新建組：groupadd group 及 groupadd adm
增長用戶帳號就是在/etc/passwd文件中爲新用戶增長一條記錄，同時更新其餘系統文件，如/etc/shadow，/etc/group等。
Linux提供了集成的系統管理工具userconf，他能用來對用戶帳號進行統一管理。
注：
      用戶賬戶自己在 /etc/passwd 中定義。Linux 系統包含一個 /etc/passwd 的同伴文件，叫作 /etc/shadow。該文件不像 /etc/passwd，只有對於 root 用戶來講是可讀的，而且包含加密的密碼信息。咱們來看一看 /etc/shadow 的一個樣本行：
      drobbins1$1234567890123456789012345678901:11664:0:-1:-1:-1:-1:0 
      每一行給一個特別賬戶定義密碼信息，一樣的，每一個字段用 : 隔開。第一個字段定義和這個shadow條目相關聯的特別用戶賬戶。第二個字段包含一個加密的密碼。其他的字段在下表中描述： 
              
              字段 3 自 1/1/1970 起，密碼被修改的天數 
              字段 4 密碼將被容許修改以前的天數（0 表示「可在全部時間修改」） 
              字段 5 系統將強制用戶修改成新密碼以前的天數（1 表示「永遠都不能修改」） 
              字段 6 密碼過時以前，用戶將被警告過時的天數（-1 表示「沒有警告」） 
              字段 7 密碼過時以後，系統自動禁用賬戶的天數（-1 表示「永遠不會禁用」） 
              字段 8 該賬戶被禁用的天數（-1 表示「該賬戶被啓用」） 字段9保留供未來使用 
二、刪除賬號
若是一個用戶帳號再也不使用，能從系統中刪除。刪除用戶帳號就是要將/etc/passwd等系統文件中的該用戶記錄刪除，必要時還要刪除用戶的主目錄。刪除一個已有的用戶帳號使用userdel命令，格式以下：
代碼:
userdel 選項 用戶名
經常使用的選項是-r，他的做用是把用戶的主目錄一塊兒刪除。
例如：
# userdel -r sam
此命令刪除用戶sam在系統文件（主要是/etc/passwd，/etc/shadow，/etc/group等）中的記錄，同時刪除用戶的主目錄。
三、修改賬號
修改用戶帳號就是根據實際狀況更改用戶(chgrp是針對文件而言)的有關屬性，如用戶號、主目錄、用戶組、登陸Shell等。
修改已有用戶的信息使用usermod命令，格式以下：
代碼:
usermod 選項 用戶名[只有終極管理員纔有權限修改賬號名，若是用sudo命令來對普通賬號受權也行]
經常使用的選項包括-c,-d,-m,-g,-G,-s,-u,-o等，這些選項的意義和useradd命令中的相同，能爲用戶指定新的資源值。另外，有些系統能使用以下選項：
代碼:
-l  新用戶名
這個選項指定一個新的帳號，即將原來的用戶名改成新的用戶名。
例如：
# usermod -s /bin/ksh -d /home/z -g developer sam
此命令將用戶sam的登陸Shell修改成ksh，主目錄改成/home/z，用戶組改成developer。
#usermod zte1 -g cheng
#此命令是改動用戶zte1所屬的組爲cheng這個組
四、查看賬號屬性
     格式： id user1  顯示user1的uid和gid ,缺省爲當前用戶的id信息 
                  ex: zte@SMPS-WEB1:/home> id zte uid=1011(zte) gid=100(users) groups=100(users),14 (uucp),16(dialout),17(audio),33(video)
                  
                  groups user1  顯示用戶user1所在的組,缺省爲當前用戶所在的組信息 
                  ex: zte@SMPS-WEB1:/home> groups users uucp dialout audio video(缺省)
Linux用戶口令的管理

用戶管理的一項重要內容是用戶口令的管理。用戶帳號剛建立時沒有口令，是被系統鎖定的，沒法使用，必須爲其指定口令後才能使用，即便是空口令。
