1、用戶和用戶組文件
在 linux 中,用戶帳號,用戶密碼,用戶組信息和用戶組密碼均是存放在不同的配置文件中的。
在 linux 系統中,所創建的用戶帳號和其相關信息 (密碼除外) 均是存放在 / etc/passwd 配置文件中。由於所有用戶對 passwd 文件均有讀取的權限,因此密碼信息並未保存在該文件中,而是保存在了 / etc/shadow 的配置文件中。
在 passwd 文件中,一行定義一個用戶帳號,每行均由多個不同的字段構成,各字段值間用 ":” 分隔,每個字段均代表該帳號某方面的信息。
在剛安裝完成的 linux 系統中,passwd 配置文件已有很多帳號信息了,這些帳號是由系統自動創建的,他們是 linux 進程或部分服務程序正常工作所需要使用的賬戶,這些賬戶的最後一個字段的值一般爲 / sbin/nologin,表示該帳號不能用來登錄 linux 系統。
在 passwd 配置文件中,從左至右各字段的對應關係及其含義:專業Linux雲計算培訓、Python人工智能
由於 passwd 不再保存密碼信息,所以用 x 佔位代表。
若要使某個用戶賬戶不能登錄 linux,只需設置該用戶所使用的 shell 爲 / sbin/nologin 即可。比如,對於 FTP 賬戶,一般只允許登錄和訪問 FTP 服務器,不允許登錄 linux 操作系統。若要讓某用戶沒有 telnet 權限,即不允許該用戶利用 telnet 遠程登錄和訪問 linux 操作系統,則設置該用戶所使用的 shell 爲 / bin/true 即可。若要讓用戶沒有 telnet 和 ftp 登錄權限,則可設置該用戶的 shell 爲 / bin/false。
在 / etc/shells 文件中,若沒有 / bin/true 或 / bin/false,則需要手動添加:
[root@localhost ~]# echo "/bin/false">>/etc/shells
[root@localhost ~]# echo "/bin/true">>/etc/shells
2、用戶密碼文件
爲安全起見,用戶真實的密碼採用 MD5 加密算法加密後,保存在 / etc/shadow 配置文件中,該文件只有 root 用戶可以讀取。
與 passwd 文件類似,shadow 文件也是每行定義和保存一個賬戶的相關信息。第一個字段爲用戶帳戶名,第二個字段爲賬戶的密碼。
3、用戶組帳號文件
用戶組帳號信息保存在 / etc/group 配置文件中,任何用戶均可以讀取。用戶組的真實密碼保存在 / etc/gshadow 配置文件中。
在 group 中,第一個字段代表用戶組的名稱,第二個字段爲 x,第三個爲用戶組的 ID 號,第四個爲該用戶組的用戶成員列表,各用戶名間用逗號分隔。
4、添加用戶
創建或添加新用戶使用 useradd 命令來實現,其命令用法爲:
useradd [option] username
該命令的 option 選項較多,常用的主要有:
-c 註釋 用戶設置對賬戶的註釋說明文字
-d 主目錄 指定用來取代默認的 / home/username 的主目錄
-m 若主目錄不存在,則創建它。-r 與 - m 相結合,可爲系統賬戶創建主目錄
-M 不創建主目錄
-e date 指定賬戶過期的日期。日期格式爲 MM/DD/YY
-f days 帳號過期幾日後永久停權。若指定爲 -,則立即被停權,若爲 - 1,則關閉此功能
-g 用戶組 指定將用戶加入到哪個用戶組,該用戶組必須存在
-G 用戶組列表 指定用戶同時加入的用戶組列表,各組用逗分隔
-n 不爲用戶創建私有用戶組
-s shell 指定用戶登錄時使用的 shell,默認爲 / bin/bash
-r 創建一個用戶 ID 小於 500 的系統賬戶,默認不創建對應的主目錄
-u 用戶 ID 手動指定新用戶的 ID 值,該值必須唯一,且大於 499
-p password 爲新建用戶指定登錄密碼。此處的 password 是對應登錄密碼經 MD5 加密後所得到的密碼值,不實真實密碼原文,因此在實際應用中,該參數選項使用較少,通常單獨使用 passwd 命令來爲用戶設置登錄密碼。
示例:
若要創建一個名爲 nisj 的用戶,並作爲 babyfish 用戶組的成員,則操作命令爲:
[root@localhost ~]# useradd -g babyfish nisj
