歡迎光臨
每天分享高質量文章

詳細到沒朋友,一文幫你理清Linux 用戶與用戶組關係~

1、用戶和用戶組檔案

在 linux 中,用戶帳號,用戶密碼,用戶組信息和用戶組密碼均是存放在不同的配置檔案中的。


在 linux 系統中,所創建的用戶帳號和其相關信息 (密碼除外) 均是存放在 / etc/passwd 配置檔案中。由於所有用戶對 passwd 檔案均有讀取的權限,因此密碼信息並未儲存在該檔案中,而是儲存在了 / etc/shadow 的配置檔案中。


在 passwd 檔案中,一行定義一個用戶帳號,每行均由多個不同的欄位構成,各欄位值間用 “:” 分隔,每個欄位均代表該帳號某方面的信息。


在剛安裝完成的 linux 系統中,passwd 配置檔案已有很多帳號信息了,這些帳號是由系統自動創建的,他們是 linux 行程或部分服務程式正常工作所需要使用的賬戶,這些賬戶的最後一個欄位的值一般為 / sbin/nologin,表示該帳號不能用來登錄 linux 系統。


在 passwd 配置檔案中,從左至右各欄位的對應關係及其含義:

 

 

由於 passwd 不再儲存密碼信息,所以用 x 占位代表。


若要使某個用戶賬戶不能登錄 linux,只需設置該用戶所使用的 shell 為 / sbin/nologin 即可。比如,對於 FTP 賬戶,一般只允許登錄和訪問 FTP 服務器,不允許登錄 linux 操作系統。若要讓某用戶沒有 telnet 權限,即不允許該用戶利用 telnet 遠程登錄和訪問 linux 操作系統,則設置該用戶所使用的 shell 為 / bin/true 即可。若要讓用戶沒有 telnet 和 ftp 登錄權限,則可設置該用戶的 shell 為 / bin/false。


在 / etc/shells 檔案中,若沒有 / bin/true 或 / bin/false,則需要手動添加
[[email protected] ~]# echo “/bin/false”>>/etc/shells
[[email protected] ~]# echo “/bin/true”>>/etc/shells

2、用戶密碼檔案

為安全起見,用戶真實的密碼採用 MD5 加密演算法加密後,儲存在 / etc/shadow 配置檔案中,該檔案只有 root 用戶可以讀取。


與 passwd 檔案類似,shadow 檔案也是每行定義和儲存一個賬戶的相關信息。第一個欄位為用戶帳戶名,第二個欄位為賬戶的密碼。

3、用戶組帳號檔案


用戶組帳號信息儲存在 / etc/group 配置檔案中,任何用戶均可以讀取。用戶組的真實密碼儲存在 / etc/gshadow 配置檔案中。


在 group 中,第一個欄位代表用戶組的名稱,第二個欄位為 x,第三個為用戶組的 ID 號,第四個為該用戶組的用戶成員串列,各用戶名間用逗號分隔。

4、添加用戶


創建或添加新用戶使用 useradd 命令來實現,其命令用法為:


useradd [option] username
該命令的 option 選項較多,常用的主要有:
-c 註釋      用戶設置對賬戶的註釋說明文字
-d 主目錄    指定用來取代預設的 / home/username 的主目錄
-m          若主目錄不存在,則創建它。-r 與 – m 相結合,可為系統賬戶創建主目錄
-M          不創建主目錄
-e date     指定賬戶過期的日期。日期格式為 MM/DD/YY
-f days     帳號過期幾日後永久停權。若指定為 -,則立即被停權,若為 – 1,則關閉此功能
-g 用戶組     指定將用戶加入到哪個用戶組,該用戶組必須存在
-G 用戶組串列 指定用戶同時加入的用戶組串列,各組用逗分隔
-n          不為用戶創建私有用戶組
-s shell    指定用戶登錄時使用的 shell,預設為 / bin/bash
-r          創建一個用戶 ID 小於 500 的系統賬戶,預設不創建對應的主目錄
-u 用戶 ID    手動指定新用戶的 ID 值,該值必須唯一,且大於 499
-p password 為新建用戶指定登錄密碼。此處的 password 是對應登錄密碼經 MD5 加密後所得到的密碼值,不實真實密碼原文,因此在實際應用中,該引數選項使用較少,通常單獨使用 passwd 命令來為用戶設置登錄密碼。

