用戶和用戶組的管理

第六章用戶和用戶組的管理本章學(xué)習(xí)要求與用戶和用戶組相關(guān)的配置文件掌握用戶帳號的添加、修改與刪除掌握用戶口令的管理掌握用戶組的添加、修改與刪除Linux系統(tǒng)是一個多用戶多任務(wù)的分時操作系統(tǒng)，任何一個要使用系統(tǒng)資源的用戶，都必須首先向系統(tǒng)管理員申請一個帳號，然后以這個帳號的身份登錄系統(tǒng)。6.1相關(guān)的配置文件與用戶和用戶組相關(guān)的主要配置文件有：/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow和/etc/skel目錄等。6.1.1/etc/passwd/etc/passwd是用戶帳號文件，它是一個文本文件，用于定義系統(tǒng)的用戶帳號。該文件包含了系統(tǒng)的帳戶并列出了每個帳戶的一些信息，如用戶ID、用戶組ID、用戶主目錄等。由于所有用戶對/etc/passwd文件都有讀的權(quán)限，因此該文件只定義了用戶的帳號，而沒有保存用戶的口令信息。/etc/passwd的每一行都表示系統(tǒng)中一個用戶的信息。每行由7個字段組成，各字段之間使用:分隔。/etc/passwd文件內(nèi)容中各字段的說明字段序號字段說明1account用戶名，區(qū)分大小寫2password用戶口令，出于系統(tǒng)的安全性，該字段不保存口令，而使用字母x來表示，真正的用戶口令保存在/etc/shadow文件中3UID用戶的ID值4GID用戶所屬的私有組ID值，該值對應(yīng)/etc/group文件中的GID值5GECOS該字段可選，用于保存用戶名的全稱6directory用戶主目錄，用戶成功登錄后的默認(rèn)目錄7shell用戶使用的shell，如果該字段為空，則使用/bin/sh系統(tǒng)用戶的UID值從0開始，是一個正整數(shù)或0，至于最大值可以在/etc/login.defs文件中查到（一般Linux發(fā)行版約定為UID的最大值為60000）。在Linux系統(tǒng)中，root的UID值為0，他擁有最高的權(quán)限。把幾個用戶設(shè)置為同樣的UID會造成系統(tǒng)安全的隱患，尤其是設(shè)置成root的UID值0。6.1.2/etc/shadow/etc/shadow是用戶帳號的密碼文件，它是一個文本文件。該文件與/etc/passwd文件類似，每行定義了一個用戶的信息，并由9個字段組成，各字段用:分隔。為了系統(tǒng)的安全性，shadow文件中用戶的密碼是加密的，并且只有root用戶可以訪問該文件。第一字段：用戶名。在/etc/shadow文件中的用戶名和/etc/passwd文件中的用戶名相同。該字段非空。第二字段：密碼（已被加密）。若該字段的值為*，表示這個用戶不能登錄系統(tǒng)；若該字段為!!，表示該用戶剛被建立，還沒有登錄的權(quán)限；若該字段以一個!開頭，表示該用戶密碼為鎖定狀態(tài)；若該字段以兩個!開頭，表示該用戶不能修改自己的密碼。該字段非空。第三字段：上次修改口令的時間。這個時間是從1970年1月1日算起到最近一次修改口令的時間間隔（天數(shù)）。用戶可以使用passwd工具修改用戶的密碼，然后再查看/etc/shadow中此字段的變化。該字段非空。第四字段：兩次修改口令間隔最少的天數(shù)。如果此值為0，則禁用此功能，也就是說用戶必須經(jīng)過多少天才能修改其口令，此項功能用處不是太大。默認(rèn)值是/etc/login.defs文件中的PASS_MIN_DAYS項定義的值。第五字段：兩次修改口令間隔最多的天數(shù)，即有效期。這個增強了管理員管理用戶口令的時效性，從而增強了系統(tǒng)的安全性。如果是系統(tǒng)的默認(rèn)值，在添加用戶時由/etc/login.defs文件中的PASS_MAX_DAYS項進行定義。第六字段：提前多少天警告用戶口令將過期。當(dāng)用戶登錄系統(tǒng)后，系統(tǒng)登錄程序提醒用戶口令將要作廢。第七字段：在口令過期之后多少天禁用此用戶。此字段表示用戶口令作廢多少天后，系統(tǒng)會禁用此用戶，也就是說系統(tǒng)將不再讓此用戶登錄，也不會提示用戶過期，是完全禁用。第八字段：用戶過期日期。此字段指定了用戶作廢的天數(shù)（從1970年的1月1日開始的天數(shù)）。如果這個字段的值為空，用戶帳號將永久可用。第九字段：保留字段。/etc/shadow文件是/etc/passwd的投影文件，但這個文件并不是由/etc/passwd產(chǎn)生，這兩個文件應(yīng)該是對應(yīng)互補的。/etc/shadow內(nèi)容包括用戶和被加密的密碼及其它/etc/passwd不能包括的信息，如用戶的有效期限等。/etc/shadow文件只有root用戶有操作的權(quán)限。6.1.3/etc/group/etc/group為用戶組帳號文件，它是一個文本文件。該文件相對來說比較簡單，通過配置該文件，可以看到系統(tǒng)中的用戶組、用戶所屬的組及某個用戶組中的成員。用戶組（Group）是具有某種共同特征的用戶集合。在Linux系統(tǒng)中，用戶組分為兩種：用戶私有組和公有組。私有組只包含一個用戶，在創(chuàng)建用戶時系統(tǒng)自動創(chuàng)建一個和用戶同名的組。公有組可以包含多個用戶。

