Linux 笔记 - 第五章 Linux 用户与用户组管理

博客地址：http://www.moonxy.com

Linux 是一个多用户的操作系统，在日常的使用中，从安全角度考虑，应该尽量避免直接使用 root 用户登录，而使用普通用户。

1. 关于用户 user 的两个重要的文件： /etc/passwd（存储用户信息） 和 /etc/shadow（存储用户对应的密码信息）

[root@ryan ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
……

/etc/passwd 由 ":" 分割成7个字段：

第一个字段是用户名。

第二个字段是密码的占位符"x"。

第三个字段是用户标识号，也被称为 uid，系统通过这个数字来识别用户身份，此处的"0"就是root，是超级用户的标识号，1~499由系统保留，作为管理账号，普通用户的标识号从500开始，自己定义的普通用户，标识号都是大于或等于500的。

第四个字段是组标识号，也被称为 gid，对应着 /etc/passwd 中的一条记录。

第五个字段是注释说明，没有实际意义。

第六个字段是用户的家目录，root 的家目录是 /root，普通用户的家目录是 /home/[username]，也可以自定义用户家目录。

第七个字段是用户的 shell，用户登录后需要启动一个进程，用来将用户输入的命令传送给系统内核，这就是 shell，RedHad/CentOS 的 shell 默认是bash。若想要更改系统创建用户时的默认shell，可以在修改此文件中 /etc/default/useradd 中 SHELL 一行，比如：SHELL=/bin/bash，修改此处。

/etc/shadow 由 ":" 分割成9个字段：

root:$6$zmDSSdDBtTzEFjX1$U65Mlsw17RNnZ06UTtySSvOk725oFk7JEnWj3PjPZdnnVVKlDTYSD34ggqwFp.53E9MoAvfZlsr6DahX6jPsN0:17481:0:99999:7:::
bin:*:15980:0:99999:7:::
daemon:*:15980:0:99999:7:::
adm:*:15980:0:99999:7:::
lp:*:15980:0:99999:7:::
sync:*:15980:0:99999:7:::
shutdown:*:15980:0:99999:7:::
……

第一个字段是用户名，与 /etc/passwd 对应。

第二个字段是用户密码，并且已经加密，如果该用户没有设置密码时，此处将显示两个感叹号"!!"。

第三个字段是上次更改密码的日期，单位为天，从1970年1月1日起到上次更改密码的日期之差，计算天数得到。

第四个字段是要过多少天才可以更改密码，默认是 0，表示不受限制。

第五个字段是密码多少天后到期，即在多少天内必须更改密码，默认是99999，可以理解为不受限制。

第六个字段是密码到期前的警告期限。

第七个字段是账号失效期限，失效后账号会被锁定。

第八个字段是账号的生命周期，到期后账号会作废。

第九个字段是保留字段，目前还没有具体意义。

2. 关于组 group 的两个重要的文件： /etc/group（存储组信息） 和 /etc/gshadow（存储组对应的密码信息，一般组很少设置密码，故很少用）

[root@ryan ~]# cat /etc/group
root:x:0:
bin:x:1:bin,daemon
daemon:x:2:bin,daemon
sys:x:3:bin,adm
adm:x:4:adm,daemon
tty:x:5:
disk:x:6:
lp:x:7:daemon
……

以上格式为：组名:口令:组标识号:组内用户列表。

具体解释：

组名：组名是用户组的名称，由字母或数字构成。与 /etc/passwd 中的登录名一样，组名不应重复。

口令：口令字段存放的是用户组加密后的口令字。一般 Linux 系统的用户组都没有口令，即这个字段一般为空，或者是*。

组标识号：组标识号与用户标识号类似，也是一个整数，被系统内部用来标识组，即 GID。

组内用户列表：是属于这个组的所有用户的列表，不同用户之间用逗号(,)分隔。这个用户组可能是用户的主组，也可能是附加组。

[root@ryan ~]# cat /etc/gshadow
root:::
bin:::bin,daemon
daemon:::bin,daemon
sys:::bin,adm
adm:::adm,daemon
tty:::
disk:::
lp:::daemon
……

3. 命令 id

id - print real and effective user and group IDs，打印用户和组信息，包括  uid，gid 和所属 groups。

[root@ryan ~]# id root
uid=0(root) gid=0(root) groups=0(root)

注意：

Linux 系统以组 Group 方式管理用户，用户和组的对应关系为多对多，即某个用户可加入/属于一个或多个组，某个组可以有0个、1个或多个用户。从用户的角度，组可以分为主组和附属组。