 

示例:


若要創建一個名為 nisj 的用戶,並作為 babyfish 用戶組的成員,則操作命令為:
[[email protected] ~]# useradd -g babyfish nisj
[[email protected] ~]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish)
[[email protected] ~]# tail -1 /etc/passwd
nisj:x:502:500::/home/nisj:/bin/bash
添加用戶時,若未用 – g 引數指定用戶組,則系統預設會自動創建一個與用戶帳號同名的私有用戶組。若不需要創建該私有用戶組,則可選用 – n 引數。
比如,添加一個名為 nsj820 的賬戶,但不指定用戶組,其操作結果為:
[[email protected] ~]# useradd nsj820
[[email protected] ~]# id nsj820
uid=503(nsj820) gid=503(nsj820) groups=503(nsj820)
[[email protected] ~]# tail -1 /etc/passwd
nsj820:x:503:503::/home/nsj820:/bin/bash
[[email protected] ~]# tail -2 /etc/passwd
nisj:x:502:500::/home/nisj:/bin/bash
nsj820:x:503:503::/home/nsj820:/bin/bash #系統自動創建了名為 nsj820 的用戶組,ID 號為 503


創建用戶賬戶時,系統會自動創建該用戶對應的主目錄,該目錄預設放在 / home 目錄下,若要改變位置,可以利用 – d 引數指定;對於用戶登錄時使用的 shell,預設為 / bin/bash,若要更改,則使用 – s 引數指定


例如,若要創建一個名為 vodup 的賬戶,主目錄放在 / var 目錄下,並指定登錄 shell 為 / sbin/nologin,則操作命令為:


[[email protected] ~]#  useradd -d /var/vodup -s /sbin/nologin vodup
[[email protected] ~]# id vodup
uid=504(vodup) gid=504(vodup) groups=504(vodup)
[[email protected] ~]# tail -1 /etc/passwd
vodup:x:504:504::/var/vodup:/sbin/nologin
[[email protected] ~]# tail -1 /etc/group
vodup:x:504:

 

5、設置帳號屬性


對於已創建好的用戶,可使用 usermod 命令來修改和設置賬戶的各項屬性,包括登錄名,主目錄,用戶組,登錄 shell 等,該命令用法為:


usermod [option] username
部分 option 選項


(1)改變用戶帳戶名


使用 – l 引數來實現,命令用法為:
usermod -l 新用戶名 原用戶名


例如,若要將用戶 nsj820 更名為 nsj0820,則操作命令為:
[[email protected] ~]# usermod -l nsj0820 nsj820
[[email protected] ~]# id nsj0820
uid=503(nsj0820) gid=503(nsj820) groups=503(nsj820)
[[email protected] ~]# tail -1 /etc/passwd
nsj0820:x:503:503::/home/nsj820:/bin/bash
從輸出結果可見,用戶名已更改為 nsj0820。主目錄仍為原來的 / home/nsj820,若也要更改為 / home/nsj0820,則可通過執行以下命令來實現
[[email protected] ~]# usermod -d /home/nsj0820 nsj0820
[[email protected] ~]# id nsj0820
uid=503(nsj0820) gid=503(nsj820) groups=503(nsj820)
[[email protected] ~]# tail -1 /etc/passwd
nsj0820:x:503:503::/home/nsj0820:/bin/bash
[[email protected] home]# mv /home/nsj820 /home/nsj0820

 

(2)鎖定賬戶


若要臨時禁止用戶登錄,可將該用戶賬戶鎖定。鎖定賬戶可利用 – L 引數來實現,其命令用法為:


usermod -L 要鎖定的賬戶


linux 鎖定用戶,是通過在密碼檔案 shadow 的密碼欄位前加 “!” 來標識該用戶被鎖定。


[[email protected] home]# usermod -L nsj0820
[[email protected] home]# tail -1 /etc/shadow
nsj0820:!$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK30:16910:0:99999:7:::


