《Linux系統(tǒng)基礎(chǔ)與應(yīng)用實踐》課件第5章 用戶及用戶組管理

軟件包管理05榆林職業(yè)技術(shù)學(xué)院楊浩Linux系統(tǒng)基礎(chǔ)與應(yīng)用實踐1學(xué)習(xí)目標(biāo)1.熟悉用戶信息文件/etc/passwd、影子文件/etc/shadow、組信息文件\etc\group和組密碼文件/etc/gshadow等用戶配置文件的基本內(nèi)容。2.熟練掌握用戶管理命令的基本使用方法。3.熟練掌握useradd和passwd命令對系統(tǒng)其它文件影響。4.熟悉用戶配置文件/etc/default/useradd和/etc/login.defs中參數(shù)的含義。5.熟練掌握用戶組管理命令的基本用法。本章學(xué)習(xí)目標(biāo)25.1用戶配置文件3

源碼包就是通常所說的源代碼包，如腳本安裝包就是源碼包，由于源碼包開放源代碼，所以任何用戶都可以根據(jù)需要修改、優(yōu)化源代碼，也可以自由選擇所需功能。源碼包安裝過程很容易報錯，一旦報錯，就需要通過分析源代碼的方法來解決，由于新手一般不具備必要的Linux知識基礎(chǔ)和編程技巧，所以很難解決。不過，源碼包的卸載非常方便（把安裝目錄刪了即可，不會留下任何垃圾文件），雖然如此，現(xiàn)在也很少使用源碼包了。

二進(jìn)制包是Linux默認(rèn)包，是源碼包經(jīng)過編譯后的可執(zhí)行程序包，即通常所說的RPM（Red-HatPackageManager，red-hat軟件包管理器）包。二進(jìn)制包執(zhí)行速度很快，但是不能對程序進(jìn)行修改。對二進(jìn)制包管理的非常簡單，包的安裝、升級、查詢以及卸載非常方便，只需執(zhí)行幾條命令即可。

小知識：Window軟件都不能在Linux系統(tǒng)上運行，所以基于Window系統(tǒng)的病毒對Linux系統(tǒng)沒有任何威脅，所以所有的基于Window的應(yīng)用，要在Linux上實現(xiàn)，必須專門開發(fā)。/etc/passwd文件記錄了系統(tǒng)中所有用戶的信息，通過編輯該文件可以對用戶進(jìn)行管理。

執(zhí)行如下命令，查看文件內(nèi)容：[root@localhost/]#cat/etc/passwd–n

執(zhí)行結(jié)果如下：1root:x:0:0:root:/root:/bin/bash2bin:x:1:1:bin:/bin:/sbin/nologin

Linux中所有用戶的信息都會記錄到相應(yīng)的配置文件中，系統(tǒng)通過對文件內(nèi)容的查看、配置來實現(xiàn)對用戶或用戶組的管理，所以熟悉用戶配置文件的結(jié)構(gòu)及主要字段的含義非常有助于對用戶和用戶組的管理。45.1.1用戶信息文件/etc/passwd

3daemon:x:2:2:daemon:/sbin:/sbin/nologin4adm:x:3:4:adm:/var/adm:/sbin/nologin……17saslauth:x:499:76:"Saslauthduser":/var/empty/saslauth:/sbin/nologin18postfix:x:89:89::/var/spool/postfix:/sbin/nologin19sshd:x:74:74:Privilege-separatedSSH:/var/empty/sshd:/sbin/nologin20yh:x:500:500::/home/yh:/bin/bash

以上是當(dāng)前Liunx系統(tǒng)中/etc/passwd文件的全部內(nèi)容，每一行記錄一個用戶條目，可以看出當(dāng)前Linux共有20個條目，即20用戶。每個條目由7個字段（屬性）來描述，字段之間用“：”分割。5.1用戶配置文件

下面以第一行為例來介紹各個字段的含義：

第1個字段：用戶名稱，第一行記錄的是root管理員用戶信息。

第2個字段：密碼標(biāo)志。一般都表示為“x”，表示該用戶已經(jīng)設(shè)置了密碼，“x”不能省略，因為省略后，系統(tǒng)會認(rèn)為該用戶沒有密碼，這樣用戶就只能本地登錄，而不能遠(yuǎn)程登錄。這里不會顯示用戶密碼，而是保存在/etc/shadow文件中。

早期的Linux版本中，用戶密碼就放在第二個字段中，但不是明文，而是密文。無論如何，由于每個用戶都對/ect/passwd文件有讀權(quán)限，所以每個用戶都能看到所有用戶的密文密碼，感興趣的用戶就有可能對其他用戶的密文密碼實施暴力破解，為了安全起見，就把用戶加密后的密文存放在了/etc/shadow目錄下，該文件只有root用戶具有操作權(quán)限，其他用戶沒有任何權(quán)限。55.1.1用戶信息文件/etc/passwd

第3個字段：UID（用戶ID）。0：表示超級用戶，1——499：表示系統(tǒng)用戶（偽用戶），500——65535：表示普通用戶。第一行的UID值是“0”，說明root是超級用戶。