[root@localhost ~]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish)
[root@localhost ~]# tail -1 /etc/passwd
nisj:x:502:500::/home/nisj:/bin/bash
添加用戶時,若未用 - g 參數指定用戶組,則系統默認會自動創建一個與用戶帳號同名的私有用戶組。若不需要創建該私有用戶組,則可選用 - n 參數。
比如,添加一個名爲 nsj820 的賬戶,但不指定用戶組,其操作結果爲:
[root@localhost ~]# useradd nsj820
[root@localhost ~]# id nsj820
uid=503(nsj820) gid=503(nsj820) groups=503(nsj820)
[root@localhost ~]# tail -1 /etc/passwd
nsj820:x:503:503::/home/nsj820:/bin/bash
[root@localhost ~]# tail -2 /etc/passwd
nisj:x:502:500::/home/nisj:/bin/bash
nsj820:x:503:503::/home/nsj820:/bin/bash #系統自動創建了名爲 nsj820 的用戶組,ID 號爲 503
創建用戶賬戶時,系統會自動創建該用戶對應的主目錄,該目錄默認放在 / home 目錄下,若要改變位置,可以利用 - d 參數指定;對於用戶登錄時使用的 shell,默認爲 / bin/bash,若要更改,則使用 - s 參數指定
例如,若要創建一個名爲 vodup 的賬戶,主目錄放在 / var 目錄下,並指定登錄 shell 爲 / sbin/nologin,則操作命令爲:
[root@localhost ~]# useradd -d /var/vodup -s /sbin/nologin vodup
[root@localhost ~]# id vodup
uid=504(vodup) gid=504(vodup) groups=504(vodup)
[root@localhost ~]# tail -1 /etc/passwd
vodup:x:504:504::/var/vodup:/sbin/nologin
[root@localhost ~]# tail -1 /etc/group
vodup:x:504:
5、設置帳號屬性
對於已創建好的用戶,可使用 usermod 命令來修改和設置賬戶的各項屬性,包括登錄名,主目錄,用戶組,登錄 shell 等,該命令用法爲:
usermod [option] username
部分 option 選項
(1)改變用戶帳戶名
使用 - l 參數來實現,命令用法爲:
usermod -l 新用戶名 原用戶名
例如,若要將用戶 nsj820 更名爲 nsj0820,則操作命令爲:
[root@localhost ~]# usermod -l nsj0820 nsj820
[root@localhost ~]# id nsj0820
uid=503(nsj0820) gid=503(nsj820) groups=503(nsj820)
[root@localhost ~]# tail -1 /etc/passwd
nsj0820:x:503:503::/home/nsj820:/bin/bash
從輸出結果可見,用戶名已更改爲 nsj0820。主目錄仍爲原來的 / home/nsj820,若也要更改爲 / home/nsj0820,則可通過執行以下命令來實現
[root@localhost ~]# usermod -d /home/nsj0820 nsj0820
[root@localhost ~]# id nsj0820
uid=503(nsj0820) gid=503(nsj820) groups=503(nsj820)
[root@localhost ~]# tail -1 /etc/passwd
nsj0820:x:503:503::/home/nsj0820:/bin/bash
[root@localhost home]# mv /home/nsj820 /home/nsj0820
(2)鎖定賬戶
若要臨時禁止用戶登錄,可將該用戶賬戶鎖定。鎖定賬戶可利用 - L 參數來實現,其命令用法爲:
usermod -L 要鎖定的賬戶
linux 鎖定用戶,是通過在密碼文件 shadow 的密碼字段前加 “!” 來標識該用戶被鎖定。
[root@localhost home]# usermod -L nsj0820
[root@localhost home]# tail -1 /etc/shadow
nsj0820:!$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK30:16910:0:99999:7:::
但通過 root 用戶進去,然後 su 到被鎖定的用戶,是可以進去的。
(3)解鎖賬戶
要解鎖賬戶,可以使用帶 -U 參數的 usermod 命令來實現。
[root@localhost ~]# usermod -U nsj0820
[root@localhost ~]# tail -1 /etc/shadow
nsj0820:$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK30:16910:0:99999:7:::
6、刪除賬戶
要刪除賬戶,可以使用 userdel 命令來實現,其用法爲:
userdel [-r] 帳戶名
-r 爲可選項,若帶上該參數,則在刪除該賬戶的同時,一併刪除該賬戶對應的主目錄。
[root@localhost ~]# userdel -r nsj0820
若要設置所有用戶賬戶密碼過期的時間,則可通過修改 / etc/login.defs 配置文件中的 PASS_MAX_DAYS 配置項的值來實現,其默認值爲 99999,代表用戶賬戶密碼永不過期。其中 PASS_MIN_LEN 配置項用於指定賬戶密碼的最小長度,默認爲 5 個字符。
7、設置用戶登錄密碼
使用 passwd 命令來設置,其命令用法爲:
passwd [帳戶名]
若指定了帳戶名稱,則設置指定賬戶的登錄密碼,原密碼自動被覆蓋。只有 root 用戶纔有權設置指定賬戶的密碼。一般用戶只能設置或修改自己賬戶的密碼(不帶參數)。
例如, 若要設置 nisj 賬戶的登陸密碼,則操作命令爲:
[root@localhost home]# passwd nisj
Changing password for user nisj.
New password:
BAD PASSWORD: it is too short
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.
賬戶登錄密碼設置後,該賬戶就可以登錄系統了。
8、鎖定 / 解鎖賬戶密碼及查詢密碼狀態、刪除賬戶密碼
在 linux 中,除了用戶賬戶可被鎖定外,賬戶密碼也可被鎖定,任何一方被鎖定後,都將無法登錄系統。只有 root 用戶纔有權執行該命令,鎖定賬戶密碼使用帶 - l 選項的 passwd 命令,其用法爲:
passwd -l 帳戶名
passwd -u 帳戶名 #解鎖賬戶密碼
[root@localhost home]# passwd -l nisj
Locking password for user nisj.
passwd: Success
[root@localhost home]# passwd -u nisj
Unlocking password for user nisj.
passwd: Success
要查詢當前賬戶的密碼是否被鎖定,可以使用帶 - S 參數的 passwd 命令來實現,其用法爲:
passwd -S 賬戶名
例如
[root@localhost home]# passwd -S nisj
nisj PS 2016-04-18 0 99999 7 -1 (Password set, MD5 crypt.)
如要刪除賬戶的密碼,使用帶 - d 參數的 passwd 命令來實現,該命令也只有 root 用戶纔有權執行,其用法爲:
passwd -d 帳戶名
帳戶密碼被刪除後,將不能登錄系統,除非重新設置密碼。
9、創建用戶組
用戶和用戶組屬於多對多關係,一個用戶可以同時屬於多個用戶組,一個用戶組可以包含多個不同的用戶。
創建用戶組使用 groupadd 命令,其命令用法爲:
groupadd [-r] 用戶組名稱
若命令帶有 - r 參數,則創建系統用戶組,該類用戶組的 GID 值小於 500;若沒有 - r 參數,則創建普通用戶組,其 GID 值大於或等於 500.