指定和修改用戶口令的Shell命令是passwd。終極用戶能爲本身和其餘用戶指定口令，普通用戶只能修改本身的口令。命令的格式爲：
代碼:
passwd 選項 用戶名
可以使用的選項：
-l 鎖定口令，即禁用帳號。
-u 口令解鎖。
-d 使帳號無口令。
-f 強迫用戶下次登陸時修改口令。
若是默認用戶名，則修改當前用戶的口令。
例如：假設當前用戶是sam，則下面的命令修改該用戶本身的口令：
$ passwd
Old password:******
New password:*******
Re-enter new password:*******
若是是終極用戶，能用下列形式指定任意用戶的口令：
# passwd sam
New password:*******
Re-enter new password:*******
普通用戶修改本身的口令時，passwd命令會先詢問原口令，驗證後再需求用戶輸入兩遍新口令，若是兩次輸入的口令一致，則將這個口令指定給用戶；而終極 用戶爲用戶指定口令時，就沒必要知道原口令。爲了安全起見，用戶應該選擇比較複雜的口令，最佳使用很多於8位的口令，口令中包含有大寫、小寫字母和數字，並 且應該和姓名、生日等不相同。
爲用戶指定空口令時，執行下列形式的命令：
代碼:
# passwd -d sam
此命令將用戶sam的口令刪除，這樣用戶sam下一次登陸時，系統就再也不詢問口令。
passwd命令還能用-l(lock)選項鎖定某一用戶，使其不能登陸，例如：
代碼:
# passwd -l sam
Linux用戶組的管理
每一個用戶都有一個用戶組，系統能對一個用戶組中的全部用戶進行集中管理。不一樣Linux系統對用戶組的規定有所不一樣，如Linux下的用戶屬於和他同名的用戶組，這個用戶組在建立用戶時同時建立。用戶組的管理涉及用戶組的添加、刪除和修改。組的增長、刪除和修改實際上就對/etc/group文件的更新。
用戶組（group）就是具備相同特徵的用戶（user）的集合體；好比有時咱們要讓多個用戶具備相同的權限，好比查看、修改某一文件或執行某個命令，這時咱們須要用戶組，咱們把用戶都定義到同一用戶組，咱們經過修改文件或目錄的權限，讓用戶組具備必定的操做權限，這樣用戶組下的用戶對該文件或目錄都具備相同的權限，這是咱們經過定義組和修改文件的權限來實現的；
舉例：
咱們爲了讓一些用戶有權限查看某一文件，好比是個時間表，而編寫時間表的人要具備讀寫執行的權限，咱們想讓一些用戶知道這個時間表的內容，而不讓他們修 改，因此咱們能把這些用戶都劃到一個組（用chgrp命令），而後來修改這個文件（用chmod命令）的權限，讓用戶組可讀（用chgrp命令將此文件歸 屬於這個組），這樣用戶組下面的每一個用戶都是可讀的，其餘用戶是沒法訪問的。
一、增長一個新的用戶組使用groupadd命令。格式以下：
代碼:
groupadd 選項 用戶組[用戶組添加後，將用戶進行組賦予用chown和chgrp指令]
能使用的選項有：
-g GID 指定新用戶組的組標識號（GID）。
-o 通常和-g選項同時使用，表示新用戶組的GID能和系統已有用戶組的GID相同。
例1：
# groupadd group1
此命令向系統中增長了一個新組group1，新組的組標識號是在當前已有的最大組標識號的基礎上加1。
例2：
# groupadd -g 101 group2
此命令向系統中增長了一個新組group2，同時指定新組的組標識號是101。
二、若是要刪除一個已有的用戶組，使用groupdel命令，格式以下：
代碼:
groupdel 用戶組
例如：
# groupdel group1
此命令從系統中刪除組group1。
三、修改用戶組的屬性使用groupmod命令。其語法以下：
代碼:
groupmod 選項 用戶組
經常使用的選項有：
-g GID 爲用戶組指定新的組標識號。
-o 和-g選項同時使用，用戶組的新GID能和系統已有用戶組的GID相同。
-n 新用戶組 將用戶組的名字改成新名字
例1：
# groupmod -g 102 group2
此命令將組group2的組標識號修改成102。
例2：
# groupmod -g 10000 -n group3 group2
此命令將組group2的標識號改成10000，組名修改成group3。
四、若是一個用戶同時屬於多個用戶組，那麼用戶能在用戶組之間轉換，以便具備其餘用戶組的權限。用戶能在登陸後，使用命令newgrp轉換到其餘用戶組，這個命令的參數就是目的用戶組。
