歡迎光臨
每天分享高質量文章

萬字長文為你深入解讀 Linux 用戶及用戶組管理

運維行業正在變革,推薦閱讀:30萬年薪Linux運維工程師成長魔法


無論是出於 Linux 本身的多用戶多任務分時操作系統的性質,還是出於系統安全的考慮, Linux 用戶和用戶組都是這個系統最重要的幾塊拼圖之一。無論是日常使用,還是作為服務器來應用 Linux ,創建合適的用戶、組別,賦予相應的權限,是基本的使用技巧。

今天小編為大家整理了 Linux 用戶及用戶組管理的相關內容,全篇文字超過一萬字,力圖為大家展示 Linux 用戶管理的全貌。如果你對於這些知識還不是很熟悉,那麼就一定仔細閱讀文章了哦~

概述

Linux系統是一個多用戶多任務的分時操作系統,任何一個要使用系統資源的用戶,都必須首先向系統管理員申請一個賬號,然後以這個賬號的身份進入系統。

用戶的賬號一方面可以幫助系統管理員對使用系統的用戶進行跟蹤,並控制他們對系統資源的訪問;另一方面也可以幫助用戶組織檔案,併為用戶提供安全性保護。

每個用戶賬號都擁有一個惟一的用戶名和各自的口令。

用戶在登錄時鍵入正確的用戶名和口令後,就能夠進入系統和自己的主目錄。

完成用戶管理的工作有許多種方法,但是每一種方法實際上都是對有關的系統檔案進行修改。

用戶管理檔案介紹

與用戶和用戶組相關的信息都存放在一些系統檔案中,這些檔案包括/etc/passwd, /etc/shadow, /etc/group等。

下麵分別介紹這些檔案的內容。

1. /etc/passwd

/etc/passwd檔案是用戶管理工作涉及的最重要的一個檔案。

Linux系統中的每個用戶都在/etc/passwd檔案中有一個對應的記錄行,它記錄了這個用戶的一些基本屬性。

這個檔案對所有用戶都是可讀的。它的內容類似下麵的例子:

從上面的例子我們可以看到,/etc/passwd中一行記錄對應著一個用戶,每行記錄又被冒號(:)分隔為7個欄位,其格式和具體含義如下:

1)”用戶名”是代表用戶賬號的字串。

通常長度不超過8個字符,並且由大小寫字母和/或數字組成。登錄名中不能有冒號(:),因為冒號在這裡是分隔符。

為了兼容起見,登錄名中最好不要包含點字符(.),並且不使用連字符(-)和加號(+)打頭。

2)“口令”一些系統中,存放著加密後的用戶口令字。

雖然這個欄位存放的只是用戶口令的加密串,不是明文,但是由於/etc/passwd檔案對所有用戶都可讀,所以這仍是一個安全隱患。因此,現在許多Linux 系統(如SVR4)都使用了shadow技術,把真正的加密後的用戶口令字存放到/etc/shadow檔案中,而在/etc/passwd檔案的口令欄位中只存放一個特殊的字符,例如“x”或者“*”。

3)“用戶標識號”是一個整數,系統內部用它來標識用戶。

一般情況下它與用戶名是一一對應的。如果幾個用戶名對應的用戶標識號是一樣的,系統內部將把它們視為同一個用戶,但是它們可以有不同的口令、不同的主目錄以及不同的登錄Shell等。

通常用戶標識號的取值範圍是0~65 535。0是超級用戶root的標識號,1~99由系統保留,作為管理賬號,普通用戶的標識號從100開始。在Linux系統中,這個界限是500。

4)“組標識號”欄位記錄的是用戶所屬的用戶組。

它對應著/etc/group檔案中的一條記錄。

5)“註釋性描述”欄位記錄著用戶的一些個人情況。

例如用戶的真實姓名、電話、地址等,這個欄位並沒有什麼實際的用途。在不同的Linux 系統中,這個欄位的格式並沒有統一。在許多Linux系統中,這個欄位存放的是一段任意的註釋性描述文字,用做finger命令的輸出。

6)“主目錄”,也就是用戶的起始工作目錄。

它是用戶在登錄到系統之後所處的目錄。在大多數系統中,各用戶的主目錄都被組織在同一個特定的目錄下,而用戶主目錄的名稱就是該用戶的登錄名。各用戶對自己的主目錄有讀、寫、執行(搜索)權限,其他用戶對此目錄的訪問權限則根據具體情況設置。