注：在Linux系統(tǒng)中，當(dāng)一個用戶屬于多個用戶組時，某個用戶的權(quán)限只能是當(dāng)前所屬組的權(quán)限，而不是多個組權(quán)限的累加。/etc/group文件中各字段的說明字段序號字段說明1groupname用戶組的名稱2password用戶組的口令，出于系統(tǒng)的安全性，該字段不保存口令，而使用字母x來表示，真正的口令保存在/etc/gshadow文件中3GID用戶組的ID值4members用戶組中的成員列表，成員之間使用“,”分隔6.1.4/etc/gshadow/etc/gshadow文件用于定義用戶組的口令、用戶組管理員等信息，它是一個文本文件，并且該文件只有root用戶可以讀取。/etc/gshadow文件中各字段的說明字段序號字段說明1groupname用戶組名稱，與group文件中的組名稱對應(yīng)2encryptedpassword用戶組口令，用于保存已加密的口令3Groupadministrators組的管理員，他有權(quán)對該組添加、刪除成員4Groupmembers組中的成員列表，成員之間使用“,”分隔6.1.5/etc/skel目錄/etc/skel目錄為初始化用戶的主目錄，該目錄下存放有與用戶相關(guān)的配置文件。一般來說，每個用戶都有自己的主目錄，用戶登錄成功后就處于自己的主目錄。當(dāng)創(chuàng)建用戶時，系統(tǒng)會為新用戶創(chuàng)建主目錄并在其主目錄下建立一份/etc/skel目錄下所有文件（.bash_logout、.bash_profile、.bashrc）的拷貝，以初始化用戶的主目錄。6.1.6/etc/sudoers6.1.7/etc/login.defs/etc/login.defs文件是系統(tǒng)在創(chuàng)建用戶時的一些規(guī)則，如創(chuàng)建用戶時是否需要創(chuàng)建用戶的主目錄、UID和GID的范圍、用戶密碼的有效期、用戶密碼的最短長度、UMASK值等。6.1.8/etc/default/useradd