例如：
$ newgrp root
這條命令將當前用戶轉換到root用戶組，前提條件是root用戶組確實是該用戶的主組或附加組。相似於用戶帳號的管理，用戶組的管理也能經過集成的系統管理工具來完成。
和用戶帳號有關的系統文件
完成用戶管理的工做有許多種方法，不過每一種方法實際上都是對有關的系統文件進行修改。和用戶和用戶組相關的信息都存放在一些系統文件中，這些文件包括/etc/passwd，/etc/shadow，/etc/group等。下面分別介紹這些文件的內容。
一、/etc/passwd文件是用戶管理工做涉及的最重要的一個文件。Linux系統中的每一個用戶都在/etc/passwd文件中有一個對應的記錄行，他記錄了這個用戶的一些基本屬性。這個文件對全部用戶都是可讀的。他的內容相似下面的例子：
＃ cat /etc/passwd
root:x:0:0:Superuser:/:
daemon:x:1:1:System daemons:/etc:
bin:x:2:2:Owner of system commands:/bin:
sys:x:3:3:Owner of system files:/usr/sys:
adm:x:4:4:System accounting:/usr/adm:
uucp:x:5:5:UUCP administrator:/usr/lib/uucp:
auth:x:7:21:Authentication administrator:/tcb/files/auth:
cron:x:9:16:Cron daemon:/usr/spool/cron:
listen:x:37:4:Network daemon:/usr/net/nls:
lp:x:71:18rinter administrator:/usr/spool/lp:
sam:x:200:50:Sam san:/usr/sam:/bin/sh
從上面的例子咱們能看到，/etc/passwd中一行記錄對應着一個用戶，每行記錄又被冒號分隔爲7個字段，其格式和具體含義以下：
代碼:
用戶名:口令:用戶標識號:組標識號:註釋性描述:主目錄:登陸Shell
（1）「用戶名」是表明用戶帳號的字符串。一般長度不超過8個字符，而且由大小寫字母和/或數字組成。登陸名中不能有冒號，由於冒號在這裏是分隔符。爲了兼容起見，登陸名中最佳不要包含點字符「.」，而且不使用連字符「-」和加號「+」打頭。
（2） 「口令」，一些系統中存放着加密後的用戶口令，雖然這個字段存放的只是用戶口令的加密串，不是明文，不過因爲/etc/passwd文件對全部用戶均可讀，因此這還是個安全隱患。所以，目前許多Linux系統都使用了shadow技術，把真正的加密後的用戶口令字存放到/etc/shadow文件中，而在/etc/passwd文件的口令字段中只存放一個特別的字符，例如「x」或「*」。
（3）「用戶標識號」是個整數，系統內部用他來標識用戶。通常狀況下他和用戶名是一一對應的。若是幾個用戶名對應的用戶標 識號是相同的，系統內部將把他們視爲同一個用戶，不過他們能有不一樣的口令、不一樣的主目錄及不一樣的登陸Shell等。一般用戶標識號的取值範圍是 0～65535。0是終極用戶root的標識號，1～99由系統保留，做爲管理帳號，普通用戶的標識號從100開始。在Linux系統中，這個界限是 500。
（4）「組標識號」字段記錄的是用戶所屬的用戶組。他對應着/etc/group文件中的一條記錄。
（5） 「註釋性描述」字段記錄着用戶的一些我的狀況，例如用戶的真實姓名、電話、地址等，這個字段並無什麼實際的用途。在不一樣的Linux系統中，這個字段的 格式並無統一。在許多Linux系統中，這個字段存放的是一段任意的註釋性描述文字，用作finger命令的輸出。
（6）「主目錄」，也就是用戶的起始工做目錄，他是用戶在登陸到系統以後所處的目錄。在大多數系統中，各用戶的主目錄都被組織在同一個特定的目錄下，而用 戶主目錄的名稱就是該用戶的登陸名。各用戶對本身的主目錄有讀、寫、執行（搜索）權限，其餘用戶對此目錄的訪問權限則根據具體狀況設置。
（7）用戶登陸後，要啓動一個進程，負責將用戶的操做傳給內核，這個進程是用戶登陸到系統後運行的命令解釋器或某個特定的程式，即Shell。Shell是用戶和Linux系統之間的接口。 Linux的Shell 有許多種，每種都有不一樣的特色。經常使用的有sh(Bourne Shell),csh(C Shell),ksh(Korn Shell),tcsh(TENEX/TOPS-20 type C Shell),bash(Bourne Again Shell)等。系統管理員能根據系統狀況和用戶習慣爲用戶指定某個Shell。若是不指定Shell，那麼系統使用sh爲默認的登陸Shell，即這個 字段的值爲/bin/sh。