例5.1把普通用戶yh更改為超級用戶。

首先，執(zhí)行如下命令，進(jìn)入文件/etc/passwd的編輯模式：[root@localhost/]#vi/etc/passwd

然后，把用戶yh的UID修改為“0”，然后保存退出即可。

第4個字段：GID（用戶初始組ID）。創(chuàng)建新用戶時，系統(tǒng)默認(rèn)將其加入與用戶名相同的用戶組，這個組就是該用戶的初始組，一個用戶只能有一個初始組，為了方便管理，一般不建議修改用戶的初始組。

5.1用戶配置文件

小知識：判斷某個用戶是不是超級用戶，是通過UID來判斷的，也就是說，如果某個用戶的UID是“0”，那他就是超級用戶，而并不是說root就一定是超級用戶。

對特定用戶而言，除了初始組外，還有一個組叫附加組，一個用戶只能有一個初始組，但可以同時加入到多個附加組并擁有相應(yīng)組的權(quán)限。

第5個字段：用戶說明（系統(tǒng)管理員為了方便管理，而為用戶做的備注信息，可以省略）

第6個字段：家目錄（用戶的初始登錄位置，系統(tǒng)管理員在添加新用戶時就自動在/home目錄下添加一個和用戶名相同的目錄，這個目錄就是用戶的家目錄。如用戶root的家目錄是/root/，在第二十行中，普通用戶yh的家目錄是/home/yh/）。

第7個字段：登錄之后的Shell。Shell就是Linux的命令解釋器。超級用戶和普通用戶的Shell通常都是/bin/bash,系統(tǒng)用戶的Shell通常是/sbin/nologin。65.1.1用戶信息文件/etc/passwd

注意，登錄shell為/sbin/nologin的用戶是不能登錄系統(tǒng)的，所以一般不要修改用戶的登錄Shell，一旦修改錯誤，就會導(dǎo)致該用戶不能登錄。

例5.2通過修改文件/etc/passwd，禁止用戶yh登錄。

首先執(zhí)行如下命令，進(jìn)入/etc/passwd文件的編輯模式：[root@localhost/]#vi/etc/passwd

將用戶yh的Shell改為/sbin/nologin后保存退出即可。這時執(zhí)行下面的操作，切換到y(tǒng)h用戶的時候就會報錯。[root@localhost/]#suyh

提示錯誤信息為：Thisaccountiscurrentlynotavailable.

以上是對/etc/passwd文件結(jié)構(gòu)及其字段的簡要介紹，可使用[root@localhost~]#man5passwd命令查閱更多幫助信息。

5.1用戶配置文件

所有用戶的密碼以密文的方式記錄在/etc/shadow文件中，該文件的權(quán)限是“000”，除了超級用戶外，任何用戶不可讀、不可寫、不可執(zhí)行。下面介紹/etc/shadow文件結(jié)構(gòu)和字段含義。

執(zhí)行如下命令，查看文件內(nèi)容：[root@localhost/]#cat/etc/shadow–n

執(zhí)行結(jié)果如下：1root:$6$NRPBdS3442ktbtLp$cW/yDkgwcVpccxJ.VRd2CV43sybdsfCGzP5ZP6VHxx2rlBEWscLOMbblytA5Joe4PM6zwq0S6vR8GRuX02F1v1:17722:0:99999:7:::2bin:*:15980:0:99999:7:::3daemon:*:15980:0:99999:7:::

75.1.2影子文件/etc/shadow……

20yh:$6$J0Nsmwog$Pqm3LG6H7XggKvn8eZmeMa3l/OVe3Ffjq7qKROdj4VDMw9IAX2E4jwbHBB25I5eHFzY67Eym572AJiZFAZLkl0:17724:0:99999:7:::

21yh1:!!:17724:0:99999:7:::

以上是當(dāng)前Linux系統(tǒng)中/etc/shadow文件的全部內(nèi)容，該文件與/etc/passwd文件相對應(yīng)，共有21個條目，每一行記錄一條用戶信息，每條用戶信息由九個字段（屬性）來描述，字段之間用“：”分割：

第一個字段：用戶名，與/etc/passwd文件的第一個字段含義相同。

第二個字段：經(jīng)過加密的用戶密碼（使用SHA512散列加密算法），偽用戶的密碼字段顯示的是“*”或“?。　?，表示不能登錄系統(tǒng)，這也是前述偽用戶不能登錄系統(tǒng)的原因。5.1用戶配置文件

小知識：如果要阻止某個用戶登錄系統(tǒng)，可以將其密碼字段的值修改為“*”或“??！”或以“*”或“?。　遍_頭的字符串。

注意：把密碼串修改為“*”或“??！”或以“*”或“！！”開頭的字符串后，雖然不能再終端登錄，但可以用su命令將當(dāng)前root用戶切換為該用戶。

第三個字段：密碼的最后一次修改日期（Linux系統(tǒng)用時間戳來表示）。注意，該值為1970年1月1日以后的第n天，表示在該天以后的第n天修改的密碼。

第四個字段：兩次密碼修改的最小時間間隔，默認(rèn)值為0，表示在任何時候都可以修改，若為非零數(shù)，則必須在規(guī)定天數(shù)之后才能修改密碼。

