知識星球在 linux 中,使用者帳號,使用者密碼,使用者組資訊和使用者組密碼均是存放在不同的配置檔案中的。
在 linux 系統中,所建立的使用者帳號和其相關資訊 (密碼除外) 均是存放在 / etc/passwd 配置檔案中。由於所有使用者對 passwd 檔案均有讀取的許可權,因此密碼資訊並未儲存在該檔案中,而是儲存在了 / etc/shadow 的配置檔案中。
在 passwd 檔案中,一行定義一個使用者帳號,每行均由多個不同的欄位構成,各欄位值間用 “:” 分隔,每個欄位均代表該帳號某方面的資訊。
在剛安裝完成的 linux 系統中,passwd 配置檔案已有很多帳號資訊了,這些帳號是由系統自動建立的,他們是 linux 行程或部分服務程式正常工作所需要使用的賬戶,這些賬戶的最後一個欄位的值一般為 / sbin/nologin,表示該帳號不能用來登入 linux 系統。
在 passwd 配置檔案中,從左至右各欄位的對應關係及其含義:
由於 passwd 不再儲存密碼資訊,所以用 x 佔位代表。
若要使某個使用者賬戶不能登入 linux,只需設定該使用者所使用的 shell 為 / sbin/nologin 即可。比如,對於 FTP 賬戶,一般只允許登入和訪問 FTP 伺服器,不允許登入 linux 作業系統。若要讓某使用者沒有 telnet 許可權,即不允許該使用者利用 telnet 遠端登入和訪問 linux 作業系統,則設定該使用者所使用的 shell 為 / bin/true 即可。若要讓使用者沒有 telnet 和 ftp 登入許可權,則可設定該使用者的 shell 為 / bin/false。
在 / etc/shells 檔案中,若沒有 / bin/true 或 / bin/false,則需要手動新增:
[root@localhost ~]# echo “/bin/false”>>/etc/shells
[root@localhost ~]# echo “/bin/true”>>/etc/shells
為安全起見,使用者真實的密碼採用 MD5 加密演演算法加密後,儲存在 / etc/shadow 配置檔案中,該檔案只有 root 使用者可以讀取。
與 passwd 檔案類似,shadow 檔案也是每行定義和儲存一個賬戶的相關資訊。第一個欄位為使用者帳戶名,第二個欄位為賬戶的密碼。
使用者組帳號資訊儲存在 / etc/group 配置檔案中,任何使用者均可以讀取。使用者組的真實密碼儲存在 / etc/gshadow 配置檔案中。
在 group 中,第一個欄位代表使用者組的名稱,第二個欄位為 x,第三個為使用者組的 ID 號,第四個為該使用者組的使用者成員串列,各使用者名稱間用逗號分隔。
建立或新增新使用者使用 useradd 命令來實現,其命令用法為:
useradd [option] username
該命令的 option 選項較多,常用的主要有:
-c 註釋 使用者設定對賬戶的註釋說明文字
-d 主目錄 指定用來取代預設的 / home/username 的主目錄
-m 若主目錄不存在,則建立它。-r 與 – m 相結合,可為系統賬戶建立主目錄
-M 不建立主目錄
-e date 指定賬戶過期的日期。日期格式為 MM/DD/YY
-f days 帳號過期幾日後永久停權。若指定為 -,則立即被停權,若為 – 1,則關閉此功能
-g 使用者組 指定將使用者加入到哪個使用者組,該使用者組必須存在
-G 使用者組串列 指定使用者同時加入的使用者組串列,各組用逗分隔
-n 不為使用者建立私有使用者組
-s shell 指定使用者登入時使用的 shell,預設為 / bin/bash
-r 建立一個使用者 ID 小於 500 的系統賬戶,預設不建立對應的主目錄
-u 使用者 ID 手動指定新使用者的 ID 值,該值必須唯一,且大於 499
-p password 為新建使用者指定登入密碼。此處的 password 是對應登入密碼經 MD5 加密後所得到的密碼值,不實真實密碼原文,因此在實際應用中,該引數選項使用較少,通常單獨使用 passwd 命令來為使用者設定登入密碼。
若要建立一個名為 nisj 的使用者,並作為 babyfish 使用者組的成員,則操作命令為:
[root@localhost ~]# useradd -g babyfish nisj
[root@localhost ~]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish)
[root@localhost ~]# tail -1 /etc/passwd
nisj:x:502:500::/home/nisj:/bin/bash
新增使用者時,若未用 – g 引數指定使用者組,則系統預設會自動建立一個與使用者帳號同名的私有使用者組。若不需要建立該私有使用者組,則可選用 – n 引數。
比如,新增一個名為 nsj820 的賬戶,但不指定使用者組,其操作結果為:
[root@localhost ~]# useradd nsj820
[root@localhost ~]# id nsj820
uid=503(nsj820) gid=503(nsj820) groups=503(nsj820)
[root@localhost ~]# tail -1 /etc/passwd
nsj820:x:503:503::/home/nsj820:/bin/bash
[root@localhost ~]# tail -2 /etc/passwd
nisj:x:502:500::/home/nisj:/bin/bash
nsj820:x:503:503::/home/nsj820:/bin/bash #系統自動建立了名為 nsj820 的使用者組,ID 號為 503
建立使用者賬戶時,系統會自動建立該使用者對應的主目錄,該目錄預設放在 / home 目錄下,若要改變位置,可以利用 – d 引數指定;對於使用者登入時使用的 shell,預設為 / bin/bash,若要更改,則使用 – s 引數指定
例如,若要建立一個名為 vodup 的賬戶,主目錄放在 / var 目錄下,並指定登入 shell 為 / sbin/nologin,則操作命令為:
[root@localhost ~]# useradd -d /var/vodup -s /sbin/nologin vodup
[root@localhost ~]# id vodup
uid=504(vodup) gid=504(vodup) groups=504(vodup)
[root@localhost ~]# tail -1 /etc/passwd
vodup:x:504:504::/var/vodup:/sbin/nologin
[root@localhost ~]# tail -1 /etc/group
vodup:x:504:
對於已建立好的使用者,可使用 usermod 命令來修改和設定賬戶的各項屬性,包括登入名,主目錄,使用者組,登入 shell 等,該命令用法為:
usermod [option] username
部分 option 選項
(1)改變使用者帳戶名
使用 – l 引數來實現,命令用法為:
usermod -l 新使用者名稱 原使用者名稱
例如,若要將使用者 nsj820 更名為 nsj0820,則操作命令為:
[root@localhost ~]# usermod -l nsj0820 nsj820
[root@localhost ~]# id nsj0820
uid=503(nsj0820) gid=503(nsj820) groups=503(nsj820)
[root@localhost ~]# tail -1 /etc/passwd
nsj0820:x:503:503::/home/nsj820:/bin/bash
從輸出結果可見,使用者名稱已更改為 nsj0820。主目錄仍為原來的 / home/nsj820,若也要更改為 / home/nsj0820,則可透過執行以下命令來實現
[root@localhost ~]# usermod -d /home/nsj0820 nsj0820
[root@localhost ~]# id nsj0820
uid=503(nsj0820) gid=503(nsj820) groups=503(nsj820)
[root@localhost ~]# tail -1 /etc/passwd
nsj0820:x:503:503::/home/nsj0820:/bin/bash
[root@localhost home]# mv /home/nsj820 /home/nsj0820
(2)鎖定賬戶
若要臨時禁止使用者登入,可將該使用者賬戶鎖定。鎖定賬戶可利用 – L 引數來實現,其命令用法為:
usermod -L 要鎖定的賬戶
linux 鎖定使用者,是透過在密碼檔案 shadow 的密碼欄位前加 “!” 來標識該使用者被鎖定。
[root@localhost home]# usermod -L nsj0820
[root@localhost home]# tail -1 /etc/shadow
nsj0820:!$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK30:16910:0:99999:7:::
但透過 root 使用者進去,然後 su 到被鎖定的使用者,是可以進去的。
(3)解鎖賬戶
要解鎖賬戶,可以使用帶 -U 引數的 usermod 命令來實現。
[root@localhost ~]# usermod -U nsj0820
[root@localhost ~]# tail -1 /etc/shadow
nsj0820:$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK30:16910:0:99999:7:::
要刪除賬戶,可以使用 userdel 命令來實現,其用法為:
userdel [-r] 帳戶名
-r 為可選項,若帶上該引數,則在刪除該賬戶的同時,一併刪除該賬戶對應的主目錄。
[root@localhost ~]# userdel -r nsj0820
若要設定所有使用者賬戶密碼過期的時間,則可透過修改 / etc/login.defs 配置檔案中的 PASS_MAX_DAYS 配置項的值來實現,其預設值為 99999,代表使用者賬戶密碼永不過期。其中 PASS_MIN_LEN 配置項用於指定賬戶密碼的最小長度,預設為 5 個字元。
使用 passwd 命令來設定,其命令用法為:
passwd [帳戶名]
若指定了帳戶名稱,則設定指定賬戶的登入密碼,原密碼自動被改寫。只有 root 使用者才有權設定指定賬戶的密碼。一般使用者只能設定或修改自己賬戶的密碼(不帶引數)。
例如, 若要設定 nisj 賬戶的登陸密碼,則操作命令為:
[root@localhost home]# passwd nisj
Changing password for user nisj.
New password:
BAD PASSWORD: it is too short
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.
賬戶登入密碼設定後,該賬戶就可以登入系統了。
在 linux 中,除了使用者賬戶可被鎖定外,賬戶密碼也可被鎖定,任何一方被鎖定後,都將無法登入系統。只有 root 使用者才有權執行該命令,鎖定賬戶密碼使用帶 – l 選項的 passwd 命令,其用法為:
passwd -l 帳戶名
passwd -u 帳戶名 #解鎖賬戶密碼
[root@localhost home]# passwd -l nisj
Locking password for user nisj.
passwd: Success
[root@localhost home]# passwd -u nisj
Unlocking password for user nisj.
passwd: Success
要查詢當前賬戶的密碼是否被鎖定,可以使用帶 – S 引數的 passwd 命令來實現,其用法為:
passwd -S 賬戶名
例如
[root@localhost home]# passwd -S nisj
nisj PS 2016-04-18 0 99999 7 -1 (Password set, MD5 crypt.)