用戶的登陸Shell也能指定爲某個特定的程式（此程式不是個命令解釋器）。利用這一特色，咱們能限制用戶只能運行指定的應用程式，在該應用程式運行結束 後，用戶就自動退出了系統。有些Linux系統需求只有那些在系統中登記了的程式才能出目前這個字段中。系統中有一類用戶稱爲僞用戶（psuedo users），這些用戶在/etc/passwd文件中也佔有一條記錄，不過不能登陸，由於他們的登陸Shell爲空。他們的存在主要是方便系統管理，滿 足相應的系統進程對文件屬主的需求。常見的僞用戶以下所示。
僞 用 戶 含 義
bin 擁有可執行的用戶命令文件
sys 擁有系統文件
adm 擁有賬戶文件
uucp UUCP使用
lp lp或lpd子系統使用
nobody NFS使用
除了上面列出的僞用戶外，更有許多標準的僞用戶，例如：audit,cron,mail,usenet等，他們也都各自爲相關的進程和文件所須要。因爲 /etc/passwd文件是全部用戶均可讀的，若是用戶的密碼太簡單或規律比較明顯的話，一臺普通的計算機就可以很是容易地將他破解，所以對安全性需求較高的Linux系統都把加密後的口令字分離出來，獨立存放在一個文件中，這個文件是/etc/shadow文件。只有終極用戶才擁有該文件讀權限，這就確保了用戶密碼的安全性。
二、/etc/shadow中的記錄行和/etc/passwd中的一一對應，他由pwconv命令根據/etc/passwd中的數據自動產生。他的文件格式和/etc/passwd相似，由若干個字段組成，字段之間用「:」隔開。這些字段是：
登陸名:加密口令:最後一次修改時間:最小時間間隔:最大時間間隔:警告時間:不活動時間:失效時間:標誌
（1）「登陸名」是和/etc/passwd文件中的登陸名相一致的用戶帳號
（2）「口令」字段存放的是加密後的用戶口令字，長度爲13個字符。若是爲空，則對應用戶沒有口令，登陸時沒必要口令；若是含有不屬於集合{ ./0-9A-Za-z }中的字符，則對應的用戶不能登陸。
（3）「最後一次修改時間」表示的是從某個時刻起，到用戶最後一次修改口令時的天數。時間起點對不一樣的系統可能不相同。例如在SCO Linux中，這個時間起點是1970年1月1日。
（4）「最小時間間隔」指的是兩次修改口令之間所需的最小天數。
（5）「最大時間間隔」指的是口令保持有效的最大天數。
（6）「警告時間」字段表示的是從系統開始警告用戶到用戶密碼正式失效之間的天數。
（7）「不活動時間」表示的是用戶沒有登陸活動但帳號仍能保持有效的最大天數。
（8）「失效時間」字段給出的是個絕對的天數，若是使用了這個字段，那麼就給出相應帳號的生存期。期滿後，該帳號就再也不是個合法的帳號，也就不能再用來登陸了。
下面是/etc/shadow的一個例子：
＃ cat /etc/shadow
rootnakfw28zf38w:8764:0:168:7:::
daemon:*::0:0::::
bin:*::0:0::::
sys:*::0:0::::
adm:*::0:0::::
uucp:*::0:0::::
nuucp:*::0:0::::
auth:*::0:0::::
cron:*::0:0::::
listen:*::0:0::::
lp:*::0:0::::
sam:EkdiSECLWPdSa:9740:0:0::::
三、用戶組的全部信息都存放在/etc/group文件中。
將用戶分組是Linux系統中對用戶進行管理及控制訪問權限的一種手段。每一個用戶都屬於某個用戶組；一個組中能有多個用戶，一個用戶也能屬於不一樣的組。當 一個用戶同時是多個組中的成員時，在/etc/passwd文件中記錄的是用戶所屬的主組，也就是登陸時所屬的默認組，而其餘組稱爲附加組。用戶要訪問屬 於附加組的文件時，必須首先使用newgrp命令使本身成爲所要訪問的組中的成員。用戶組的全部信息都存放在/etc/group文件中。此文件的格式也 相似於/etc/passwd文件，由冒號隔開若干個字段，這些字段有：
組名:口令:組標識號:組內用戶列表
（1）「組名」是用戶組的名稱，由字母或數字構成。和/etc/passwd中的登陸名相同，組名不該重複。