例如：若該值為5，則用戶在前次修改密碼的5天之后才能修改密碼。

85.1.2影子文件/etc/shadow

第五個字段：兩次密碼修改的最大時間間隔，過期不修改就會失效，默認(rèn)值是99999天。如果要強制用戶經(jīng)常修改密碼，可以將密碼的有效期設(shè)置為較小的值，這樣密碼即將過期時，系統(tǒng)會提示用戶修改密碼。

第六個字段：密碼到期前的警告天數(shù)，與第五個字段配合使用。

例如：假如某用戶的第五個字段值為90，第六個字段值為10，則系統(tǒng)會在第80天開始提醒用戶修改密碼，而且每次登錄都會提醒。

第七個字段：密碼過期后的寬限天數(shù)，與第五個字段配合使用。如果該值為空或0，表示密碼到期后，立即停止用戶登錄；如果該值為-1，不管第五個字段的值是多少，表示密碼永不過期；如果為其它數(shù)字，表示密碼到期后還可以沿用的天數(shù)。5.1用戶配置文件

第八個字段：賬號失效時間（用基于1970年1月1日的時間戳表示）,該時間戳無視前面的任何字段的值，只要失效時間到，密碼立即失效。

95.1.2影子文件/etc/shadow

第九個字段：保留，用作其它用處。

以上就是對/etc/shadow文件內(nèi)容的有關(guān)介紹，該文件保存了系統(tǒng)中全部用戶的密碼，在系統(tǒng)運維中要謹(jǐn)慎對待。

例5.3假設(shè)某用戶的密碼修改時間為17700，可用如下命令將其轉(zhuǎn)換為對應(yīng)的日期：[root@localhosthome]#date-d"1970-01-0117700days"

執(zhí)行結(jié)果為：2018年06月18日星期一00:00:00CST

可知，時間戳17700對應(yīng)的日期是2018年06月18日星期一。

例5.4要把yh用戶的密碼有效期修改為2019-01-01，可用如下命令將其轉(zhuǎn)換為對應(yīng)的時間戳：[root@localhosthome]#echo$(($(date--date="2019-01-01"+%s)/86400+1))

執(zhí)行結(jié)果為：17897

可知，2019-01-01對應(yīng)的時間戳為17897。5.1用戶配置文件

小知識：日期和時間轉(zhuǎn)換方法：把時間轉(zhuǎn)換為日期：如1970年1月1日后的18000天是哪一天：可以通過執(zhí)行如下命令獲得對于的日期：date–d“1970-01-0118000days”把日期轉(zhuǎn)換為時間戳：如把2018年4月13日轉(zhuǎn)換為時間戳是多少（1天=86400秒），可以用如下命令獲得：echo$(($(date-–date=”2018-03-13”+%s)/86400+1))

注意：“+%s”前必須有空格。

第八個字段：賬號失效時間（用基于1970年1月1日的時間戳表示）,該時間戳無視前面的任何字段的值，只要失效時間到，密碼立即失效。

105.1.2影子文件/etc/shadow

第九個字段：保留，用作其它用處。

以上就是對/etc/shadow文件內(nèi)容的有關(guān)介紹，該文件保存了系統(tǒng)中全部用戶的密碼，在系統(tǒng)運維中要謹(jǐn)慎對待。

例5.3假設(shè)某用戶的密碼修改時間為17700，可用如下命令將其轉(zhuǎn)換為對應(yīng)的日期：[root@localhosthome]#date-d"1970-01-0117700days"

執(zhí)行結(jié)果為：2018年06月18日星期一00:00:00CST

可知，時間戳17700對應(yīng)的日期是2018年06月18日星期一。

例5.4要把yh用戶的密碼有效期修改為2019-01-01，可用如下命令將其轉(zhuǎn)換為對應(yīng)的時間戳：[root@localhosthome]#echo$(($(date--date="2019-01-01"+%s)/86400+1))

執(zhí)行結(jié)果為：17897

可知，2019-01-01對應(yīng)的時間戳為17897。5.1用戶配置文件

小知識：日期和時間轉(zhuǎn)換方法：把時間轉(zhuǎn)換為日期：如1970年1月1日后的18000天是哪一天：可以通過執(zhí)行如下命令獲得對于的日期：date–d“1970-01-0118000days”把日期轉(zhuǎn)換為時間戳：如把2018年4月13日轉(zhuǎn)換為時間戳是多少（1天=86400秒），可以用如下命令獲得：echo$(($(date-–date=”2018-03-13”+%s)/86400+1))

注意：“+%s”前必須有空格。1．組信息文件/etc/group

類似于/etc/passwd文件記錄了當(dāng)前Linux系統(tǒng)的所有用戶信息，/etc/group文件記錄了當(dāng)前Linux系統(tǒng)的所有用戶組的信息，系統(tǒng)每新增一個用戶，同時就創(chuàng)建一個與該用戶同名的用戶組，作為該用戶的初始組，并把新增的用戶組記錄到該文件中。

下面介紹/etc/group文件結(jié)構(gòu)及其字段（屬性）含義：

執(zhí)行如下命令，查看/etc/group文件內(nèi)容：[root@localhost/]#cat-n/etc/group115.1.3組信息文件/etc/group和組密碼文件/etc/gshadow執(zhí)行結(jié)果如下：1root:x:0:2bin:x:1:bin,daemon