主组：也被称为 Primary group、first group 或 initial login group，用户的默认组，用户的 gid 所标识的组。

附属组：也被称为 Secondary group或 supplementary group，用户的附加组。

可以通过 id 命令可查看当前用户的主组和附属组，比如：

[root@ryan ~]# id root
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

[root@ryan ~]# id gg
uid=503(gg) gid=503(gg) groups=503(gg)

[root@ryan ~]# id mm
uid=502(mm) gid=500(jww) groups=500(jww)

其中，gid 标识主组，groups 表示用户所属的全部组（主组和附属组），用户必须有且只能有一个主组，可以有0个、1个或多个附属组。

用户和用户组管理

4. 命令 groupadd

groupadd - create a new group，新增用户组，格式为"groupadd [-g ＧID] groupname"，不加参数 -g 选项，则系统会按照默认的 gid 创建组，和 uid 一样，gid 也是从500开始的。

[root@ryan ~]# groupadd pbwm

[root@ryan ~]# cat /etc/group
root:x:0:
bin:x:1:bin,daemon
daemon:x:2:bin,daemon
sys:x:3:bin,adm
adm:x:4:adm,daemon
slocate:x:21:
pbwm:x:500:
……

5. 命令 groupdel

groupdel - delete a group，用于删除用户组，只有当用户组中不再包含具体的用户时，才可以删除此空组，否则会提示由于包含某个用户而无法删除。

[root@ryan ~]# groupdel pbwm
groupdel: cannot remove the primary group of user 'adam'

6. 命令 groupmod

groupmod - modify a group definition on the system，用于修改用户组，格式为："groupmod [-g GID] [-o] [-n] groupname"。

7. 命令 useradd

useradd - create a new user or update default new user information，用于新增一个用户，也可使用 adduser，功能相同，命令的格式为："useradd [-u UID] [-g GID] [-d HOME] [-M] [-s]"，其中：

-u：表示自定义UID。

-g：表示新增用户时指定用户属于哪个组，后面可以跟组 id，也可以跟组名，-G 表示添加附属组。

-d：表示自定义用户的家目录。

-M：表示不建立家目录。

-s：表示自定义 shell 。

[root@ryan ~]# useradd -g pbwm adam

[root@ryan ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
……
adam:x:500:500::/home/adam:/bin/bash

如果 useradd 不加任何选项，直接跟用户名，则会创建一个跟用户名同名的用户组。

[root@ryan ~]# useradd bob

[root@ryan ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
……
adam:x:500:500::/home/adam:/bin/bash
bob:x:501:501::/home/bob:/bin/bash

[root@ryan ~]# cat /etc/group
root:x:0:
bin:x:1:bin,daemon
……
pbwm:x:500:
bob:x:501:

8. 命令 userdel

userdel - delete a user account and related files，用于删除一个用户，命令格式为："userdel [-r] username"，其中 -r 选项表示，当删除用户时一并删除该用户的家目录。

[root@ryan ~]# userdel -r bob

[root@ryan ~]# ll /home
total 4
drwx------. 4 adam pbwm 4096 Dec 17 20:51 adam

9. 命令 usermod

usermod - modify a user account，用于修改一个用户账户信息。

比如修改一个用户的所属组：

# usermod -g 513 user3

比如修改一个用户的附属组，将 username 添加到名称为 secondarygroup 的附属组中：

# usermod -G secondarygroup username

比如修改一个用户的 shell：

# usermod -s /bin/bash user3

10. 命令 chfn

chfn - change your finger information，修改用户的基本信息 finger，finger 其实就是在 /etc/passwd 文件第5个字段中所显示的信息。

[root@ryan ~]# chfn bob
Changing finger information for bob.
Name []: bob-xu
Office []: hsbc
Office Phone []: 1008611
Home Phone []: 1008612

Finger information changed.
[root@ryan ~]# grep bob /etc/passwd
bob:x:501:501:bob-xu,hsbc,1008611,1008612:/home/bob:/bin/bash

用户密码管理

11. 命令 passwd

passwd - update user’s authentication tokens，修改用户的登录密码，格式为 "passwd [username]"。该命令后面若不加用户名字，则是为自己设定密码。如果登录的是 root 账户，后面可以跟普通账户的名字，意思是修改指定账户的密码，只有 root 才可以修改其他账户的密码，普通用户只能修改自己的密码。双敲复合之后令牌被成功更新。

[root@ryan ~]# passwd bob
Changing password for user bob.
New password:
BAD PASSWORD: it is too simplistic/systematic
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.