（2）「口令」字段存放的是用戶組加密後的口令字。通常Linux系統的用戶組都沒有口令，即這個字段通常爲空，或是*。
（3）「組標識號」和用戶標識號相似，也是個整數，被系統內部用來標識組。
（4）「組內用戶列表」是屬於這個組的全部用戶的列表，不一樣用戶之間用逗號「,」分隔。這個用戶組多是用戶的主組，也多是附加組。
/etc/group文件的一個例子以下：
# cat /etc/group
root::0:root
bin::2:root,bin
sys::3:root,uucp
adm::4:root,adm
daemon::5:root,daemon
lp::7:root,lp
users::20:root,sam
賦予普通用戶特別權限[sudo命令]
在Linux系統中，管理員每每不止一人，若每位管理員都用root身份進行管理工做，根本沒法弄清晰誰該作什麼。因此最佳的方式是：管理員建立一些普通用戶，分配一部分系統管理工做給他們。
因爲su 對轉換到終極權限用戶root後，權限的無限制性，因此su並不能擔任多個管理員所管理的系統。若是用su 來轉換到終極用戶來管理系統，也不能明確哪些工做是由哪一個管理員進行的操做。特別是對於服務器的 管理有多人蔘和管理時，最佳是針對每一個管理員的技術特長和管理範圍，而且有針對性的下放給權限，而且約定其使用哪些工具來完成和其相關的工做，這時咱們就 有必要用到 sudo。經過sudo，咱們能把某些終極權限有針對性的下放，而且沒必要普通用戶知道root密碼，因此sudo 相對於權限無限制性的su來講，仍是比較安全的，因此sudo 也能被稱爲受限制的su ；另外sudo 是須要受權許可的，因此也被稱爲受權許可的su；sudo 執行命令的流程是當前用戶轉換到root（或其餘指定轉換到的用戶），而後以root（或其餘指定的轉換到的用戶）身份執行命令，執行完成後，直接退回到當前用戶；而這些的前提是要經過sudo的設置文件/etc/sudoers來進行受權；
咱們不能使用su讓他們直接變成root，由於這些用戶都必須知道root的密碼，這種方法很是不安全，並且也不符合咱們的分工需求。通常的作法是利用權限的設置，依工做性質分類，讓特別身份的用戶成爲同一個工做組，並設置工做組權限。例如：要wwwadm這位用戶負責管理網站數據，通常Apache Web Server的進程httpd的全部者是www，你能設置用戶wwwadm和www爲同一工做組，並設置Apache默認存放網頁錄 /usr/local/httpd/htdocs的工做組權限爲可讀、可寫、可執行，這樣屬於此工做組的每位用戶就能進行網頁的管理了。
但這並非最佳的解決辦法，例如管理員想授予一個普通用戶關機的權限，這時使用上述的辦法就不是很是最佳。這時你也許會想，我只讓這個用戶能以root身份執行 shutdown命令就好了。徹底沒錯，惋惜在一般的Linux系統中沒法實現這一功能，不過已有了工具能實現這樣的功能??sudo。
sudo 經過維護一個特權到用戶名映射的數據庫將特權分配給不一樣的用戶，這些特權可由數據庫中所列的一些不一樣的命令來識別。爲了得到某一特權項，有資格的用戶只需簡單地在命令行輸入sudo和命令名以後，按照提示再次輸入口令。例如，sudo容許普通用戶格式化磁盤，不過卻沒有賦予其餘的root用戶特權。
注：sudo的初衷是：爲了讓一個普通用戶執行root的命令。當第一次使用sudo的時候會提示輸入密碼。
        這個密碼是用戶本身的密碼。
        不過在suse 9和10中，使用sudo發現輸入密碼的時候必須輸入root用戶的密碼。
        通過查實發目前sudo的設置文件中存在 Defaults targetpw 表示的是sudo將提示輸入由sudo的-u選項指定的用戶(默認爲root)的口令而不是執行sudo  的用戶的口令，若是將其註釋掉，那麼輸入的密碼是當前執行用戶的。suse裏默認需求輸入的是root的密碼。 
        能這樣去理解：你的服務器不容許使用root直接ssh到服務器或不容許直接使用root在tty中登陸。添加一個用戶讓他可以ssh不過不讓他使用su命令。這樣能使用此方法來讓他從事root的其中一條命令。
sudo的公式；
受權用戶 主機=[(轉換到哪些用戶或用戶組)] [是否須要密碼驗證] 命令1,[(轉換到哪些用戶或用戶組)] [是否須要密碼驗證] [命令2],[(轉換到哪些用戶或用戶組)] [是否須要密碼驗證] [命令3]......