3daemon:x:2:bin,daemon4sys:x:3:bin,adm5adm:x:4:adm,daemon6tty:x:5:7disk:x:6:8lp:x:7:daemon9mem:x:8:……

35yh:x:500:

36yh1:x:501:5.1用戶配置文件

可知，當(dāng)前Linux系統(tǒng)共有36個用戶組，每個組由四個字段來描述，各字段的含義如下：

第一個字段：組名。類似于/etc/passwd中的用戶名。

第二個字段：組密碼標(biāo)志，類似用戶密碼標(biāo)志方法，但一般都不設(shè)置組密碼。

第三個字段：組號（GID），類似用戶ID（UID）的分類方法，如GID為0，表示root用戶組，等等。

第四個字段：組中附加用戶。如在第三個用戶組中有兩個附件用戶，分別是bin,daemon。125.1.3組信息文件/etc/group和組密碼文件/etc/gshadow2．組密碼文件/etc/gshadow

該文件是用來記錄系統(tǒng)中各用戶組的密碼的，但是一般情況下不會給用戶組設(shè)置密碼，所以該文件在實際中用處很少，這里不再多講。該文件的每個條目記錄一個用戶組密碼，由四個字段組成，各字段含義如下所述。

第一個字段：組名

第二個字段：組密碼

第三個字段：組管理員用戶名

第四個字段：組中附加用戶5.1用戶配置文件

用戶家目錄就是用戶登錄的初始位置，用戶在自己的家目錄下默認(rèn)具有讀、寫和執(zhí)行所有權(quán)限。普通用戶和超級用戶的家目錄不同，普通用戶的家目錄是/home/用戶名/，該目錄在添加該用戶的時候自動建立，該用戶就是該目錄的所有者，該目錄的所屬組就是與用戶同名的用戶組，即該用戶的初始組，用戶對該目錄的操作權(quán)限是700。

例5.5可用如下命令將當(dāng)前用戶切換為yh普通用戶，然后查看該用戶家目錄的相關(guān)信息：[root@localhost~]#suyh[yh@localhostroot]$cd/home[yh@localhosthome]$ls-ldyh135.2.1用戶家目錄

執(zhí)行結(jié)果如下：drwx------.2yhyh40967月1307:11yh

可以看出，用戶yh對家目錄yh具有rwx權(quán)限，用戶組和其他用戶對該目錄沒有任何權(quán)限，該目錄所屬的用戶組是yh，即用戶yh的初始組。

超級用戶的家目錄是/root/，該目錄的所有者和所屬用戶組分別是與其同名的root用戶和root用戶組。該目錄的權(quán)限是550，但是，該權(quán)限對root沒有任何作用，不管文件權(quán)限設(shè)置為何值，對超級用戶root沒有任何作用，超級用戶永遠(yuǎn)具有所有權(quán)限。5.2用戶其它文件

例5.6可用如下命令以長格式方式顯示超級用戶root家目錄的相關(guān)信息：[root@localhost~]#cd..[root@localhost/]#ls-ld/root

執(zhí)行結(jié)果如下：dr-xr-x---.2rootroot40967月1210:19/root

可知，超級用戶家目錄/root的權(quán)限是550，所有者是root用戶，所屬組是root用戶組。145.2.1用戶家目錄

例5.7把普通用戶yh更改為為超級用戶后，其家目錄有什么變化?

分析：由前所述，只要把普通用戶yh的用戶ID改為0，即可使其變成超級用戶（通過vim/etc/passwd命令修改UID）。

完成上述修改后，我們執(zhí)行如下命令觀察發(fā)生的變化：[root@localhosthome]#suyh[root@localhosthome]#ls-ldyh#雖然切換成了yh用戶，但顯示的是root用戶

顯示結(jié)果為：drwx------.2500yh40967月1307:11yh#第三個字段不在顯示所有者的用戶名，而是顯示的用戶yh的UID5.2用戶其它文件[root@localhosthome]#suroot[root@localhosthome]#suyh#yh用戶和root用戶之間相互切換時，不再要求輸入相應(yīng)密碼[root@localhosthome]#who#雖然切換成了yh用戶，但查看當(dāng)前登錄用戶時，顯示的都是root用戶登錄

執(zhí)行結(jié)果：roottty12018-07-1010:06rootpts/02018-07-1010:32(192.168.250.2)155.2.1用戶家目錄

再以yh用戶身份遠(yuǎn)程登錄系統(tǒng)：[root@localhost~]#pwd#同樣發(fā)現(xiàn)命令提示符是超級用戶命令提示符“#”，而不是普通用戶命令提示符“$”

執(zhí)行結(jié)果：/home/yh#yh用戶的家目錄依然是/home/yh

可見，將普通用戶yh的UID修改為超級用戶的UID后，只是將其的權(quán)限修改為了超級用戶root的權(quán)限，其家目錄沒變，仍然是/home/yh。5.2用戶其它文件

每個用戶都有一個郵箱，在創(chuàng)建用戶時自動創(chuàng)建，該郵箱只是用戶的客戶端，要轉(zhuǎn)發(fā)郵件，需要借助郵件服務(wù)器。用戶郵箱通常為：/var/spool/mail/用戶名（注意：這是郵箱文件，而不是目錄）。