/etc/default/useradd文件是添加用戶時的規(guī)則文件。該文件內(nèi)容如下：#useradddefaultsfileGROUP=100HOME=/homeINACTIVE=-1EXPIRE=SHELL=/bin/bashSKEL=/etc/skel其中HOME的值為創(chuàng)建用戶時，用戶主目錄的位置在/home目錄中；INACTIVE為是否啟用帳戶過期，-1為不啟用；EXPIRE的值為帳號終止日期，日期格式為YYYY-MM-DD，不設(shè)置表示不啟用帳號過期；SHELL的值為使用shell的類型；SKEL的值為添加用戶時用戶主目錄中的文件的存放位置，即使用useradd或adduser添加用戶時，用戶主目錄下的文件都是/etc/skel目錄下文件的拷貝。6.2用戶的管理用戶管理主要包括用戶的添加、修改、刪除及用戶密碼的設(shè)置等。6.2.1添加用戶添加用戶的命令為useradd或adduser。useradd/adduser命令執(zhí)行時，讀取/etc/login.defs和/etc/default/useradd中所定義的規(guī)則創(chuàng)建用戶，并向/etc/passwd和/etc/group文件中添加用戶和用戶組記錄，/etc/passwd和/etc/gshadow文件也同步生成記錄，同時發(fā)生的還有系統(tǒng)會自動在/etc/add/default中所約定的目錄中建立用戶的主目錄，并復(fù)制/etc/skel中的文件到新用戶的主目錄中。useradd或adduser命令的語法格式如下：useradd[options]LOGINadduser[options]LOGINLOGIN為添加的用戶名稱。useradd/adduser常用選項如下：-g,--gidGROUP

以GROUP名稱或數(shù)字做為用戶登錄起始用戶組（group）。用戶組名必須是系統(tǒng)中現(xiàn)有存在的名稱，用戶組數(shù)字也必須是現(xiàn)有存在的用戶組。預(yù)設(shè)的用戶組值為100，該值在/etc/default/login.defs中有定義。添加用戶myback，并將他加入sysbackup用戶組。使用命令如下：[root@localhosthome]#useradd-gsysbackupmyback6.2.2修改用戶使用useradd/adduser工具添加用戶帳號后，有時需要對帳號做一些修改操作，如臨時鎖定帳號。其語法格式和常用選項如下：usermod[options]LOGIN

-g,--gidGROUP

更新用戶新的起始登錄用戶組，用戶組名必須在系統(tǒng)中已存在。-L,--lock

鎖定用戶密碼。執(zhí)行該選項后，會在/etc/shadow文件中指定用戶的密碼字段前添加一個字符“!”。-U,--unlock

解鎖用戶密碼。-l,--loginNEW_LOGIN

變更用戶登錄系統(tǒng)的名稱為NEW_LOGIN，用戶的主目錄名也會變?yōu)镹EW_LGOIN，而其它信息不會改變。將系統(tǒng)中的用戶名pubs，修改為pub。使用命令如下：[root@localhosthome]#usermod-lpubpubs鎖定用戶pub，使其不能登錄系統(tǒng)。使用命令如下：[root@localhosthome]#usermod-Lpub解鎖用戶pub，恢復(fù)登錄。使用命令如下：[root@localhosthome]#usermod-Upub6.2.3刪除用戶userdel為刪除指定用戶的命令。其語法格式如下：

userdel[-r]nameuserdel使用很簡單，常用的參數(shù)選項為-r，表示在刪除用戶的同時，將用戶的主目錄及本地郵件存儲的目錄或文件也一并刪除。因此，在刪除用戶時，若要使用-r參數(shù)，請先備份指定用戶主目錄及郵件存儲的目錄或文件內(nèi)容。刪除用戶pub，并將其主目錄及郵件存儲目錄一并刪除。使用命令如下：[root@localhosthome]#userdel-rpub6.2.4設(shè)置密碼添加用戶后，該用戶還暫時不能登錄系統(tǒng)，因為還沒有設(shè)置該用戶登錄系統(tǒng)的密碼。在實際操作時，用戶有時也需要修改自己或其他用戶的密碼，而usermod修改用戶的密碼時，是以明文方式存放。修改或設(shè)置用戶的密碼使用passwd工具。該工具的命令語法格式和常用選項如下：passwd[OPTION][accountName]-l,--lock

