文章來源於菜鳥教程:http://www.runoob.com/linux
在這裏爲了加深記憶,因此寫當前文章。若是版權問題,留言。linux
Linux用戶和用戶組管理
Linux 系統是一個多用戶多任務的分時操做系統,任何一個要使用系統資源的用戶,都必須首先向系統管理員申請一個帳號,而後以這個帳號的身份進入系統。shell
用戶的帳號一方面能夠幫助系統管理員對使用系統的用戶進行跟蹤,並控制他們對系統資源的訪問;另外一方面也能夠幫助用戶組織文件,併爲用戶提供安全性保護。centos
每一個用戶帳號都擁有一個惟一的用戶名和各自的口令。數組
用戶在登陸時鍵入正確的用戶名和口令後,就能進入系統和本身的主目錄。安全
實現用戶帳號的管理,要完成工做主要有以下幾個方面:bash
- 用戶帳號的添加、刪除與修改。
- 用戶口令的管理
- 用戶組的管理
1、Linux 系統用戶帳號的管理
用戶帳號的管理工做主要涉及到用戶帳號的添加、修改、和刪除。ssh
添加用戶帳號就是在系統中建立一個新帳號,而後爲新帳號分配用戶號、用戶組、主目錄和登陸Shell等資源。剛添加的帳號是被鎖定的,沒法使用。ide
一、添加新的用戶帳號使用useradd命令,其語法以下:
useradd 選項 用戶名
參數說明:工具
- 選項:
- -c comment 指定一段註釋性描述
- -d 目錄 指定用戶主目錄,若是此目錄不存在,則同時使用-m選項,能夠建立主目錄
- -g 用戶組 指定用戶所屬的附加組
- -G 用戶組,用戶組 指定用戶所屬的附加組
- -s Shell文件 指定用戶的登陸Shell
- -u 用戶號 指定用戶的用戶號,若是同時有-o選項,則能夠重複使用其餘用戶的標識號。
- 用戶名
指定新帳號的登陸名post
實例1
# useradd -d /usr/sam -m sam
此命令新建一個用戶sam,其中-d和-m選項用來爲登陸名sam產生一個主目錄/usr/sam (/usr爲默認的用戶主目錄所在的父目錄)
實例2
useradd -s /bin/sh -g group -G adm,root gem
此命令新建一個用戶gem,該用戶的登陸Shell是/bin/sh ,它屬於group用戶組,同時又屬於adm和root用戶組,其中group用戶組是器主組。
這裏可能新建組:#groupadd group 及 groupadd adm
增長用戶帳號就是在/etc/passwd文件中爲新用戶增長一條記錄,同時更新其餘系統文件如/etc/shadow,/etc/group 等。
Linux提供了集成的系統管理工具userconf, 他能夠用來對用戶帳號進行統一管理。
二、刪除帳號
若是一個用戶的帳號再也不使用,能夠從系統中刪除。刪除用戶帳號就是要將/etc/passwd等系統文件中的該用戶記錄刪除,必要時還刪除用戶的主目錄。
刪除一個已有的用戶帳號使用userdel命令,其格式以下:
userdel 選項 用戶名
經常使用的選項是-r ,它的做用是把用戶的主目錄一塊兒刪除。
例如:
userdel -r sam
此命令刪除用戶sam在系統中(主要是/etc/passwd,/etc/shadow,/etc/group等)的記錄,同時刪除用戶的主目錄。
三、修改帳號
修改用戶帳號就是根據實際狀況更改用戶的有關屬性,如用戶號,主目錄,用戶組,登陸shell等。
修改已有用戶的信息使用usermod 命令,其格式以下:
usermod 選項 用戶名
經常使用的選項包括-c、-d 、-m、-g、-G、-s、-u以及-o等,這些選項的意義與useradd命令的選項同樣,能夠爲用戶指定新的資源值。
另外,有些系統可使用選項:-l 新用戶名
這個選項指定一個新的帳號,即將原來的用戶名改成新的用戶名。
例如:
usermod -s /bin/ksh -d /home/z -g developer sam
此命令將用戶sam的登陸shell修改成ksh,主目錄改成/home/z,用戶組改爲 developer。
四、用戶口令的管理
用戶管理的一項重要的內容就是用戶口令的管理。用戶帳號剛建立時沒有口令單是被系統鎖定,沒法使用,必須爲其指定指令後纔可使用,即便是指定空口令。
指定和修改用戶口令的shell命令是passwd。超級用戶能夠爲本身和其餘用戶指定口令,普通用戶只能用它修改本身的口令。
命令的格式爲:
passwd 選項 用戶名
可使用的選項:
- -l 鎖定口令,即禁用帳號
- -u 口令解鎖
- -d 是帳號無口令
- -f 強迫用戶下次登陸修改口令