例5.8當(dāng)前系統(tǒng)中有哪些用戶郵箱？這些郵箱文件的所屬組是什么？

執(zhí)行如下命令顯示郵箱列表：[root@localhost/]#ls-l/var/spool/mail/165.2.2用戶的郵箱執(zhí)行結(jié)果為：-rw-------.1rootmail6017月1323:44root-rw-rw----.1yhmail5957月1323:30yh-rw-rw----.1yh1mail07月1222:42yh1

可見，當(dāng)前系統(tǒng)中有root、yh和yh1三個用戶郵箱，它們都屬于普通文件類型，它們的所屬組都是mail，其中root用戶和yh用戶郵箱中有郵件（郵箱大小不為0），用mail命令可以查看自己郵箱中的郵件。5.2用戶其它文件

保存用戶模板文檔的目錄為/etc/skel，其中保存了.bash_logout，.bash_profile，.bashrc等文檔模板。當(dāng)創(chuàng)建新用戶的時候自動從/ect/skel目錄中拷貝該目錄下所有的文檔模板到用戶的家目錄。175.2.3用戶模板目錄

例5.9可用如下命令查看yh用戶家目錄下的所有文檔模板：[root@localhostskel]#ls-la/home/yh/.*

執(zhí)行結(jié)果為：-rw-------.1yhyh37月1307:11/home/yh/.bash_history-rw-r--r--.1yhyh187月182013/home/yh/.bash_logout-rw-r--r--.1yhyh1767月182013/home/yh/.bash_profile-rw-r--r--.1yhyh1247月182013/home/yh/.bashrc

可見，用戶yh家目錄下有四個文件模板。5.2用戶其它文件

小知識：如果用戶有特殊需求，需要在創(chuàng)建用戶的時候自動添加特定的文檔模板，可以先在/etc/skel目錄下創(chuàng)建相應(yīng)的文件模板，那么在新增用戶時就會自動將該文件模板復(fù)制到新用戶的家目錄下。useradd命令的完整目錄是/usr/sbin/，只有超級用戶才有權(quán)限執(zhí)行該命令，其功能是新增一個用戶。

命令格式：[root@localhost~]#useradd[選項]用戶名185.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd

選項說明：-u手工指定用戶的UID，默認(rèn)是500——65535之間的數(shù)，-d手工指定用戶的家目錄，默認(rèn)家目錄是/home/用戶名/-c手工指定用戶的說明信息-g手工指定用戶的初始組，默認(rèn)初始組是創(chuàng)建該用戶時，自動創(chuàng)建的與用戶名同名的用戶組。-G手工指定用戶的附加組-s手工指定用戶的登錄shell，默認(rèn)是/bin/bash

在實際創(chuàng)建新用戶的過程中，我們一般不使用這些選項，而是使用系統(tǒng)缺省設(shè)置。5.3用戶管理命令1．創(chuàng)建新用戶命令useradd

passwd命令的完整路徑是/usr/bin，任何用戶都可以使用該命令，普通用戶只能修改自己的密碼，而超級用戶可以修改所有用戶的密碼，設(shè)置密碼要符合密碼規(guī)則，但root用戶具有最高權(quán)限，可以不受密碼規(guī)則制約，但普通用設(shè)置密碼必須遵守密碼規(guī)則，否則不能成功設(shè)置密碼。新增用戶后必須要為其設(shè)置密碼，否則該用戶不能登錄系統(tǒng)。

命令格式：[root@localhost~]#passwd[選項]用戶名195.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd

常用選項說明：無選項

設(shè)置用戶密碼。-d刪除用戶密碼，只有超級用戶才能使用。-S查詢用戶密碼的密碼狀態(tài)。只有超級用戶才能使用。-l暫時鎖定用戶。只有超級用戶才能使用。-u解鎖用戶。只有超級用戶才能使用。

--stdin可以接收管道輸出作為用戶密碼，一般用來批量修改用戶密碼。5.3用戶管理命令2．設(shè)置用戶密碼passwd

例5.10可用如下命令創(chuàng)建新用戶yhao并為其設(shè)置密碼：[root@localhosthome]#useraddyhao[root@localhosthome]#passwdyhao

接下來系統(tǒng)會提示用戶為yhao輸入新密碼并重新輸入以確認(rèn)，如果密碼過于簡單，不遵守密碼規(guī)則，會向用戶提示密碼過于簡單等消息，但由于是root用戶執(zhí)行修改密碼操作，所以可以強制修改。205.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd

例5.11下列命令演示了將當(dāng)前登錄用戶切換到y(tǒng)hao后的密碼修改過程：[root@localhosthome]#suyhao#切換到y(tǒng)hao用戶[yhao@localhosthome]$passwdyhaopasswd：只有根用戶才能指定用戶名稱。

#系統(tǒng)提示：錯誤命令格式[yhao@localhosthome]$passwd接下來是交互式設(shè)置密碼的過程：……

最后，由于用戶沒有嚴(yán)格遵守密碼規(guī)則，多次重復(fù)超過服務(wù)器設(shè)置的最多重試次數(shù)，所以密碼設(shè)置失敗。所以普通用戶設(shè)置密碼要嚴(yán)格遵守密碼規(guī)則。5.3用戶管理命令2．設(shè)置用戶密碼passwd

