正文
7.1、用户配置文件
7.1.1 用户信息文件/etc/passwd
1、用户管理简介
所以越是对服务器安全性要求高的服务器,越需要建立合理的用户权限等级制度和服务器操作规范。
在Linux中主要是通过用户配置文件来查看和修改用户信息
2、/etc/passwd
[root@localhost ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
chrony:x:998:996::/var/lib/chrony:/sbin/nologin
vboxadd:x:997:1::/var/run/vboxadd:/bin/false
dockerroot:x:996:993:Docker User:/var/lib/docker:/sbin/nologin
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
nginx:x:995:992:Nginx web server:/var/lib/nginx:/sbin/nologin
[root@localhost ~]#
第1字段:用户名称
第2字段:密码标志
第3字段:UID(用户ID)
- 0: 超级用户
- 1-499: 系统用户(伪用户)
- 500-65535: 普通用户
第4字段:GID(用户初始组ID)
第5字段:用户说明
第6字段:家目录
- 普通用户:/home/用户名/
- 超级用户:/root/
第7字段:登录之后的Shell
man 5 passwd
3、初始组和附加组
初始组:就是指用户一登录就立刻拥有这个用户组的相关权限,每个用户的初始组只能有一个,一般就是和这个用户的用户名相同的组名作为这个用户的初始组。
附加组:指用户可以加入多个其他的用户组,并拥有这些组的权限,附加组可以有多个。
4、Shell是什么
Shell就是Linux的命令解释器。
在/etc/passwd当中,除了标准Shell是/bin/bash之外,还可以写如/sbin/nologin,/usr/bin/passwd等。
7.1.2 影子文件/etc/shadow
1、影子文件/etc/shadow
[root@localhost ~]# cat /etc/shadow
root:$6$qm3FDR1ic.uXoNQ9$OZUqOHb56RR/5i5YNuV7OU.VlbS1PjwXWHbEkM7iN.H47ieuOVxNcpT8SPho3tq2KjFSrIq1pDD1MYQFnXJ41.::0:99999:7:::
bin:*:18353:0:99999:7:::
daemon:*:18353:0:99999:7:::
adm:*:18353:0:99999:7:::
lp:*:18353:0:99999:7:::
sync:*:18353:0:99999:7:::
shutdown:*:18353:0:99999:7:::
halt:*:18353:0:99999:7:::
mail:*:18353:0:99999:7:::
operator:*:18353:0:99999:7:::
games:*:18353:0:99999:7:::
ftp:*:18353:0:99999:7:::
nobody:*:18353:0:99999:7:::
systemd-network:!!:19039::::::
dbus:!!:19039::::::
polkitd:!!:19039::::::
sshd:!!:19039::::::
postfix:!!:19039::::::
chrony:!!:19039::::::
vboxadd:!!:19039::::::
dockerroot:!!:19040::::::
apache:!!:19040::::::
nginx:!!:19040::::::
[root@localhost ~]#
第1字段:用户名
第2字段:加密密码
- 加密算法升级为SHA512散列加密算法
- 如果密码位是“!!”或“*”代表没有密码,不能登录
第3字段:密码最后一次修改日期
- 使用1970年1月1日作为标准时间,每过一天时间戳加1
第4字段:两次密码的修改间隔时间(和第3字段相比)
第5字段:密码有效期(和第3字段相比)
第6字段:密码修改到期前的警告天数(和第5字段相比)
第7字段:密码过期后的宽限天数(和第5字段相比)
- 0:代表密码过期后立即失效
- -1:则代表密码永远不会失效。
第8字段:账号失效时间
- 要用时间戳表示
第9字段:保留
2、时间戳换算
把时间戳换算为日期
date -d "1970-01-01 16066 days"
[root@localhost ~]# date -d "1970-01-01 16066 days"
2013年 12月 27日 星期五 00:00:00 CST
[root@localhost ~]#
把日期换算为时间戳
echo $(($(date --date="2014/01/06" +%s)/86400+1))
[root@localhost ~]# echo $(($(date --date="2014/01/06" +%s)/86400+1))
16076
[root@localhost ~]#