注：
凡是[ ]中的內容，是能省略；命令和命令之間用,號分隔；經過本文的例子，能對照着看哪些是省略了，哪些地方須要有空格；在[(轉換到哪些用戶或用戶組)] ，若是省略，則默認爲root用戶；若是是ALL ，則表明能轉換到全部用戶；注意要轉換到的目的用戶必須用()號括起來，好比(ALL)、(beinan)

一、sudo工具由文件/etc/sudoers進行設置，該文件包含全部能訪問sudo工具的用戶列表並定義了他們的特權。一個典型的/etc/sudoers條目以下：
zte ALL=(ALL) ALL
這個條目使得用戶zte做爲終極用戶訪問全部應用程式，如用戶zte須要做爲終極用戶運行命令，他只需簡單地在命令前加上前綴sudo。所以，要以root用戶的身份執行命令ifconfig，zte能輸入以下命令：
zte@SMPS-WEB1:/home># sudo /usr/sbin/ifconfig
注意： 執行的ifconfig命令要寫絕對路徑/usr/sbin/ifconfig，/usr/sbin默認不在普通用戶的搜索路徑中，或加入此路 徑：PATH=$PATH:/usr/sbin;export PATH。另外，不一樣系統命令的路徑不盡相同。能使用命令「whereis 命令名」來查找其路徑。ex : zte@SMPS-WEB1:/home> whereis usermod
usermod: /usr/sbin/usermod  /usr/share/man/man8/usermod.8.gz ,這裏搜索到2個路徑，取第一個. 表示在zte用戶登陸下查看usermod命令的具體路徑
這時會顯示下面的輸出結果：
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these two things:
#1) Respect the privacy of others.
#2) Think before you type.
Password:
若是zte正確地輸入了他的口令，命令ifconfig將會以root用戶身份執行。
注意：設置文件/etc/sudoers必須使用命令Visudo來編輯。
只要把相應的用戶名、主機名和許可的命令列表以標準的格式加入到文件/etc/sudoers，並保存就能生效，再看一個例子。
二、例子：
[1]管理員須要容許gem用戶在主機sun上執行reboot和shutdown命令，在/etc/sudoers中加入：
gem sun=/usr/sbin/reboot，/usr/sbin/shutdown
注意：命令必定要使用絕對路徑，以免其餘目錄的同名命令被執行，從而形成安全隱患。
而後保存退出，gem用戶想執行reboot命令時，只要在提示符下運行下列命令：
$ sudo /usr/sbin/reboot
輸入正確的密碼，就能重啓服務器了。
[2]beinan ALL=(root) /bin/chown, /bin/chmod
表示的是beinan 能在全部可能出現的主機名的主機中，能轉換到root下執行 /bin/chown ，能轉換到全部用戶招執行/bin/chmod 命令，經過sudo -l 來查看beinan 在這臺主機上容許和禁止運行的命令；
[3]beinan ALL=(root) NOPASSWD: /bin/chown,/bin/chmod
表示的是beinan 能在全部可能出現的主機名的主機中，能轉換到root下執行 /bin/chown ，沒必要輸入beinan用戶的密碼；而且能轉換到全部用戶下執行/bin/chmod 命令，但執行chmod時須要beinan輸入本身的密碼；經過sudo -l 來查看beinan 在這臺主機上容許和禁止運行的命令；
關於一個命令動做是否是須要密碼，咱們能發目前系統在默認的狀況下是須要用戶密碼的，除非特加指出沒必要用戶須要輸入本身密碼，因此要在執行動做以前加入NOPASSWD: 參數； 
[4]取消程式某類程式的執行，要在命令動做前面加上!號； 在本例中也出現了通配符的*的用法；
beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk 注：把這行規則加入到/etc/sudoers中；但你得有beinan這個用戶組，而且beinan也是這個組中的才行；本規則表示beinan用戶在 全部可能存在的主機名的主機上運行/usr/sbin和/sbin下全部的程式，但fdisk 程式除外； 
[beinan@localhost ~]$ sudo -l
Password: 注：在這裏輸入beinan用戶的密碼；
User beinan may run the following commands on this host:
(root) /usr/sbin/*
(root) /sbin/*
(root) !/sbin/fdisk
[beinan@localhost ~]$ sudo /sbin/fdisk -l
Sorry, user beinan is not allowed to execute ’/sbin/fdisk -l’ as root on localhost. 