7)用戶登錄後,要啟動一個行程,負責將用戶的操作傳給內核,這個行程是用戶登錄到系統後運行的命令解釋器或某個特定的程式,即Shell。

Shell是用戶與Linux系統之間的接口。Linux的Shell有許多種,每種都有不同的特點。常用的有sh(Bourne Shell), csh(C Shell), ksh(Korn Shell), tcsh(TENEX/TOPS-20 type C Shell), bash(Bourne Again Shell)等。

系統管理員可以根據系統情況和用戶習慣為用戶指定某個Shell。如果不指定Shell,那麼系統使用sh為預設的登錄Shell,即這個欄位的值為/bin/sh。

用戶的登錄Shell也可以指定為某個特定的程式(此程式不是一個命令解釋器)。

利用這一特點,我們可以限制用戶只能運行指定的應用程式,在該應用程式運行結束後,用戶就自動退出了系統。有些Linux 系統要求只有那些在系統中登記了的程式才能出現在這個欄位中。

8)系統中有一類用戶稱為偽用戶(psuedo users)。

這些用戶在/etc/passwd檔案中也占有一條記錄,但是不能登錄,因為它們的登錄Shell為空。它們的存在主要是方便系統管理,滿足相應的系統行程對檔案屬主的要求。

常見的偽用戶如下所示:

其他帳戶檔案

1、除了上面列出的偽用戶外,還有許多標準的偽用戶,例如:audit, cron, mail, usenet等,它們也都各自為相關的行程和檔案所需要。

由於/etc/passwd檔案是所有用戶都可讀的,如果用戶的密碼太簡單或規律比較明顯的話,一臺普通的計算機就能夠很容易地將它破解,因此對安全性要求較高的Linux系統都把加密後的口令字分離出來,單獨存放在一個檔案中,這個檔案是/etc/shadow檔案。 有超級用戶才擁有該檔案讀權限,這就保證了用戶密碼的安全性。

2、/etc/shadow中的記錄行與/etc/passwd中的一一對應,它由pwconv命令根據/etc/passwd中的資料自動產生。

它的檔案格式與/etc/passwd類似,由若干個欄位組成,欄位之間用”:”隔開。這些欄位是:

  • “登錄名”是與/etc/passwd檔案中的登錄名相一致的用戶賬號

  • “口令”欄位存放的是加密後的用戶口令字,長度為13個字符。如果為空,則對應用戶沒有口令,登錄時不需要口令;如果含有不屬於集合 { ./0-9A-Za-z }中的字符,則對應的用戶不能登錄。

  • “最後一次修改時間”表示的是從某個時刻起,到用戶最後一次修改口令時的天數。時間起點對不同的系統可能不一樣。例如在SCO Linux 中,這個時間起點是1970年1月1日。

  • “最小時間間隔”指的是兩次修改口令之間所需的最小天數。

  • “最大時間間隔”指的是口令保持有效的最大天數。

  • “警告時間”欄位表示的是從系統開始警告用戶到用戶密碼正式失效之間的天數。

  • “不活動時間”表示的是用戶沒有登錄活動但賬號仍能保持有效的最大天數。

  • “失效時間”欄位給出的是一個絕對的天數,如果使用了這個欄位,那麼就給出相應賬號的生存期。期滿後,該賬號就不再是一個合法的賬號,也就不能再用來登錄了。

下麵是/etc/shadow的一個例子:

3、用戶組的所有信息都存放在/etc/group檔案中。

將用戶分組是Linux 系統中對用戶進行管理及控制訪問權限的一種手段。

每個用戶都屬於某個用戶組;一個組中可以有多個用戶,一個用戶也可以屬於不同的組。

當一個用戶同時是多個組中的成員時,在/etc/passwd檔案中記錄的是用戶所屬的主組,也就是登錄時所屬的預設組,而其他組稱為附加組。

用戶要訪問屬於附加組的檔案時,必須首先使用newgrp命令使自己成為所要訪問的組中的成員。

用戶組的所有信息都存放在/etc/group檔案中。此檔案的格式也類似於/etc/passwd檔案,由冒號(:)隔開若干個欄位,這些欄位有:

  • “組名”是用戶組的名稱,由字母或數字構成。與/etc/passwd中的登錄名一樣,組名不應重覆。

  • “口令”欄位存放的是用戶組加密後的口令字。一般Linux 系統的用戶組都沒有口令,即這個欄位一般為空,或者是*。

  • “組標識號”與用戶標識號類似,也是一個整數,被系統內部用來標識組。

  • “組內用戶串列”是屬於這個組的所有用戶的串列/b],不同用戶之間用逗號(,)分隔。這個用戶組可能是用戶的主組,也可能是附加組。

/etc/group檔案的一個例子如下:

用戶管理命令

1. 添加用戶


創建或添加新用戶使用 useradd 命令來實現,其命令用法為:


該命令的 option 選項較多,常用的主要有:

  • -c 註釋      用戶設置對賬戶的註釋說明文字

  • -d 主目錄    指定用來取代預設的 / home/username 的主目錄

  • -m          若主目錄不存在,則創建它。-r 與 – m 相結合,可為系統賬戶創建主目錄

  • -M          不創建主目錄

  • -e date     指定賬戶過期的日期。日期格式為 MM/DD/YY

  • -f days     帳號過期幾日後永久停權。若指定為 -,則立即被停權,若為 – 1,則關閉此功能

  • -g 用戶組     指定將用戶加入到哪個用戶組,該用戶組必須存在

  • -G 用戶組串列 指定用戶同時加入的用戶組串列,各組用逗分隔

  • -n          不為用戶創建私有用戶組

  • -s shell    指定用戶登錄時使用的 shell,預設為 / bin/bash

  • -r          創建一個用戶 ID 小於 500 的系統賬戶,預設不創建對應的主目錄

  • -u 用戶 ID    手動指定新用戶的 ID 值,該值必須唯一,且大於 499

  • -p password 為新建用戶指定登錄密碼。此處的 password 是對應登錄密碼經 MD5 加密後所得到的密碼值,不實真實密碼原文,因此在實際應用中,該引數選項使用較少,通常單獨使用 passwd 命令來為用戶設置登錄密碼。


示例:


若要創建一個名為 nisj 的用戶,並作為 babyfish 用戶組的成員,則操作命令為:

添加用戶時,若未用 – g 引數指定用戶組,則系統預設會自動創建一個與用戶帳號同名的私有用戶組。若不需要創建該私有用戶組,則可選用 – n 引數。


比如,添加一個名為 nsj820 的賬戶,但不指定用戶組,其操作結果為:


創建用戶賬戶時,系統會自動創建該用戶對應的主目錄,該目錄預設放在 / home 目錄下,若要改變位置,可以利用 – d 引數指定;對於用戶登錄時使用的 shell,預設為 / bin/bash,若要更改,則使用 – s 引數指定。


例如,若要創建一個名為 vodup 的賬戶,主目錄放在 / var 目錄下,並指定登錄 shell 為 / sbin/nologin,則操作命令為:


2. 設置帳號屬性


對於已創建好的用戶,可使用 usermod 命令來修改和設置賬戶的各項屬性,包括登錄名,主目錄,用戶組,登錄 shell 等,該命令用法為:


部分 option 選項:


(1)改變用戶帳戶名


使用 – l 引數來實現,命令用法為:


例如,若要將用戶 nsj820 更名為 nsj0820,則操作命令為:

從輸出結果可見,用戶名已更改為 nsj0820。主目錄仍為原來的 / home/nsj820,若也要更改為 / home/nsj0820,則可通過執行以下命令來實現


(2)鎖定賬戶


若要臨時禁止用戶登錄,可將該用戶賬戶鎖定。鎖定賬戶可利用 – L 引數來實現,其命令用法為:


linux 鎖定用戶,是通過在密碼檔案 shadow 的密碼欄位前加 “!” 來標識該用戶被鎖定。



但通過 root 用戶進去,然後 su 到被鎖定的用戶,是可以進去的。


(3)解鎖賬戶


要解鎖賬戶,可以使用帶 -U 引數的 usermod 命令來實現。


3. 刪除賬戶


要刪除賬戶,可以使用 userdel 命令來實現,其用法為:


-r 為可選項,若帶上該引數,則在刪除該賬戶的同時,一併刪除該賬戶對應的主目錄。



若要設置所有用戶賬戶密碼過期的時間,則可通過修改 / etc/login.defs 配置檔案中的 PASS_MAX_DAYS 配置項的值來實現,其預設值為 99999,代表用戶賬戶密碼永不過期。其中 PASS_MIN_LEN 配置項用於指定賬戶密碼的最小長度,預設為 5 個字符。

4. 設置用戶登錄密碼


使用 passwd 命令來設置,其命令用法為:


若指定了帳戶名稱,則設置指定賬戶的登錄密碼,原密碼自動被改寫。只有 root 用戶才有權設置指定賬戶的密碼。一般用戶只能設置或修改自己賬戶的密碼(不帶引數)。


例如, 若要設置 nisj 賬戶的登陸密碼,則操作命令為:

賬戶登錄密碼設置後,該賬戶就可以登錄系統了。

5. 鎖定 / 解鎖賬戶密碼及查詢密碼狀態、刪除賬戶密碼


在 linux 中,除了用戶賬戶可被鎖定外,賬戶密碼也可被鎖定,任何一方被鎖定後,都將無法登錄系統。只有 root 用戶才有權執行該命令,鎖定賬戶密碼使用帶 – l 選項的 passwd 命令,其用法為:



要查詢當前賬戶的密碼是否被鎖定,可以使用帶 – S 引數的 passwd 命令來實現,其用法為:

例如


如要刪除賬戶的密碼,使用帶 – d 引數的 passwd 命令來實現,該命令也只有 root 用戶才有權執行,其用法為:


帳戶密碼被刪除後,將不能登錄系統,除非重新設置密碼。

6. 創建用戶組


用戶和用戶組屬於多對多關係,一個用戶可以同時屬於多個用戶組,一個用戶組可以包含多個不同的用戶。


創建用戶組使用 groupadd 命令,其命令用法為:


若命令帶有 – r 引數,則創建系統用戶組,該類用戶組的 GID 值小於 500;若沒有 – r 引數,則創建普通用戶組,其 GID 值大於或等於 500.

7. 修改用戶組屬性


用戶組創建後,根據需要可對用戶組的相關屬性進行修改。對用戶組屬性的修改,主要是修改用戶組的名稱和用戶組的 GID 值。


(1)改變用戶組的名稱


若要對用戶組進行重命名,可使用帶 – n 引數的 groupmod 命令來實現,其用法為:



對於用戶組改名,不會改變其 GID 的值


比如,若要將 student 用戶組更名為 teacher 用戶組,則操作命令為:



(2)重設用戶組的 GID


用戶組的 GID 值可以重新進行設置修改,但不能與已有用戶組的 GID 值重覆。對 GID 進行修改,不會改變用戶名的名稱。


要修改用戶組的 GID,可使用帶 – g 引數的 groupmod 命令,其用法為:



例如,若要將 teacher 組的 GID 更改為 506,則操作命令為:

8. 刪除用戶組


刪除用戶組使用 groupdel 命令來實現,其用法為:



在刪除用戶組時,被刪除的用戶組不能是某個賬戶的私有用戶組,否則將無法刪除,若要刪除,則應先刪除取用該私有用戶組的賬戶,然後再刪除用戶組。


9. 添加用戶到指定的組 / 從指定的組中移除用戶


可以將用戶添加到指定的組,使其成為該組的成員。其實現命令為:



若要從用戶組中移除某用戶,其實現命令為:

例如:

10. 設置用戶組管理員


添加用戶到組和從組中移除某用戶,除了 root 用戶可以執行該操作外,用戶組管理員也可以執行該操作。


要將某用戶指派為某個用戶組的管理員,可使用以下命令來實現;


用戶管理員只能對授權的用戶組進行用戶管理 (添加用戶到組或從組中刪除用戶),無權對其他用戶組進行管理。


11. 用戶其他相關


另外,linux 還提供了 id,whoami 和 groups 等命令,用來查看用戶和組的狀態。id 命令用於顯示當前用戶的 uid,gid 和所屬的用戶組的串列;whoami 用於查詢當前用戶的名稱;groups 用於產看指定用戶所隸屬的用戶組。


同時,我們可以使用圖形界面來管理用戶和用戶組,系統 —> 管理 —> 用戶和組群可以打開相應的配置界面。


附:

將一個用戶添加到用戶組中,千萬不能直接用: 

這樣做會使你離開其他用戶組,僅僅做為這個用戶組 groupA 的成員。 


應該用 加上 -a 選項: 

-a 代表 append, 也就是 將自己添加到 用戶組 groupA 中,而不必離開其他用戶組。




————近期開班————

《馬哥Linux雲計算及架構師》課程,由知名Linux佈道師馬哥創立,經歷了8年的發展,聯合阿裡巴巴、唯品會、大眾點評、騰訊、陸金所等大型互聯網一線公司的馬哥課程團隊的工程師進行深度定製開發,課程採用 Centos7.2系統教學,加入了大量實戰案例,授課案例均來自於一線的技術案例,自動化運維、Devops、雲服務、python等技能一站式搞定,掌握2018年linux雲計算高薪未來。

29期網絡班:2018年02月10日(網絡)

30期面授班:2018年03月26日(北京)


更多Linux好文請點擊【閱讀原文】哦

↓↓↓

赞(0)

分享創造快樂