但通過 root 用戶進去,然後 su 到被鎖定的用戶,是可以進去的。

 

(3)解鎖賬戶


要解鎖賬戶,可以使用帶 -U 引數的 usermod 命令來實現。


[[email protected] ~]# usermod -U nsj0820
[[email protected] ~]# tail -1 /etc/shadow
nsj0820:$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK30:16910:0:99999:7:::

6、刪除賬戶

要刪除賬戶,可以使用 userdel 命令來實現,其用法為:
userdel [-r] 帳戶名


-r 為可選項,若帶上該引數,則在刪除該賬戶的同時,一併刪除該賬戶對應的主目錄


[[email protected] ~]# userdel -r nsj0820


若要設置所有用戶賬戶密碼過期的時間,則可通過修改 / etc/login.defs 配置檔案中的 PASS_MAX_DAYS 配置項的值來實現,其預設值為 99999,代表用戶賬戶密碼永不過期。其中 PASS_MIN_LEN 配置項用於指定賬戶密碼的最小長度,預設為 5 個字符。

7、設置用戶登錄密碼


使用 passwd 命令來設置,其命令用法為:
passwd [帳戶名]
若指定了帳戶名稱,則設置指定賬戶的登錄密碼,原密碼自動被改寫。只有 root 用戶才有權設置指定賬戶的密碼。一般用戶只能設置或修改自己賬戶的密碼(不帶引數)。


例如, 若要設置 nisj 賬戶的登陸密碼,則操作命令為:
[[email protected] home]# passwd nisj
Changing password for user nisj.
New password:
BAD PASSWORD: it is too short
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.
賬戶登錄密碼設置後,該賬戶就可以登錄系統了。

8、鎖定 / 解鎖賬戶密碼及查詢密碼狀態、刪除賬戶密碼


在 linux 中,除了用戶賬戶可被鎖定外,賬戶密碼也可被鎖定,任何一方被鎖定後,都將無法登錄系統。只有 root 用戶才有權執行該命令,鎖定賬戶密碼使用帶 – l 選項的 passwd 命令,其用法為:


passwd -l 帳戶名
passwd -u 帳戶名 
   #解鎖賬戶密碼
[[email protected] home]# passwd -l nisj
Locking password for user nisj.
passwd: Success
[[email protected] home]# passwd -u nisj
Unlocking password for user nisj.
passwd: Success


要查詢當前賬戶的密碼是否被鎖定,可以使用帶 – S 引數的 passwd 命令來實現,其用法為:
passwd -S 賬戶名
例如
[[email protected] home]# passwd -S nisj
nisj PS 2016-04-18 0 99999 7 -1 (Password set, MD5 crypt.)


如要刪除賬戶的密碼,使用帶 – d 引數的 passwd 命令來實現,該命令也只有 root 用戶才有權執行,其用法為:
passwd -d 帳戶名
帳戶密碼被刪除後,將不能登錄系統,除非重新設置密碼

9、創建用戶組


用戶和用戶組屬於多對多關係,一個用戶可以同時屬於多個用戶組,一個用戶組可以包含多個不同的用戶。


創建用戶組使用 groupadd 命令,其命令用法為:
groupadd [-r] 用戶組名稱


若命令帶有 – r 引數,則創建系統用戶組,該類用戶組的 GID 值小於 500;若沒有 – r 引數,則創建普通用戶組,其 GID 值大於或等於 500.

