Linux用户和组管理，添加修改用户，添加修改组，加入组，移除组

1.安全介绍3A

Authentication: 认证，用户名和对应口令

Authorization: 授权，不同用户权限不同

Accouting/Audition: 审计

2. 所属者和所属组

user: 用户

用户标识: UserID, UID(16bits二进制，0-65535)

管理员： root, UID=0

普通用户: 1-65535(又分系统用户和登陆用户两种)

系统用户: 1-499(centos6), 1-999(centos7)由系统保留，作为管理账号，对守护进程获取资源进行权限分配；

登陆用户：500-60000(centos6), 1000-60000(centos7)

名称转换： username<>UID,通过/etc/passwd

group: 组

组标识: groupid, gid

管理员组: root, UID=0

用户主要组(主组)：

• 用户必须属于一个且只有一个主组(基本组)；
• 基本组名同用户名，且仅包含一个用户，也叫私有组(即，新建的用户，也会新建要给组，但组里只有用户自己)

用户的附加组： secondary group

基本组以外的组属于用户的附加族。

注意：

• 一个用户只有一个主组，但可以属于0或者多个附加组。
• 一般第一个为用户的主组，后面是附加组。
• 系统识别用户不是看用户名，而是id编号。

---

配置文件

1. 主要配置文件

/etc/passwd: 用户及其属性信息(名称，UID,主组ID)

/etc/shadow: 用户密码及相关属性。

/etc/group: 组及其属性信息。

/etc/gshadow: 组密码及相关属性。

2. /etc/passwd

格式：

name:password:UID:GID:GECOS:directory:shell

/etc/passwd 由“：”分割成7段，每个字段含义如下：

①login name：

登录用户名（wang）

②passwd：

密码，口令(x) 现在放在 /etc/shadow 如果要想回到之前的状态用（命令 pwunconv）但是这样的话/etc/shadow文件就没有了，恢复使用（命令 pwconv）

③UID：

用户身份编号 管理员：0，系统默认为root，但是可以修改。普通用户：500+；1000+

④GID：

组标识号登录默认所在组编号(1000)

⑤GECOS：

用户全名或注释；

用命令chfn 可以修改注释信息；

用命令 finger 可以更加详细的查看修改和用户信息；

⑥home directory：

用户主目录(/home/wang)

root 的家目录是/root ,普通用户的家目录则为/home/username,用户家目录可以自己定义。

⑦shell：

用户默认使用shell (/bin/bash)

用 chsh命令 可以直接修改用户的shell

示例

[root@localhost home]# getent passwd ryan
ryan:x:500:500:centos6:/home/ryan:/bin/bash
[root@localhost home]#
[root@localhost home]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync

3. /etc/shadow

/etc/shadow和/etc/passwd类似，由":"分割成9段，只有管理员可以查看。

1.登陆用户名；2.用户密码，一般sha512加密； 3.从1970.1.1起，密码最近一次被更改的时间； 4.密码再过多少天就可以被更改，默认0，即不受限制； 5.密码多少天后过期，默认99999表示永远不用； 6.密码过期前几天提醒用户，默认一周； 7.密码过期几天后被锁定； 8.生命周期，从1970.1.1之后，多少天后账号失效； 9.没有意义，保留。

示例

[root@localhost home]# getent shadow ryan
ryan:$1$w7vV7KvG$kaxEMBMaLna7Iaf59NCQl1:17670:0:99999:7:::
[root@localhost home]#
[root@localhost home]# cat /etc/shadow
root:$1$w7vV7KvG$kaxEMBMaLna7Iaf59NCQl1:17670:0:99999:7:::
bin:*:15980:0:99999:7:::
daemon:*:15980:0:99999:7:::
adm:*:15980:0:99999:7:::
lp:*:15980:0:99999:7:::
sync:*:15980:0:99999:7:::

4. /etc/group组

1.组群名称； 2.组群密码，通常不设定，密码记录在/etc/gshadow; 3. GID. 组id； 4. 以当前组为附加组的用户列表。

示例

[root@localhost home]# getent group ryan
ryan:x:500:
[root@localhost home]# cat /etc/group
root:x:0:
bin:x:1:bin,daemon
daemon:x:2:bin,daemon
sys:x:3:bin,adm
adm:x:4:adm,daemon
tty:x:5:
disk:x:6:
lp:x:7:daemon

5. /etc/gshadow

1.群组名称； 2.群组密码，一般不设置，如果设置了，普通用户知道口令后可以直接加进来，不设置反而安全； 3. 组管理员列表； 4.以当前组为附加组的用户列表；

示例

[root@localhost home]# cat /etc/gshadow
root:::
bin:::bin,daemon
daemon:::bin,daemon
sys:::bin,adm
adm:::adm,daemon
tty:::
disk:::
lp:::daemon
mem:::
kmem:::
wheel:::
mail:::mail,postfix

添加用户和删除用户user

创建用户

useradd username

-g groupname: 指定用户的基本组(事先存在), 没指定则使用与用户名相同的组名；

-G group1,group2: 指定用户所属的附加组，要事先存在；

-c "comment": 注释信息；

-d HOME_DIR: 家目录；

-s SHELL: 指定用户默认的shell，可用的所有shell列表在/etc/shells中；

useradd -D显示默认配置。

创建/修改密码

passwd username

修改自己密码passwd

usermod, userdel用户属性修改和删除用户

修改

usermod username

-u UID: 修改用户id为新的；

-g GID: 修改用户基本组为新的;

-G group1, group2: 修改用户附加组，原来的被覆盖；

删除

userdel username

-r: 删除用户时，一起删除家目录

添加组和删除组group

创建组

groupadd groupname

修改组

groupmod -n new_name： 修改组名

删除组

groupdel groupname

更改查看组成员

groupmems -g groupname [action]

-a,--add username: 指定用户加入组；

-d,--delete username: 从组中删除用户；

-p,--purge :从组中清除所有成员；

-l,--list: 显示组成员列表;

groups查看当前用户所在全部组。

参考

• http://blog.51cto.com/1992tao/1834120