若是默認用戶名,則修改當前用戶口令。
例如,假設當前用戶是sam,則下面的命令修改該用戶本身的口令:
passwd sam
New password:******* Re-enter new password:*******
普通用戶修改本身的口令時,passwd 命令會詢問原口令,驗證後再要求用戶輸入兩邊新口令,若是兩次輸入的口令一致,則將這個口令指定給用戶;而超級用戶爲用戶指定口令時,就不須要知道原口令。
爲了系統安全起見,用戶應該選擇比較複雜的口令,例如最好使用8位長的口令,口令中包含大寫、小寫字母和數字,而且應該和姓名、生日等不相同。
爲用戶指定空口令時,執行下列形式的命令:
passwd -d sam
此命令將用戶sam的口令刪除,這樣用戶sam下一次登陸時,系統就不會詢問口令。
passwd命令還能夠用-l(lock)選項鎖定某一用戶,使其不能登陸,例如:
passwd -l sam
2、Linux 系統用戶組的管理
每一個用戶都有一個用戶組,系統能夠對一個用戶組中的全部用戶進行集中管理。不一樣的Linux系統對用戶組的規定有所不一樣,如Linux下的用戶屬於與它同名的用戶組,這個用戶組在建立用戶時同時建立。
用戶組的管理涉及用戶組的添加、刪除和修改。組的增長、刪除和修改實際上就是對/etc/group文件的更新。
一、增長一個新用戶組使用groupadd命令。其格式以下:
groupadd 選項 用戶組
可使用的選項有:
- -g GID 指定新用戶組的組標識號(GID)
- -o 通常與-g選項同時使用,標識新用戶組的GID能夠與系統已有的用戶組的GID相同。
實例1:
# groupadd group1
此命令向系統中增長了一個新組group1,新組的組標識號是當前已有的最大組標識號的基礎上加1.
實例2:
#groupadd -g 101 group2
此命令想系統中增長了一個新組group2,同時執行新組的組標識號是101。
二、若是要刪除一個已有的用戶組,使用groupdel命令,其格式以下:
# groupdel 用戶組
實例1:
# groupdel group1
此命令從系統中刪除組group1。
三、修改用戶組的屬性使用groupmod命令。其語法以下:
# groupmod 選項 用戶組
經常使用選項有:
- -g GID 爲用戶組指定新的組標識號。
- -o 與-g選項同時使用,用戶組的新GID能夠與系統已有用戶組的GID相同。
- -n 新用戶組 將用戶組的名字改成新名字
實例1:
# groupmod -g 102 group2
此命令將組group2的組標識號修改成102。
實例2:
# groupmod -g 10000 -n group3 group2
此命令將組group2的組標識號修改成10000並改名爲group3。
四、若是一個用戶同時屬於多個用戶組,那麼用戶能夠在用戶組之間切換,以便具備其餘用戶組的權限
用戶能夠在登錄後,使用命令newgrp切換到其餘用戶組,這個命令參數就是目的用戶組,例如:
$ newgrp root
這條命令將當前用戶切換到root用戶組,前提條件是root用戶組缺失是該用戶的主組或附加組。相似於用戶帳號的管理,用戶組的管理也能夠經過集成的系統管理工具來完成。
3、與用戶帳號有關的系統文件
完成用戶管理工做有許多種方法,可是每一種方法實際上都是對有關的系統文件進行修改。
與用戶和用戶組相關的信息都存放在一些系統文件中,這些文件包括/etc/passwd、/etc/shadow、/etc/group等。
下面分別介紹這些文件內容。
一、/etc/passwd文件是用戶管理工做涉及的最重要的一個文件
Linux系統中的每一個用戶都在/etc/passwd文件中有一個對應的記錄行,它記錄了這個用戶的一些基本屬性。
這個文件對全部用戶都是可讀的。它的內容相似下面的例子:
[root@centos0921 ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin games:x:12:100:games:/usr/games:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin polkitd:x:999:998:User for polkitd:/:/sbin/nologin sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin postfix:x:89:89::/var/spool/postfix:/sbin/nologin chrony:x:998:996::/var/lib/chrony:/sbin/nologin centos0921:x:1000:1000::/home/centos0921:/bin/bash