如要刪除賬戶的密碼,使用帶 – d 引數的 passwd 命令來實現,該命令也只有 root 使用者才有權執行,其用法為:
passwd -d 帳戶名
帳戶密碼被刪除後,將不能登入系統,除非重新設定密碼。
使用者和使用者組屬於多對多關係,一個使用者可以同時屬於多個使用者組,一個使用者組可以包含多個不同的使用者。
建立使用者組使用 groupadd 命令,其命令用法為:
groupadd [-r] 使用者組名稱
若命令帶有 – r 引數,則建立系統使用者組,該類使用者組的 GID 值小於 500;若沒有 – r 引數,則建立普通使用者組,其 GID 值大於或等於 500.
使用者組建立後,根據需要可對使用者組的相關屬性進行修改。對使用者組屬性的修改,主要是修改使用者組的名稱和使用者組的 GID 值。
(1)改變使用者組的名稱
若要對使用者組進行重新命名,可使用帶 – n 引數的 groupmod 命令來實現,其用法為:
groupmod -n 新使用者組名 原使用者組名
對於使用者組改名,不會改變其 GID 的值
比如,若要將 student 使用者組更名為 teacher 使用者組,則操作命令為:
[root@localhost home]# groupadd student
[root@localhost home]# tail -1 /etc/group
student:x:505:
[root@localhost home]# groupmod -n teacher student
[root@localhost home]# tail -1 /etc/group
teacher:x:505:
(2)重設使用者組的 GID
使用者組的 GID 值可以重新進行設定修改,但不能與已有使用者組的 GID 值重覆。對 GID 進行修改,不會改變使用者名稱的名稱。
要修改使用者組的 GID,可使用帶 – g 引數的 groupmod 命令,其用法為:
groupmod -g new_GID 使用者組名稱
例如,若要將 teacher 組的 GID 更改為 506,則操作命令為:
[root@localhost home]# groupmod -g 506 teacher
[root@localhost home]# tail -1 /etc/group
teacher:x:506:
刪除使用者組使用 groupdel 命令來實現,其用法為:
groupdel 使用者組名
在刪除使用者組時,被刪除的使用者組不能是某個賬戶的私有使用者組,否則將無法刪除,若要刪除,則應先刪除取用該私有使用者組的賬戶,然後再刪除使用者組。
[root@localhost home]# groupdel teacher
[root@localhost ~]# grep teacher /etc/group #沒有輸出,說明 teacher 使用者組以不存在,刪除成功
可以將使用者新增到指定的組,使其成為該組的成員。其實現命令為:
gpasswd -a 使用者賬戶 使用者組名
若要從使用者組中移除某使用者,其實現命令為:
gpasswd -d 使用者賬戶 使用者組名
例如:
[root@localhost home]# groupadd student
[root@localhost home]# gpasswd -a nisj student
Adding user nisj to group student
[root@localhost home]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish),505(student)
[root@localhost home]# gpasswd -d nisj student
Removing user nisj from group student
[root@localhost home]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish)
[root@localhost home]# groups nisj
nisj : babyfish
新增使用者到組和從組中移除某使用者,除了 root 使用者可以執行該操作外,使用者組管理員也可以執行該操作。
要將某使用者指派為某個使用者組的管理員,可使用以下命令來實現;
gpasswd -A 使用者賬戶 要管理的使用者組
命令功能:將指定的使用者設定為指定使用者組的使用者管理員。使用者管理員只能對授權的使用者組進行使用者管理 (新增使用者到組或從組中刪除使用者),無權對其他使用者組進行管理。
[root@localhost home]# gpasswd -a nisj student
Adding user nisj to group student
[root@localhost home]# gpasswd -A nisj student
[root@localhost home]# useradd stu
[root@localhost home]# gpasswd -a stu student
Adding user stu to group student
[root@localhost home]# groups stu
stu : stu student
[root@localhost home]# su – nisj
[nisj@localhost ~]$ gpasswd -d stu student
Removing user stu from group student
[nisj@localhost ~]$ gpasswd -d stu stu
gpasswd: Permission denied.
另外,linux 還提供了 id,whoami 和 groups 等命令,用來檢視使用者和組的狀態。id 命令用於顯示當前使用者的 uid,gid 和所屬的使用者組的串列;whoami 用於查詢當前使用者的名稱;groups 用於產看指定使用者所隸屬的使用者組。
同時,我們可以使用圖形介面來管理使用者和使用者組,系統 —> 管理 —> 使用者和組群可以開啟相應的配置介面。
附:將使用者新增到組中,也可以如下操作
將一個使用者新增到使用者組中,千萬不能直接用:
usermod -G groupA
這樣做會使你離開其他使用者組,僅僅做為這個使用者組 groupA 的成員。
應該用 加上 -a 選項:
usermod -a -G groupA user
(FC4: usermod -G groupA,groupB,groupC user)
-a 代表 append, 也就是 將自己新增到 使用者組 groupA 中,而不必離開其他使用者組。