鎖定用戶并使用戶無權(quán)更改自己的密碼（但可以使用su命令切換用戶）。該選項僅能通過root權(quán)限來操作。

-l,--lock

鎖定用戶并使用戶無權(quán)更改自己的密碼（但可以使用su命令切換用戶）。該選項僅能通過root權(quán)限來操作。passwd若不帶任何參數(shù)，表示修改或設(shè)置當(dāng)前用戶的密碼。使用useradd添加新用戶后，應(yīng)以root權(quán)限運行passwd來設(shè)置新用戶的密碼。6.2.5設(shè)置用戶信息Linux系統(tǒng)中還提供了一個設(shè)置用戶信息的工具chfn。該工具可以設(shè)置用戶的全名、辦公室電話及地址等。該工具的語法格式如下：chfn[-ffull-name][-ooffice][-poffice-phone][-hhome-phone][-u][-v][username]若chfn不帶任何參數(shù)，則設(shè)置當(dāng)前用戶的信息。在shell提示符下輸入chfn后回車，用戶根據(jù)系統(tǒng)的提示即可設(shè)置當(dāng)前用戶的信息，如用戶的全名、辦公室的地址、辦公室的電話、家庭電話等。6.3用戶組的管理用戶組的管理主要包括用戶組的添加、修改、刪除及用戶組成員的配置等。6.3.1添加用戶組groupadd命令用于添加用戶組帳號。該命令的語法格式選項如下：groupadd[-ggid[-o]][-r][-f]group6.3.2修改用戶組groupmod命令是用來更改用戶組的GID或名稱。該命令的語法格式及常用選項如下：groupmod[-ggid[-o]][-nname]group

-ggid

修改指定用戶組帳號的GID值。GID值不可以為負(fù)值，也不可以與系統(tǒng)中已有的GID值重復(fù)，除非使用-o選項。-nname

更變用戶組的名稱。更改用戶組backup的名稱為backup1，使用命令如下：[root@localhost

home]#groupmod-g515-nbackup1backup

6.3.3刪除用戶組groupdel命令用于刪除指定的用戶組帳號。若該用戶組中有成員，則必須先將該用戶組中的成員使用命令gpasswd從該組中刪除，才能刪除該用戶組。該命令的語法格式如下：groupdelgroup-name刪除系統(tǒng)中的用戶組backup1。使用命令如下：[root@localhosthome]#groupdelbackup16.3.4組成員的維護gpasswd工具可以把用戶添加到用戶組、刪除用戶組成員、設(shè)置用戶密碼等。該命令的語法格式如下：gpasswd[options][user]groupgpasswd的常用選項如下：-a

將用戶添加到用戶組，使之成為用戶組的成員。-d

從用戶組中刪除用戶，即刪除用戶組中的成員。-A

設(shè)置用戶組管理員，使他有權(quán)對該組添加、刪除成員。將pubs用戶加入用戶組backup1。使用命令如下：[root@localhost

home]#gpasswd-apubsbackup1將pubs用戶成為用戶組backup1的組管理員。使用命令如下：[root@localhost

home]#gpasswd-Apubsbackup1設(shè)置用戶組backup1的密碼。使用命令如下：[root@localhost

home]#gpasswdbackup1用戶組密碼的作用是非本用戶組的用戶切換到本用戶組身份時，可以通過密碼保證安全性；如果沒有設(shè)置用戶組的密碼，則只有屬于本用戶組的用戶才能切換到本用戶組的身份。6.4查看用戶及用戶組的信息通過查看用戶和用戶組的配置文件（如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow）可以查看用戶和用戶組的信息。除此之外，用戶還可以通過一些工具來查看用戶和用戶組的信息，如id、whoami和groups