10、修改用戶組屬性

用戶組創建後,根據需要可對用戶組的相關屬性進行修改。對用戶組屬性的修改,主要是修改用戶組的名稱和用戶組的 GID 值。
(1)改變用戶組的名稱
若要對用戶組進行重命名,可使用帶 – n 引數的 groupmod 命令來實現,其用法為:
groupmod -n 新用戶組名  原用戶組名


對於用戶組改名,不會改變其 GID 的值


比如,若要將 student 用戶組更名為 teacher 用戶組,則操作命令為:
[[email protected] home]# groupadd student
[[email protected] home]# tail -1 /etc/group
student:x:505:
[[email protected] home]# groupmod -n teacher student
[[email protected] home]# tail -1 /etc/group
teacher:x:505:

(2)重設用戶組的 GID
用戶組的 GID 值可以重新進行設置修改,但不能與已有用戶組的 GID 值重覆。對 GID 進行修改,不會改變用戶名的名稱。


要修改用戶組的 GID,可使用帶 – g 引數的 groupmod 命令,其用法為:
groupmod -g new_GID 用戶組名稱


例如,若要將 teacher 組的 GID 更改為 506,則操作命令為:
[[email protected] home]#  groupmod -g 506 teacher
[[email protected] home]# tail -1 /etc/group
teacher:x:506:

11、刪除用戶組


刪除用戶組使用 groupdel 命令來實現,其用法為:
groupdel 用戶組名


在刪除用戶組時,被刪除的用戶組不能是某個賬戶的私有用戶組,否則將無法刪除,若要刪除,則應先刪除取用該私有用戶組的賬戶,然後再刪除用戶組。


[[email protected] home]# groupdel teacher
[[email protected] ~]# grep teacher /etc/group    #沒有輸出,說明 teacher 用戶組以不存在,刪除成功

12、添加用戶到指定的組 / 從指定的組中移除用戶


可以將用戶添加到指定的組,使其成為該組的成員。其實現命令為:
gpasswd -a 用戶賬戶  用戶組名


若要從用戶組中移除某用戶,其實現命令為:
gpasswd -d 用戶賬戶  用戶組名
例如:
[[email protected] home]# groupadd student
[[email protected] home]# gpasswd -a nisj student
Adding user nisj to group student
[[email protected] home]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish),505(student)
[[email protected] home]# gpasswd -d nisj student
Removing user nisj from group student
[[email protected] home]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish)
[[email protected] home]# groups nisj
nisj : babyfish

13、設置用戶組管理員


添加用戶到組和從組中移除某用戶,除了 root 用戶可以執行該操作外,用戶組管理員也可以執行該操作。


要將某用戶指派為某個用戶組的管理員,可使用以下命令來實現;


gpasswd -A 用戶賬戶 要管理的用戶組
命令功能:將指定的用戶設置為指定用戶組的用戶管理員。用戶管理員只能對授權的用戶組進行用戶管理 (添加用戶到組或從組中刪除用戶),無權對其他用戶組進行管理。


[[email protected] home]# gpasswd -a nisj student
Adding user nisj to group student
[[email protected] home]# gpasswd -A nisj student
[[email protected] home]# useradd stu
[[email protected] home]# gpasswd -a stu student
Adding user stu to group student
[[email protected] home]# groups stu
stu : stu student
[[email protected] home]# su – nisj
[[email protected] ~]$ gpasswd -d stu student
Removing user stu from group student
[[email protected] ~]$ gpasswd -d stu stu
gpasswd: Permission denied.

14、用戶其他相關


另外,linux 還提供了 id,whoami 和 groups 等命令,用來查看用戶和組的狀態。id 命令用於顯示當前用戶的 uid,gid 和所屬的用戶組的串列;whoami 用於查詢當前用戶的名稱;groups 用於產看指定用戶所隸屬的用戶組。


同時,我們可以使用圖形界面來管理用戶和用戶組,系統 —> 管理 —> 用戶和組群可以打開相應的配置界面。

 

附:將用戶添加到組中,也可以如下操作
將一個用戶添加到用戶組中,千萬不能直接用:
usermod -G groupA
這樣做會使你離開其他用戶組,僅僅做為這個用戶組 groupA 的成員。
應該用 加上 -a 選項:
usermod -a -G groupA user
(FC4: usermod -G groupA,groupB,groupC user)
-a 代表 append, 也就是 將自己添加到 用戶組 groupA 中,而不必離開其他用戶組。

赞(0)

分享創造快樂