12. 命令 mkpasswd

mkpasswd - generate new password, optionally apply it to a user，用于生成密码，包含大小写字母，数字和特殊符。

[root@ryan ~]# mkpasswd
aMg09i(fY
[root@ryan ~]# mkpasswd
j0xRJn5a=

用户身份切换

root 账户提示符是"#"，普通用户是"$"。

13. 命令 su

su - run a shell with substitute user and group IDs，命令格式为："su [-] username"，普通用户的 su 命令不加 username 时就是切换到 root 用户，需要输入 root 的密码，root 用户同样可以使用 su 命令切换到普通用户，但不需要输入密码。当不加 [-] 时，当前目录没有变化，加上 [-] 时，当前目录为家目录，区别在于是否初始化当前用户的各种环境变量。

[root@ryan ~]# su bob
[bob@ryan root]$ pwd
/root
[bob@ryan root]$ echo $PATH
/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
[bob@ryan root]$ whoami
bob

[root@ryan ~]# su - bob
[bob@ryan ~]$ pwd
/home/bob
[bob@ryan ~]$ echo $PATH
/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/bob/bin
[bob@ryan ~]$ whoami
bob

14. 命令 sudo

sudo, sudoedit - execute a command as another user，执行 root 才能执行的命令，sudo命令用来以其他身份来执行命令，预设的身份为root。在/etc/sudoers 中设置了可执行sudo指令的用户。若其未经授权的用户企图使用sudo，则会发出警告的邮件给管理员。用户使用sudo时，必须先输入密码，之后有5分钟的有效期限，超过期限则必须重新输入密码。配置sudo必须通过编辑/etc/sudoers文件，而且只有超级用户才可以修改它，还必须使用visudo编辑。之所以使用visudo有两个原因，一是它能够防止两个用户同时修改它；二是它也能进行有限的语法检查。所以，即使只有你一个超级用户，你也最好用visudo来检查一下语法。visudo默认的是在vi里打开配置文件，用vi来修改文件。

[root@ryan ~]# su bob
[bob@ryan root]$ pwd
/root
[bob@ryan root]$ ls
ls: cannot open directory .: Permission denied
[bob@ryan root]$ echo $PATH
/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
[bob@ryan root]$ sudo ls

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

[sudo] password for bob:
bob is not in the sudoers file. This incident will be reported.

## Allow root to run any commands anywhere
root ALL=(ALL) ALL
bob ALL=(ALL) ALL

[root@ryan ~]# su bob
[bob@ryan root]$ pwd
/root
[bob@ryan root]$ ls
ls: cannot open directory .: Permission denied
[bob@ryan root]$ sudo ls
[sudo] password for bob:
anaconda-ks.cfg Documents install.log linux Pictures Templates
Desktop Downloads install.log.syslog Music Public Videos

扩展权限 ACL

以上属于基本权限的范畴，此外还有扩展权限 ACL（Access Control List），ACL 权限是为了防止权限不够用的情况，一般的权限有所有者、所属组、其他人这三种，当这三种满足不了我们的需求的时候就可以使用ACL权限。

比如：一个网络老师，给一个班的学员上课，他在linux的根目录下面建立了一个文件，只允许本班级的学员对该目录进行上传下载，其他人都不行，这时该目录的权限一般是770（一般我们设置权限都是所有者的权限大于所属组的权限，所属组的权限大于其他人的权限，依次往下），此时有个同学想试听我们的课程，该怎么给他分配权限呢？此时的所属组、所有者、其他人都不满足，这时就要用到 ACL 权限，ACL 权限的原理类似 Windows 给一个文件添加用户（这个用户对该文件具有的权限）。

设置 ACL 权限：

设置用户：setfacl -m u:user1:rx test [u表示设置用户的 ACL，user1为具体的用户，rx 为要设置的权限，test 为目录或者文件]

设置组：setfacl -m g:group1:rx test [g表示设置组的 ACL，group1为具体的组，rx 为要设置的权限，test 为目录或者文件]

其中的选项 -m 表示修改ACL，你可以增加新的，或修改存在的ACL。

查看 ACL 权限：

getfacl test，用于显示分配完的 ACL 权限。

[root@ryan linux]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

[root@ryan linux]# setfacl -m u:adam:rx test
[root@ryan linux]# setfacl -m g:pbwm:rx test
[root@ryan linux]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:adam:r-x
group::r-x
group:pbwm:r-x
mask::r-x
other::r-x

可以看到添加了一个 adam 用户和一个 pbwm 组，这两个就是通过设置 ACL 权限做到的。

[root@ryan linux]# ll -d test
drwxr-xr-x+  root root  Dec   : test

如上，设置 ACL 权限后，权限后会多一个 + 标记，这表示ACL已经设置成功。

删除 ACL 权限：

删除ACL用户权限：setfacl -x u:user1 test

删除ACL组权限：setfacl -x g:group1 test

删除整个ACL权限：setfacl -b test

附录

linux添加超级管理员用户，修改，删除用户