7.1.3 组信息文件/etc/group和组密码文件/etc/gshadow
1、组信息文件/etc/group
[root@localhost ~]# cat /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:postfix
man:x:15:
dialout:x:18:
floppy:x:19:
games:x:20:
tape:x:33:
video:x:39:
ftp:x:50:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
utmp:x:22:
utempter:x:35:
input:x:999:
systemd-journal:x:190:
systemd-network:x:192:
dbus:x:81:
polkitd:x:998:
ssh_keys:x:997:
sshd:x:74:
postdrop:x:90:
postfix:x:89:
chrony:x:996:
vboxsf:x:995:dockerroot,nginx,apache
cgred:x:994:
dockerroot:x:993:
apache:x:48:
nginx:x:992:
[root@localhost ~]#
第一字段:组名
第二字段:组密码标志
第三字段:GID
第四字段:组中附加用户
2、组密码文件/etc/gshadow
[root@localhost ~]# cat /etc/gshadow
root:::
bin:::
daemon:::
sys:::
adm:::
tty:::
disk:::
lp:::
mem:::
kmem:::
wheel:::
cdrom:::
mail:::postfix
man:::
dialout:::
floppy:::
games:::
tape:::
video:::
ftp:::
lock:::
audio:::
nobody:::
users:::
utmp:!::
utempter:!::
input:!::
systemd-journal:!::
systemd-network:!::
dbus:!::
polkitd:!::
ssh_keys:!::
sshd:!::
postdrop:!::
postfix:!::
chrony:!::
vboxsf:!::dockerroot,nginx,apache
cgred:!::
dockerroot:!::
apache:!::
nginx:!::
[root@localhost ~]#
第一字段:组名
第二字段:组密码
第三字段:组管理员用户名
第四字段:组中附加用户
7.2、用户管理相关文件
1、用户的家目录
普通用户:/home/用户名/,所有者和所属组都是此用户,权限是700
超级用户:/root/,所有者和所属组都是root用户,权限是550
2、用户的邮箱
/var/spool/mail/用户名/
3、用户模板目录
/etc/skel/
7.3、用户管理命令
7.3.1 用户添加命令useradd
1、useradd命令格式
[root@localhost ~]#useradd [选项] 用户名
选项:
-u UID: 手工指定用户的UID号
-d 家目录: 手工指定用户的家目录
-c 用户说明: 手工指定用户的说明
-g 组名: 手工指定用户的初始组
-G 组名: 指定用户的附加组
-s shell: 手工指定用户的登录shell。默认是/bin/bash
2、添加默认用户
[root@localhost ~]# useradd lamp
[root@localhost ~]# grep lamp /etc/passwd
[root@localhost ~]# grep lamp /etc/shadow
[root@localhost ~]# grep lamp /etc/group
[root@localhost ~]# grep lamp /etc/gshadow
[root@localhost ~]# ll -d /home/lamp/
[root@localhost ~]# ll /var/spool/mail/lamp
3、指定选项添加用户
> groupadd lamp1
>
> useradd -u 550 -g lamp1 -G root -d /home/lamp1 \
-c "test user" -s /bin/bash lamp1
4、用户默认值文件
/etc/default/useradd 文件内容:
[root@localhost ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
[root@localhost ~]#
解释:
GROUP=100 #用户默认组
HOME=/home #用户家目录
INACTIVE=-1 #密码过期宽限天数(shadow文件第7字段)
EXPIRE= #密码失效时间(shadow文件第8字段)
SHELL=/bin/bash #默认shell
SKEL=/etc/skel #模板目录
CREATE_MAIL_SPOOL=yes #是否建立邮箱
/etc/login.defs 文件内容:
[root@localhost ~]# cat /etc/login.defs
#
# Please note that the parameters in this configuration file control the
# behavior of the tools from the shadow-utils component. None of these
# tools uses the PAM mechanism, and the utilities that use PAM (such as the
# passwd command) should therefore be configured elsewhere. Refer to
# /etc/pam.d/system-auth for more information.
#
# *REQUIRED*
# Directory where mailboxes reside, _or_ name of file, relative to the
# home directory. If you _do_ define both, MAIL_DIR takes precedence.
# QMAIL_DIR is for Qmail
#
#QMAIL_DIR Maildir
MAIL_DIR /var/spool/mail
#MAIL_FILE .mail
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 5
PASS_WARN_AGE 7
#
# Min/max values for automatic uid selection in useradd
#
UID_MIN 1000
UID_MAX 60000
# System accounts
SYS_UID_MIN 201
SYS_UID_MAX 999
#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN 1000
GID_MAX 60000
# System accounts
SYS_GID_MIN 201
SYS_GID_MAX 999
#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD /usr/sbin/userdel_local
#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is overridden with the -m flag on
# useradd command line.
#
CREATE_HOME yes
# The permission mask is initialized to this value. If not specified,
# the permission mask will be initialized to 022.
UMASK 077
# This enables userdel to remove user groups if no members exist.
#
USERGROUPS_ENAB yes
# Use SHA512 to encrypt password.
ENCRYPT_METHOD SHA512
[root@localhost ~]#
解释:
PASS_MAX_DAYS 99999 #密码有效期(shadow文件第5字段)
PASS_MIN_DAYS 0 #密码修改间隔(shadow文件第4字段)
PASS_MIN_LEN 5 #密码最小5位(PAM)
PASS_WARN_AGE 7 #密码到期警告(shadow文件第6字段)
UID_MIN 500 #最小和最大UID范围
GID_MAX 60000
ENCRYPT_METHOD SHA512 #加密模式
7.3.2 修改用户密码passwd
1、passwd命令格式
[root@localhost ~]#passwd [选项] 用户名
选项:
-S 查询用户密码的密码状态。仅root用户可用。
-l 暂时锁定用户。仅root用户可用
-u 解锁用户。仅root用户可用
--stdin 可以通过管道符输出的数据作为用户的密码。
普通用户修改自己密码:
passwd
2、查看密码状态
[root@localhost ~]# passwd -S lamp
lamp PS 2013-01-06 0 99999 7 -1
#用户名 密码设定时间(2013-01-06) 密码修改间隔时间(0)
#密码有效期(99999 ) 警告时间(7) 密码不失效(-1)
[root@localhost ~]# passwd -S root
root PS 1969-12-31 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)
[root@localhost ~]#
3、锁定用户和解锁用户
[root@localhost ~]# passwd -l lamp
[root@localhost ~]# passwd -u lamp
4、使用字符串作为用户的密码
[root@localhost ~]# echo "123" | passwd --stdin lamp
7.3.3 修改用户信息usermod 修改用户密码状态chage
1、修改用户信息usermod
[root@localhost ~]#usermod [选项] 用户名
选项:
-u UID: 修改用户的UID号
-c 用户说明: 修改用户的说明信息
-G 组名: 修改用户的附加组
-L: 临时锁定用户(Lock)
-U: 解锁用户锁定(Unlock)
[root@localhost ~]# usermod -c "test user" lamp
#修改用户的说明
[root@localhost ~]# usermod -G root lamp
#把lamp用户加入root组