小知識：普通用戶修改密碼和root修改密碼格式不同，只要執(zhí)行“[root@localhost~]#passwd”（注意：passwd后不跟任何參數(shù)）命令，然后按提示分別輸入舊密碼、新密碼、重新輸入密碼即可。

例5.12

可用如下命令顯示用戶yhao的密碼信息：[yhao@localhosthome]$suroot#切換到root用戶，只有root用戶才能執(zhí)行該命令[root@localhosthome]#passwd-Syhao

執(zhí)行結(jié)果如下：yhaoPS2018-07-140999997-1(密碼已設(shè)置，使用SHA512加密。)215.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd

本例中，顯示結(jié)果由7個字段來描述，并且最后括號中做了進(jìn)一步的說明。第一個字段用來指定用戶名，第二個字段用來顯示密碼狀態(tài)（“PS”表示已設(shè)置密碼，“LK”表示密碼鎖定，“NP”表示無密碼），第三個字段顯示上次修改密碼的日期，第四個字段顯示兩次密碼修改的最小時間間隔，第五個字段顯示密碼有效期，第六個字段表示密碼到期前的警告天數(shù)，第七個字段表示密碼失效時間。5.3用戶管理命令2．設(shè)置用戶密碼passwd

例5.13可用如下命令鎖定用戶yhao：[root@localhosthome]#passwd-lyhao#鎖定用戶

執(zhí)行結(jié)果如下：鎖定用戶yhao的密碼。passwd:操作成功[root@localhosthome]#passwd-Syhao#顯示密碼狀態(tài)執(zhí)行結(jié)果如下：yhaoLK2018-07-140999997-1(密碼已被鎖定。)225.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd

其中，第二個字段值為“LK”，說明密碼已被鎖定。執(zhí)行如下命令，即可查看密碼密文：[root@localhosthome]#grepyhao/etc/shadow

執(zhí)行結(jié)果為：yhao:!!$6$oj6m82Sc$PmyUXnJ69pJT1QudCFOgllNv/8JCuK3UfitYr8d2fFdwHaJBW/nEvKAe9wQMdMBqYPpS1zn7zIW37wki5yb9O/:17726:0:99999:7:::

原來鎖定yhao用戶，實質(zhì)上就是在shadow文件中，將用戶名為yhao的密文密碼前添加了“！！”，所以也可以用vim編輯器來修改/etc/shadow文件的相應(yīng)用戶的密文密碼，來實現(xiàn)用戶鎖定或解鎖。5.3用戶管理命令2．設(shè)置用戶密碼passwd

例5.14可用如下命令解鎖用戶yhao：[root@localhosthome]#passwd-uyhao#解鎖yhao

執(zhí)行結(jié)果如下：解鎖用戶yhao的密碼。passwd:操作成功[root@localhosthome]#passwd-Syhao#顯示密碼狀態(tài)235.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd

執(zhí)行結(jié)果如下：yhaoPS2018-07-140999997-1(密碼已設(shè)置，使用SHA512加密。)

執(zhí)行如下命令：[root@localhosthome]#grepyhao/etc/shadow

執(zhí)行結(jié)果如下：yhao:$6$oj6m82Sc$PmyUXnJ69pJT1QudCFOgllNv/8JCuK3UfitYr8d2fFdwHaJBW/nEvKAe9wQMdMBqYPpS1zn7zIW37wki5yb9O/:17726:0:99999:7:::

可以看出密文前的“！！”消失了。5.3用戶管理命令2．設(shè)置用戶密碼passwd

例5.15

可用如下命令刪除用戶yhao的密碼：[root@localhosthome]#passwd-dyhao#刪除密碼

執(zhí)行結(jié)果如下：清除用戶的密碼yhao。passwd:操作成功[root@localhosthome]#passwd-Syhao#顯示密碼狀態(tài)245.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd

執(zhí)行結(jié)果如下：yhaoNP2018-07-140999997-1(密碼為空。)

第二個字段值為“NP”，表示密碼為空。

執(zhí)行如下命令：[root@localhosthome]#grepyhao/etc/shadow

顯示結(jié)果如下：yhao::17726:0:99999:7:::

可以看出影子文件/etc/shadow的密文位為空，說明密碼被清空了。5.3用戶管理命令2．設(shè)置用戶密碼passwd

例5.16

某信息服務(wù)提供商要定期對服務(wù)器的root密碼進(jìn)行修改，但是服務(wù)器數(shù)量龐大，手工修改需要浪費很多時間和精力，請設(shè)計一條命令，將這條命令作為每臺服務(wù)器的定時任務(wù)，以自動完成服務(wù)器密碼定時修改任務(wù)。255.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd

分析：passwd的命令選項“--stdin”（注意：是兩個“-”），可以接收管道輸出，所以利用管道命令可以設(shè)計這樣一條命令：“echo新密碼|passwdroot--stdin”