10、修改用戶組屬性
用戶組創建後,根據需要可對用戶組的相關屬性進行修改。對用戶組屬性的修改,主要是修改用戶組的名稱和用戶組的 GID 值。
(1)改變用戶組的名稱
若要對用戶組進行重命名,可使用帶 - n 參數的 groupmod 命令來實現,其用法爲:
groupmod -n 新用戶組名 原用戶組名
對於用戶組改名,不會改變其 GID 的值
比如,若要將 student 用戶組更名爲 teacher 用戶組,則操作命令爲:
[root@localhost home]# groupadd student
[root@localhost home]# tail -1 /etc/group
student:x:505:
[root@localhost home]# groupmod -n teacher student
[root@localhost home]# tail -1 /etc/group
teacher:x:505:
(2)重設用戶組的 GID
用戶組的 GID 值可以重新進行設置修改,但不能與已有用戶組的 GID 值重複。對 GID 進行修改,不會改變用戶名的名稱。
要修改用戶組的 GID,可使用帶 - g 參數的 groupmod 命令,其用法爲:
groupmod -g new_GID 用戶組名稱
例如,若要將 teacher 組的 GID 更改爲 506,則操作命令爲:
[root@localhost home]# groupmod -g 506 teacher
[root@localhost home]# tail -1 /etc/group
teacher:x:506:
11、刪除用戶組
刪除用戶組使用 groupdel 命令來實現,其用法爲:
groupdel 用戶組名
在刪除用戶組時,被刪除的用戶組不能是某個賬戶的私有用戶組,否則將無法刪除,若要刪除,則應先刪除引用該私有用戶組的賬戶,然後再刪除用戶組。專業Linux雲計算培訓、Python人工智能
[root@localhost home]# groupdel teacher
[root@localhost ~]# grep teacher /etc/group #沒有輸出,說明 teacher 用戶組以不存在,刪除成功
12、添加用戶到指定的組 / 從指定的組中移除用戶
可以將用戶添加到指定的組,使其成爲該組的成員。其實現命令爲:
gpasswd -a 用戶賬戶 用戶組名
若要從用戶組中移除某用戶,其實現命令爲:
gpasswd -d 用戶賬戶 用戶組名
例如:
[root@localhost home]# groupadd student
[root@localhost home]# gpasswd -a nisj student
Adding user nisj to group student
[root@localhost home]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish),505(student)
[root@localhost home]# gpasswd -d nisj student
Removing user nisj from group student
[root@localhost home]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish)
[root@localhost home]# groups nisj
nisj : babyfish
13、設置用戶組管理員
添加用戶到組和從組中移除某用戶,除了 root 用戶可以執行該操作外,用戶組管理員也可以執行該操作。
要將某用戶指派爲某個用戶組的管理員,可使用以下命令來實現;
gpasswd -A 用戶賬戶 要管理的用戶組
命令功能:將指定的用戶設置爲指定用戶組的用戶管理員。用戶管理員只能對授權的用戶組進行用戶管理 (添加用戶到組或從組中刪除用戶),無權對其他用戶組進行管理。
[root@localhost home]# gpasswd -a nisj student
Adding user nisj to group student
[root@localhost home]# gpasswd -A nisj student
[root@localhost home]# useradd stu
[root@localhost home]# gpasswd -a stu student
Adding user stu to group student
[root@localhost home]# groups stu
stu : stu student
[root@localhost home]# su - nisj
[nisj@localhost ~]$ gpasswd -d stu student
Removing user stu from group student
[nisj@localhost ~]$ gpasswd -d stu stu
gpasswd: Permission denied.
14、用戶其他相關
另外,linux 還提供了 id,whoami 和 groups 等命令,用來查看用戶和組的狀態。id 命令用於顯示當前用戶的 uid,gid 和所屬的用戶組的列表;whoami 用於查詢當前用戶的名稱;groups 用於產看指定用戶所隸屬的用戶組。
同時,我們可以使用圖形界面來管理用戶和用戶組,系統 ---> 管理 ---> 用戶和組羣可以打開相應的配置界面。
附:將用戶添加到組中,也可以如下操作
將一個用戶添加到用戶組中,千萬不能直接用:
usermod -G groupA
這樣做會使你離開其他用戶組,僅僅做爲這個用戶組 groupA 的成員。
應該用 加上 -a 選項:
usermod -a -G groupA user
(FC4: usermod -G groupA,groupB,groupC user)
-a 代表 append, 也就是 將自己添加到 用戶組 groupA 中,而不必離開其他用戶組。