從上面的例子咱們能夠看到,/etc/passwd中一行激勵對應一個用戶,每行記錄又被冒號(:),分割爲7個字段,其格式和具體含義以下:
用戶名:口令:用戶標識號:組標識號:註釋性描述:主目錄:登陸Shell
1)「用戶名」是表明用戶帳號的字符串。
一般長度不超過8個字符,而且由大小寫字母和/或數組組成。登陸名中不能有冒號(:),由於冒號在這裏是分割符。爲了兼容起見,登陸名中最好不要包含點字符(.),而且不使用連字符(-)和加好(+)打頭。
2)「口令」一些系統中,存放着加密後的用戶口令字
雖然這些字段存放的只是用戶口令的加密串,不是明文,可是因爲/etc/passwd文件對全部用戶均可讀,因此這還是一個安全隱患,所以,如今許多Linux系統都是用了shadow技術,把真正的加密後的用戶口令字符串存放到,/etc/shadow文件中,而在/etc/passwd文件的口令字段中只存放一個特殊的字符,例如「x」或者「*」。
3)「用戶標識號」是一個整數,系統內部用它來標識用戶。
通常狀況下他與用戶名是一一對應的。若是幾個用戶名對應的用戶標識號是同樣的,系統內部將把它們視爲同一用戶,可是他們能夠有不一樣的口令、不一樣的主目錄以及不一樣的登陸Shell等。
一般用戶標識號的取值範圍是0~65536。0是超級用戶root的標識號,1~99有系統保留,做爲管理帳號,普通用戶的標識號從100開始。在Linux系統中,這個界限是500。
4)「組標識號」字段記錄的是用戶所屬的用戶組
她對應着/etc/group文件中的一條記錄。
5)「註釋性描述」字段記錄着用戶的一些我的狀況
例如用戶的真實姓名、電話、地址等。這個字段並無什麼實際的用途。在不一樣Linux系統中,這個字段的格式並無統一。在許多linux系統中,這個字段存放的是一段任意的註釋性描述文字,用做finger命令的輸出。
6)「主目錄」,也就是用戶其實工做的目錄
它是用戶在登陸到系統後所處的目錄。在大多數系統中個用戶的主目錄都被組織在同一特定目錄下,而用戶主目錄的名稱就是該用戶的登陸名。個用戶對本身的主目錄有讀、寫、執行(搜索)權限,其餘用戶對此目錄權限則根據具體狀況設置。
7)用戶登陸後,要啓動一個進程,負責將用戶的操做傳給內核,這個進程是用戶登陸到系統運行命令解釋器或某個特定程序,即Shell
Shell 是用戶與Linux系統之間的接口。Linux的shell有許多種,每種都有不一樣的特色,經常使用的sh(Bourne Shell),csh(C Shell),ksh(Korn Shell),tcsh(TENEX/TOPS-20 type C Shell)bash(Bourne Again Shell)等。
系統管理員能夠根據系統狀況和用戶習慣爲用戶指定某個Shell,若是不指定Shell,那麼系統使用sh爲默認登陸Shell,即這個字段的值爲/bin/sh。
用戶的登陸Shell也能夠指定爲某個特定的程序(此程序不是一個命令解釋器)
利用這一特色,咱們能夠限制用戶只能運行指定的應用程序,在該應用程序運行結束後,用戶就自動退出了系統。有些Linux系統要求只有那些在系統中登記了的程序才能出如今這個字段中。
8)系統中有一類用戶稱爲僞用戶(pseudo users)
這些用戶在/etc/passwd文件中也佔有一條記錄,可是不能登陸,由於它們的登陸Shell爲空。它們的存在主要是方便系統管理,知足響應的系統進程對文件屬主的要求。
常見的僞用戶以下所示:
僞 用 戶 含 義 bin 擁有可執行的用戶命令文件 sys 擁有系統文件 adm 擁有賬戶文件 uucp UUCP使用 lp lp或lpd子系統使用 nobody NFS使用
擁有帳戶文件
一、出了上面列出的僞用戶外,還有許多標準的僞用戶,例如:audit,cron,mail,usenet等,它們也都各自爲相關的進程和文件所須要。
因爲/etc/passwd文件是全部用戶均可讀的,若是用戶的密碼太簡單或規律比較明顯的話,一臺普通的計算機就可以很容易地將它破解,所以對安全性要求較高的Linux系統都把加密後的口令分離出來,單獨存放在一個文件中,這個文件是/etc/shadow文件。有超級用戶才擁有該文件讀權限,這就保證了用戶密碼的安全性。