然后把該命令寫入shell程序文件，讓服務(wù)器定期執(zhí)行該程序即可。該命令也可以交互執(zhí)行。

例如：[root@localhosthome]#echo123456|passwd--stdinroot

執(zhí)行結(jié)果為：更改用戶root的密碼。passwd：所有的身份驗證令牌已經(jīng)成功更新。

這樣就把root的密碼修改為“123456”了。5.3用戶管理命令2．設(shè)置用戶密碼passwd

在創(chuàng)建新用戶的同時，系統(tǒng)會自動執(zhí)行以下操作：（1）在/etc/passwd文件中新增一個條目記錄新增的用戶信息（修改用戶密碼也會影響該文件）；（2）在/etc/shadow文件中新增一個條目記錄新增用戶的密碼信息（修改用戶密碼也會影響該文件）；（3）同時創(chuàng)建與用戶同名的用戶組，作為該用戶的初始組，并在/etc/group文件中新增一個條目來記錄該組的信息；265.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd（4）在/etc/gshadow文件中新增一個條目，記錄新建組（初始組）的密碼信息；（5）自動創(chuàng)建用戶家目錄/home/用戶名；（6）將/etc/skel目錄下的模板文檔自動復(fù)制到用戶家目錄；（7）自動建立與用戶同名的用戶郵箱/var/spool/mail/用戶名（如果啟用）；

系統(tǒng)在執(zhí)行上述7個操作時，需要一些默認(rèn)設(shè)置作為參數(shù)值，這些默認(rèn)值記錄在/etc/default/useradd文件和/etc/login.edfs文件中。5.3用戶管理命令2．用戶配置文件/etc/default/useradd和/etc/login.edfs可用vim命令編輯/etc/default/useradd，下面查看該文件的內(nèi)容：[root@localhostskel]#cat/etc/default/useradd執(zhí)行結(jié)果如下：GROUP=100HOME=/homeINACTIVE=-1EXPIRE=SHELL=/bin/bashSKEL=/etc/skelCREATE_MAIL_SPOOL=yes275.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd5.3用戶管理命令2．用戶配置文件/etc/default/useradd和/etc/login.edfs表5.1/etc/default/useradd文件各參數(shù)默認(rèn)值及含義參數(shù)默認(rèn)值含義GROUP100用戶默認(rèn)組，GID為100的組是users用戶組，由系統(tǒng)自動生成，只有這個組存在時才能執(zhí)行改名操作。如果把users組刪除，在執(zhí)行useradd命令時就會發(fā)出類似“users：x：100：”不存在的錯誤提示。如果把該值改為其他用戶組的UID，也是可以的，但必須保證該用戶組是存在的。HOME/home普通用戶的家目錄位置，新建用戶時，由此獲得用戶的默認(rèn)家目錄INACTIVE-1密碼過期寬限天數(shù)（與影子文件/etc/shadow中的第7個字段相對應(yīng)），“-1”表示密碼永不過期EXPIRE

密碼失效時間（與影子文件/etc/shadow中的第8個字段相對應(yīng)），缺省值為不啟用該設(shè)置SHELL/bin/bash默認(rèn)shell（與文件/etc/passwd中的第7個字段相對應(yīng)）SKEL/etc/skel用戶模板文件存放目錄，新建用戶時，從這里復(fù)制模板文件到用戶家目錄CREATE_MAKL_SPOOLyes是否在創(chuàng)建用戶的同時，為用戶創(chuàng)建郵箱。可以用vim命令編輯/etc/login.edfs文件，下面查看該文件的內(nèi)容：[root@localhosthome]#grep^[^#]/etc/login.defs

執(zhí)行結(jié)果如下：（正則表達(dá)式“^[^#]”，過濾掉了注釋行）MAIL_DIR/var/spool/mailPASS_MAX_DAYS99999PASS_MIN_DAYS0PASS_MIN_LEN5PASS_WARN_AGE7UID_MIN500285.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd5.3用戶管理命令2．用戶配置文件/etc/default/useradd和/etc/login.edfsUID_MAX60000GID_MIN500GID_MAX60000CREATE_HOMEyesUMASK077USERGROUPS_ENAByesENCRYPT_METHODSHA512295.3.1創(chuàng)建新用戶命令useradd和密碼設(shè)置命令passwd5.3用戶管理命令2．用戶配置文件/etc/default/useradd和/etc/login.edfs

可見，可以通過修改/etc/default/useradd和/etc/login.defs兩個用戶配置文件，可以影響useradd和passwd兩個命令的執(zhí)行結(jié)果，進(jìn)而影響到/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow等四個文件的內(nèi)容。表5.2/etc/login.defs文件各參數(shù)默認(rèn)值及含義參數(shù)默認(rèn)值說明MAIL_DIR/var/spool/mail創(chuàng)建新用戶的同時為其創(chuàng)建的郵箱的位置PASS_MAX_DAYS99999密碼有效期（與影子文件/etc/shadow中的第5個字段相對應(yīng)）PASS_MIN_DAYS0密碼修改間隔（與影子文件/etc/shadow中的第4個字段相對應(yīng)）PASS_MIN_len5密碼最小5位（注意現(xiàn)在按PAM規(guī)則執(zhí)行8位密碼）PASS_WARN_AGE7密碼到期警告（與影子文件/etc/shadow中的第6個字段相對應(yīng)）UID_MIN500普通用戶最小ID，新建用戶時使用UID_MAX60000普通用戶最大ID，新建用戶時使用GID_MIN500普通用戶組最小IDGID_MAX60000普通用戶組最大IDGREATE_HOMEYES是否創(chuàng)建用戶家目錄UMASK077默認(rèn)用戶權(quán)限掩碼USERGROUPS_ENAByes是否使用MD5加密ENCRYPT_METHODSHA512加密算法為SHA512，為用戶設(shè)置密碼時使用，按該算法加密后放入/etc/shadow文件中305.3.2刪除用戶命令userdel5.3用戶管理命令usermod的完整路徑是/usr/sbin，只有root用戶才有權(quán)限執(zhí)行，其功能是修改用戶賬號、登錄目錄\所屬群組、賬號有效時間等屬性。命令格式：[root@localhost~]#usermod[選項]用戶名

