超详细的Linux 用户与用户组知识

一个执着于技术的公众号

1、用户和组的概念

Linux系统对用户与组的管理是通过ID号来实现的。我们在登录系统时，输入用户名与对应密码，操作系统会将用户名转化为ID号后再判断该账号是否存在，并对比密码是否匹配。

Linux中，用户ID号被称为UID，组ID号被称为GID。其中，UID为0，代表超级管理员，也就是通常所说的root账号。Linux用户总共分为三种，分别如下：

• root用户（ID 0）

• 系统用户（ID 1~499）

• 普通用户（ID 500-60000）

在 linux 系统中，所创建的用户帐号和其相关信息 (密码除外) 均是存放在 / etc/passwd 配置文件中。由于所有用户对 passwd 文件均有读取的权限，因此密码信息并未保存在该文件中，而是保存在了 / etc/shadow 的配置文件中。

我们先来查看下/etc下的passwd配置文件：

在 /etc/passwd 配置文件中，从左至右各字段的对应关系及其含义：

由于 passwd 不再保存密码信息，所以用 x 占位代表。

2、用户密码文件

为安全起见，用户真实的密码采用 MD5 加密算法，加密后保存在 / etc/shadow 配置文件中，该文件只有 root 用户可以读取。

与 passwd 文件类似，shadow 文件也是每行定义和保存一个账户的相关信息。第一个字段为用户帐户名，第二个字段为账户的密码。

3、用户组账号文件

用户组帐号信息保存在 / etc/group 配置文件中，任何用户均可以读取。用户组的真实密码保存在 / etc/gshadow 配置文件中。

在 group 中，第一个字段代表用户组的名称，第二个字段为 x，第三个为用户组的 ID 号，第四个为该用户组的用户成员列表，各用户名间用逗号分隔。

4、添加用户

用法：useradd [选项] 用户名称
常用选项：

-c    设置账号描述信息，一般为账号全程

-d    设置账号家目录，默认为/home/用户名

-e    设置账号失效日期，格式为YYYY-MM-DD

-g    设置账号的基本组

-G    设置账号的附件组，多个附件组中间用逗号隔开

-M   不创建账号家目录，一般与-s结合使用

-s    设置账号登录shell，默认为bash

-u    指定账号UID

示例：

[root@qll251 ~]# useradd -s /sbin/nologin -M user01
# 创建账号user01，限制该用户无法登陆系统且没有家目录

[root@qll251 ~]# useradd -c administrator -d /home/admin -e 2020-03-11 -g root -G mail,bin admin
# 创建一个名为admin的账号，描述是administrator，账号家目录为/home/admin，账号失效时间为2020年3月11号，账号基本组为root，附件组为mail、bin

5、设置账号属性

用法：usermod [选项] 账号名称
常用选项：

-d   修改账户家目录

-e    修改账号失效日期

-g   修改账号所属基本组

-G   修改账号所属附件组

-s    修改账号登录shell

-u    修改账号UID

示例：    

[root@qll251 ~]# usermod -d /home/nginx nginx01
# 修改nginx01家目录为/home/nginx

[root@qll251 ~]# usermod -u 1005 admin
# 修改admin的UID为1005

root@qll251 ~]# usermoud -s /sbin/nologin admin
# 限制admin用户无法登陆系统

6、删除账号

userdel [-r] 帐户名

-r 为可选项，若带上该参数，则在删除该账户的同时，一并删除该账户对应的家目录。

[root@qll251 ~]# userdel -r admin

7、修改账号属性

用法：passwd [选项] [账号名称]

常用选项：

-l   锁定账号，仅root可使用此选项

--stdin    从文件或管道读取密码

-u    解锁密码

-d    快速清空账号密码，仅root可使用此选项

示例：

[root@qll251 ~]# echo "abc123" | passwd --stdin admin
# 无交互式创建admin账号的密码为adc123

[root@qll251 ~]# passwd -l admin
# 锁定admin账号

8、创建用户组

用户和用户组属于多对多关系，一个用户可以同时属于多个用户组，一个用户组可以包含多个不同的用户。

groupadd [选项] 用户组名称

常用选项：

-g    设置组ID

[root@qll251 ~]# groupadd -g 1002 xiaoming
# 创建用户组xiaoming，同时指定GID为1002

9、修改用户组属性

（1）改变用户组的名称
groupmod -n 新用户组名  原用户组名

[root@qll251 ~]# groupmod -n admin02 admin
# 将用户组admin重命名为 admin02

（2）重设用户组的 GID

groupmod -g new_GID 用户组名称

[root@qll251 ~]# groupmod -g 1001 admin02
# 将用户组admin02的GID修改为1001

10、删除用户组

语法：groupdel 用户组名

在删除用户组时，被删除的用户组不能是某个账户的私有用户组，否则将无法删除，若要删除，则应先删除引用该私有用户组的账户，然后再删除用户组。

[root@qll251 ~]# groupdel test
[root@qll251 ~]# grep test /etc/group    #没有输出，说明 teacher 用户组已不存在，删除成功

11、添加、移除用户到指定的组/设置用户组管理员

将用户添加到指定的组，使其成为该组的成员：
gpasswd -a 用户账户  用户组名

[root@qll251 ~]# gpasswd -a test admin02
# 将test用户添加至admin02用户组

从用户组中移除某用户：
gpasswd -d 用户账户  用户组名

[root@qll251 ~]# gpasswd -d test admin02
# 将admin02用户组中的test用户移除

将某用户指派为某个用户组的管理员：

gpasswd -A 用户账户 要管理的用户组

[root@qll251 ~]# gpasswd -A test admin02
# 将test用户设置为admin02组的用户组管理员

12、用户其他相关

另外，linux 还提供了 id，whoami 和 groups 等命令，用来查看用户和组的状态。

id 命令用于显示当前用户的 uid、gid 和所属的用户组的列表

whoami 用于查询当前用户的名称

groups 用于查看指定用户所隶属的用户组

附：将用户添加到组中，也可以如下操作

usermod -a -G groupA user
-a 代表 append， 也就是 将自己添加到 用户组 groupA 中，而不必离开其他用户组。

千万不能直接用： 
usermod -G groupA

这样做会使你离开其他用户组，仅仅做为这个用户组 groupA 的成员

[root@qll251 ~]# usermod -a -G  admin test
# 将test用户添加至admin用户组中，并且不离开已有的用户组

  往期精彩

◆  干货 | 手把手教你如何搭建一个私有云盘

◆  干货 | Linux平台搭建网关服务器

◆  干货 | Linux主流发行版配置IP总结

◆  硬核科普服务器硬盘组成与基本原理

◆  忘带U盘了？？别急！一行Python代码搞定文件传输

◆  什么是集群？看完这篇你就知道啦！