二、/etc/shadow中的記錄行與etc/passwd中的一一對應,它由pwconv命令根據/etc/passwd中的數據自動產生
它的文件格式與/etc/passwd相似,由若干個字段組成,字段之間用「:」隔開。這些字段是:
用戶名:加密口令:最後一次修改時間:最小時間間隔:最大時間間隔:警告時間:不活動時間:失效時間:標誌
一、「登陸名」是與/etc/passwd文件中的登陸名相一致的用戶帳號
二、「口令」字段存放的是加密後的用戶口令,長度爲13個字符。若是爲空,則對應用戶名沒有口令,登陸時不須要口令;若是含有不屬於集合{./0-9A-Za-z}中的字符,則對應的用戶不能登陸。
三、「最後一次修改時間」標識的是從某個時刻起,到用戶最後一次修改口令時的天數。時間起點對不一樣系統可能不同。例如在SCO Linux中,這個時間起點是1970年1月1日。
四、「最小時間間隔」指的是兩次修改口令之間所需的最小天數
五、「最大時間間隔」指的是口令保持有效的最大天數
六、「警告時間」字段標識從系統開始警告用戶到用戶密碼正式失效之間的天數
七、「不活動時間」標識的是用戶沒有登陸單帳號仍保持有效的最大天數
八、「失效時間」字段給出的是一個絕對天數,若是使用了這個字段,那麼就給出相應帳號的生存期。期滿後,該帳號就不是一個合法的帳號,也就不能用來登陸了。
下面是/etc/shadow的一個例子:
[root@centos0921 ~]# cat /etc/shadow root:$6$O2jeW8hFD3FsoNWi$jp1Tm0XXNlHF8lPf9WCko19Whe1dd4HYG8k7zzCo0ay0U/k/7xzSHzQaWvyQ2LUGrq1jJyIdhPQjHbb64XxLb/::0:99999:7::: bin:*:17632:0:99999:7::: daemon:*:17632:0:99999:7::: adm:*:17632:0:99999:7::: lp:*:17632:0:99999:7::: sync:*:17632:0:99999:7::: shutdown:*:17632:0:99999:7::: halt:*:17632:0:99999:7::: mail:*:17632:0:99999:7::: operator:*:17632:0:99999:7::: games:*:17632:0:99999:7::: ftp:*:17632:0:99999:7::: nobody:*:17632:0:99999:7::: systemd-network:!!:17799:::::: dbus:!!:17799:::::: polkitd:!!:17799:::::: sshd:!!:17799:::::: postfix:!!:17799:::::: chrony:!!:17799:::::: centos0921:$6$p641WvnC$wpPOD4945Urfhu9i.EiJOZR7UhPptrnXqEevyqq5mOBMAyyA8ConpoB3T45EHqc/nrM8/HA5OzYdqsVpblTJe0:17799:0:99999:7:::
三、用戶組的全部信息都存放在/etc/group文件中
將用戶分組是Linux系統對用戶進行管理及控制訪問權限的一種手段。
每一個用戶都屬於某個用戶組;一個組中能夠有多個用戶,一個用戶也能夠屬於不一樣的組。
當一個用戶同時是多個組的成員時,在/etc/passwd文件中記錄的是用戶所屬的主組,也就是登陸時所屬的默認組,而其餘組稱爲附加組。
用戶要訪問屬於附加組的文件是,必須首先使用newgrp命令使本身稱爲所要訪問的組中成員。
用戶組的全部信息都存放在/etc/group文件中,此文件的格式也相似於/etc/passwd文件,有冒號(:)隔開若干個字段,這些字段有:
組名:口令:組標識號:組內用戶列表
一、「組名」是用戶組的名稱,由字母或數字構成。與/etc/passwd中的登陸名同樣,組名不該重複
二、「口令」字段存放的是用戶組加密後的口令字段。通常Linux系統的用戶組都沒有口令,即這個字段通常爲空,或者是*。
三、「組標識號」與用戶標識號相似,也是一個整數,被系統內部用來標識組。
四、「組內用戶列表」是屬於這個組的全部用戶的列表,不一樣用戶之間用逗號(,)分隔,這個用戶組多是用戶的主組,也多是附加組。
/etc/group文件的一個例子以下:
[root@centos0921 ~]# cat /etc/group root:x:0:centos0921 bin:x:1: daemon:x:2: sys:x:3: adm:x:4: tty:x:5: disk:x:6: lp:x:7: mem:x:8: kmem:x:9: wheel:x:10: cdrom:x:11: mail:x:12:postfix man:x:15: dialout:x:18: floppy:x:19: games:x:20: tape:x:33: video:x:39: ftp:x:50: lock:x:54: audio:x:63: nobody:x:99: users:x:100: utmp:x:22: utempter:x:35: input:x:999: systemd-journal:x:190: systemd-network:x:192: dbus:x:81: polkitd:x:998: ssh_keys:x:997: sshd:x:74: postdrop:x:90: postfix:x:89: chrony:x:996: centos0921:x:1000:centos0921
4、添加批量用戶
添加和刪除用戶對每位Linux系統管理員都是垂手可得的事兒,比較棘手的是若是要添加幾十個、上百個甚至上千個用戶時,咱們不太可能仍是用useradd一個一個地添加,必然要找一種漸變的建立大量用戶的方法。Linux提供了建立大量用戶的工具,可讓您當即建立大量用戶,方法以下:
(1)先編輯一個文本用戶文件
每一列按照/etc/passwd密碼文件的格式書寫,要注意每一個用戶的用戶名、UID、宿主目錄都不能夠相同,其中密碼欄能夠留作空白或者輸入x號。一個範例文件user.txt內容以下:
user001::600:100:user:/home/user001:/bin/bash user002::601:100:user:/home/user002:/bin/bash user003::602:100:user:/home/user003:/bin/bash user004::603:100:user:/home/user004:/bin/bash user005::604:100:user:/home/user005:/bin/bash user006::605:100:user:/home/user006:/bin/bash
(2)以root身份執行命令/usr/sbin/newusers,從剛建立的用戶文件user.txt 中導入數據,建立用戶:
# newusers < user.txt
而後執行命令vipw 或 vi /etc/passwd 檢查/etc/passwd 文件是否已經出現這些用戶的數據,而且用戶的宿主目錄是否已經建立
(3)執行命令/usr/sbin/pwunconv
將/etc/passwd產生的shadow密碼解碼,而後回寫到 /etc/passwd中,並將/etc/shadow的shadow密碼欄刪掉。這是爲了方便下一步的密碼轉換工做,即先取消shadow password功能。
#pwunconv
(4)編輯每一個用戶的密碼對照文件
範例文件passwd.txt內容以下:
user001:密碼 user002:密碼 user003:密碼 user004:密碼 user005:密碼 user006:密碼
(5)以root身份執行命令/usr/sbin/chpasswd的密碼欄後
建立用戶密碼,chpasswd 會將通過/usr/bin/passwd命令編碼過得密碼寫入/etc/passwd的密碼欄
#chpasswd < passwd.txt
(6)肯定密碼經編碼寫入/etc/passwd的密碼欄後
執行命令/usr/sbin/pwconv將密碼編碼爲shadow password ,並將結果寫入/etc/shadow。
# pwconv
這樣就完成了大量用戶的建立了,以後您能夠到/home下檢車這些用戶宿主名錄的權限設置是否都正確,並登陸驗證密碼是否正確。
[root@centos0921 ~]# newusers < user.txt newusers: existing lock file /etc/passwd.lock without a PID newusers: cannot lock /etc/passwd; try again later.
執行多用戶導入時提示有鎖,
/etc/passwd.lock
/etc/shadow.lock
/etc/group.lock
/etc/gshadow.lock刪除或者重命名便可,後面暫時沒有測試。