命令userdel的完整路徑/usr/sbin，只有root用戶有權(quán)限執(zhí)行，其功能是刪除指定用戶。

命令格式：[root@localhost~]#userdel[選項]用戶名

選項說明：-f強制刪除用戶，即使用戶當(dāng)前已登錄系統(tǒng)。-r刪除用戶的同時刪除與用戶相關(guān)的所有文件（家目錄及其中的文件）

例5.17可用如下命令刪除用戶aa及其家目錄（包括家目錄中的所有文件），而不管用戶aa是否登錄系統(tǒng)：[root@localhosthome]#userdel-fraa5.3.3修改用戶信息命令usermod和修改用戶密碼狀態(tài)命令chage1．修改用戶信息命令usermod315.3用戶管理命令-l修改用戶帳號名稱，對應(yīng)于/etc/passwd中的第五個字段。-L鎖定用戶密碼，使密碼無效。此時被鎖定用戶不能遠(yuǎn)程登錄，但可以從其他登錄用戶切換到該用戶。-s修改用戶登入后所使用的shell，對應(yīng)于/etc/passwd中的第七個字段。-u修改用戶ID，對應(yīng)于/etc/passwd中的第三個字段。-U解除密碼鎖定。

其實，usermod命令的執(zhí)行就是對/etc/passwd、/etc/shadow、/etc/group或/etc/gshadow等文件中的對應(yīng)條目中的相應(yīng)字段值的修改，其效果跟直接修改/etc/passwd、/etc/shadow、/etc/group或/etc/gshadow等文件中的對應(yīng)條目中的相應(yīng)字段值相同。選項說明-c修改用戶帳號的備注文字，對應(yīng)于/etc/passwd中的第一個字段。-d修改用戶登錄時的目錄，對應(yīng)于/etc/passwd中的第六個字段。-e修改帳號的有效期限，對應(yīng)于/etc/shadow中的第五個字段。-f修改在密碼過期后的寬限天數(shù)，對應(yīng)于/etc/shadow中的第七個字段。-g修改用戶初始組，對應(yīng)于/etc/passwd中的第四個字段。

-G修改用戶所屬的附加群組，對應(yīng)于/etc/group中的第四個字段。1．修改用戶信息命令usermod325.3用戶管理命令-I修改密碼過期后寬限天數(shù)，對應(yīng)于/etc/shadow中第七個字段。-E賬號失效時間，對應(yīng)于/etc/shadow中第八個字段。chage命令的執(zhí)行就是對/etc/shadow文件中相應(yīng)條目中字段值的修改。usermod和chage命令主要用于用于shell編程使用，在交互模式下，使用vim編輯器對/etc/passwd、/etc/shadow等文件進(jìn)行修改更直觀。

例5.18可用如下命令顯示用戶yhao的詳細(xì)密碼信息：[root@localhosthome]#chage-lyhaochage命令修改/etc/shadow文件中的相應(yīng)內(nèi)容。

命令格式:[root@localhost~]#chage[選項]用戶名

選項說明：-l列出用戶的詳細(xì)密碼狀態(tài)，其實就是詳細(xì)列出了指定用戶在/etc/shadow中的記錄。-d修改密碼最后一次更改日期，對應(yīng)于/etc/shadow中第三個字段。-m修改兩次秘密修改間隔，對應(yīng)于/etc/shadow中第四個字段。-M修改密碼有效期，對應(yīng)于/etc/shadow中第無個字段。-w修改密碼過期警告天數(shù)，對應(yīng)于/etc/shadow中第六個字段。2．修改用戶密碼狀態(tài)命令chage335.3用戶管理命令分析執(zhí)行結(jié)果：Lastpasswordchange：表示密碼最后一次修改日期；

Passwordexpires：密碼到期日期；Passwordinactive：密碼失效日期；Accountexpires：賬號到期日期：

Minimumnumberofdaysbetweenpasswordchange：兩次修改密碼的最小；Maximumnumberofdaysbetweenpasswordchange：密碼保持有效的最大天數(shù)；Numberofdaysofwarningbeforepasswordexpires密碼到期前的警告天數(shù)。

舉例說明Passwordexpires（密碼到期日期）、Passwordinactive（密碼失效日期）和Accountexpires（賬號到期日期）三者之間的關(guān)系如下：執(zhí)行結(jié)果如下Lastpasswordchange:Jul14,2018Passwordexpires:neverPasswordinactive:neverAccountexpires:neverMinimumnumberofdaysbetweenpasswordchange:0Maximumnumberofdaysbetweenpasswordchange:99999Numberofdaysofwarningbeforepasswordexpires:72．