[root@localhost ~]# usermod -L lamp
#锁定用户
[root@localhost ~]# usermod -U lamp
#解锁用户
2、修改用户密码状态chage
[root@localhost ~]# chage [选项] 用户名
选项:
-l: 列出用户的详细密码状态
-d 日期: 修改密码最后一次更改日期(shadow3字段)
-m 天数: 两次密码修改间隔(4字段)
-M 天数: 密码有效期(5字段)
-W 天数: 密码过期前警告天数(6字段)
-I 天数: 密码过后宽限天数(7字段)
-E 日期: 账号失效时间(8字段)
[root@localhost ~]# chage -d 0 lamp
#这个命令其实是把密码修改日期归0了(shadow第3字段)
#这样用户一登陆就要修改密码
[root@localhost ~]# chage -l root
最近一次密码修改时间 :从不
密码过期时间 :从不
密码失效时间 :从不
帐户过期时间 :从不
两次改变密码之间相距的最小天数 :0
两次改变密码之间相距的最大天数 :99999
在密码过期之前警告的天数 :7
[root@localhost ~]#
7.3.4 删除用户userdel 用户切换命令su
1、删除用户userdel
[root@localhost ~]# userdel [-r] 用户名
选项:
-r 删除用户的同时删除用户家目录
手工删除用户
[root@localhost ~]# vi /etc/passwd
[root@localhost ~]# vi /etc/shadow
[root@localhost ~]# vi /etc/group
[root@localhost ~]# vi /etc/gshadow
[root@localhost ~]# rm -rf /var/spool/mail/lamp
[root@localhost ~]# rm -rf /home/lamp/
2、查看用户ID
[root@localhost ~]# id 用户名
[root@localhost ~]# id root
uid=0(root) gid=0(root) 组=0(root)
[root@localhost ~]#
3、切换用户身份su
[root@localhost ~]# su [选项] 用户名
选项:
- : 选项只使用“-”代表连带用户的环境变量一起切换
-c 命令: 仅执行一次命令,而不切换用户身份
su root
whoami
env
[lamp@localhost ~]$ su – root
#切换成root
[lamp@localhost ~]$ su - root -c "useradd user3"
#不切换成root,但是执行useradd命令添加user1用户
[root@localhost ~]# whoami
root
[root@localhost ~]#
[root@localhost ~]# env
XDG_SESSION_ID=1
HOSTNAME=localhost.localdomain
TERM=xterm
SHELL=/bin/bash
HISTSIZE=1000
SSH_CLIENT=192.168.56.1 53194 22
SSH_TTY=/dev/pts/0
USER=root
LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=01;05;37;41:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=01;36:*.au=01;36:*.flac=01;36:*.mid=01;36:*.midi=01;36:*.mka=01;36:*.mp3=01;36:*.mpc=01;36:*.ogg=01;36:*.ra=01;36:*.wav=01;36:*.axa=01;36:*.oga=01;36:*.spx=01;36:*.xspf=01;36:
MAIL=/var/spool/mail/root
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
PWD=/root
LANG=zh_CN.UTF-8
HISTCONTROL=ignoredups
SHLVL=1
HOME=/root
LOGNAME=root
SSH_CONNECTION=192.168.56.1 53194 192.168.56.108 22
LESSOPEN=||/usr/bin/lesspipe.sh %s
XDG_RUNTIME_DIR=/run/user/0
_=/usr/bin/env
[root@localhost ~]#
7.4、用户组管理命令
1、添加用户组
[root@localhost ~]# groupadd [选项] 组名
选项:
-g GID: 指定组ID
2、修改用户组
[root@localhost ~]# groupmod [选项] 组名
选项:
-g GID: 修改组ID
-n 新组名: 修改组名
例:
[root@localhost ~]# groupmod -n testgrp group1
#把组名group1修改为testgrp
3、删除用户组
[root@localhost ~]# groupdel 组名
4、把用户添加入组或从组中删除
[root@localhost ~]# gpasswd [选项] 组名
选项:
-a 用户名: 把用户加入组
-d 用户名: 把用户从组中删除
参考资料
Linux学习日记 —— 7.4 用户和用户组管理-用户组管理命令 https://blog.csdn.net/dyw_666666/article/details/79335683
Runoob 教程 Linux 用户和用户组管理 https://www.runoob.com/linux/linux-user-manage.html