注：不能轉換到root用戶下運行fdisk 程式；
[5]若是你想對一組用戶進行定義，能在組名前加上%，對其進行設置，如：
%cuug ALL=(ALL) ALL
那麼屬於cuug這個組的全部成員都能sudo來執行特定的任務
三、另外，還能利用別名來簡化設置文件。別名相似組的概念，有用戶別名、主機別名和命令別名。多個用戶能首先用一個別名來定義，而後在規定他們能執行什麼 命令的時候使用別名就能了，這個設置對全部用戶都生效。主機別名和命令別名也是如此。注意使用前先要在/etc/sudoers中定義： User_Alias, Host_Alias, Cmnd_Alias項，在其後面加入相應的名稱，也以逗號分隔開就能了，舉例以下：
Host_Alias SERVER=no1
User_Alias ADMINS=liming，gem
Cmnd_Alias
SHUTDOWN=/usr/sbin/halt，/usr/sbin/shutdown，/usr/sbin/reboot
ADMINS SERVER=SHUTDOWN
四、sudo命令還能加上一些參數，完成一些輔助的功能，如：
$ sudo -l
會顯示出相似這樣的信息：
User liming may run the following commands on this host:
(root) /usr/sbin/reboot
說明root容許用戶liming執行/usr/sbin/reboot命令。這個參數能使用戶查看本身目前能在sudo中執行哪些命令。
五、在命令提示符下鍵入sudo命令會列出全部參數，其餘一些參數以下：
-V 顯示版本編號。
-h 顯示sudo命令的使用參數。
-v 由於sudo在第一次執行時或是在N分鐘內沒有執行（N預設爲5）會詢問密碼。這個參數是從新作一次確認，若是超過N分鐘，也會問密碼。
-k 將會強迫使用者在下一次執行sudo時詢問密碼（不論有沒有超過N分鐘）。
-b 將要執行的命令放在背景執行。
-p prompt 能更改問密碼的提示語，其中%u會替換爲使用者的帳號名稱，%h會顯示主機名稱。
-u username/#uid 不加此參數，表明要以root的身份執行命令，而加了此參數，能以username的身份執行命令（#uid爲該username的UID）。
-s 執行環境變量中的SHELL所指定的Shell，或是/etc/passwd裏所指定的Shell。
-H 將環境變量中的HOME（宿主目錄）指定爲要變動身份的使用者的宿主目錄。（如不加-u參數就是系統管理者root。）
要以系統管理者身份（或以-u更改成其餘人）執行的命令。 

*****************************************************************************************************************************
用戶和用戶組應用實例
drwxr-xr-x   7 zte_a  users  4096 2007-11-22 09:58 zte_a
drwxr-xr-x   7 zte_b  users  4096 2007-11-22 09:14 zte_b
drwxr-xr-x   7 zte_c  users  4096 2007-11-22 09:14 zte_c
建三個用戶zte_a,zte_b,zte_c 都所屬於users組
建立time目錄
drwxr-xr-x   2 root   root 4096 2007-11-22 09:26 time
建立time目錄下的time文件
-rw-r--r--   1 root root  27 2007-11-22 09:26 time.txt
需求:讓root用戶能wrx目錄time下的time.txt,同時，而只容許屬於users用戶組的用戶讀time.txt文件
步驟:
chmod o-r-x time 設置目錄權限
drwxr-x---   2 root   root 4096 2007-11-22 09:26 time
chmod o-r time.txt設置文件權限
-rw-r-----   1 root root  27 2007-11-22 09:26 time.txt
chgrp user time 設置目錄所屬組
drwxr-x---   2 root users 4096 2007-11-22 09:26 time
chgrp user time.txt設置文件所屬組
-rw-r-----   1 root users 27 2007-11-22 09:26 time.txt
注: 之後要爲user組新擴此類用戶時，只需useradd -m new，再usermod -g user new 將new 用戶歸屬於user組便可