Linux 基本用户和组命令

                                Linux 基本用户和组命令

  1有关用户的命令

(1).新增用户

    Useradd  + 用户名

   (2).查看用户是否存在

       id + 用户名

   (3).删除用户

        sudo userdel  用户名  只会删除用户本身

       sudo userdel -r +用户名  将 linux 下的用户彻底删除干净(包括用户的家目录/home/username 和邮件池/var/mail/username)

  

   (4).用户切换

       su+用户名

注:从超级用户切换到其他普通用户是不需要输入密码的,而普通用户切换到其他用户

时需要输入密码进行验证,成功后会切换用户。

 

例

[root@localhost Desktop]# sudo userdel -r haha

[root@localhost Desktop]# id haha

id: haha: no such user

[root@localhost Desktop]# useradd haha

[root@localhost Desktop]# id haha

uid=1001(haha) gid=1001(haha) groups=1001(haha)

[root@localhost Desktop]# sudo userdel -r haha

[root@localhost Desktop]# id haha

id: haha: no such user

[root@localhost Desktop]# su westos

[westos@localhost Desktop]$

 

2.linux用户包括普通用户和root用户，普通用户不能建立新的用户，需要root用户授权。

(1).授权方法1：编辑vim /etc/sudoers  

     root   ALL=(ALL)    ALL    允许用户执行所有命

    用户名  登入者主机名=可切换的身份(sudo -v执行后，默认的执行指令的身份）   可下达的指令

授权方法2：visudo（和上一种本质一样），但是visudo在退出文件时，系统会检查/etc/sudoers语法是否正确

例

 [root@localhost Desktop]# visudo

      root ALL=(ALL) ALL    找到该行

      haha ALL=(ALL) ALL   新增这行，则haha用户通过sudo拥有所有权限

      haha    ALL=(root) !/usr/bin/pass wd.!/USR/BIN/passwd root

 允许haha'用户通过sudo来修改其他所有用户的密码，但不能修改root的密码

  (2)。visudo 利用群组授权

      将多个用户放在一个组里，一起授权

 方法1：在visudo中编辑（别名）

 例

  [root@localhost Desktop]# visudo

      User_Alias  ADMINS = 用户名1，用户名2

      ADMINS   server=(root)  NOPASSWD:ALL   使用sudo不需要密码

方法2：命令行中添加用户到群组

例

编辑vi /etc/group

     test:x:10:  增加test组

 

   [root@localhost Desktop]# usermod -a -G  test

 

将test加入到root的组中，对test群组授权，任何加入test这个群组中的使用着，就能够使用sudo切换任何身份来操作任何命令

编辑visudo

%test ALL =(ALL)  ALL

%代表后面接一个群组，格式和单用户授权一样

 

(3).删除组

groupdel  组名

 

3.usermod 命令详解

-d            <登入目录>修改用户登入时的目录。

-e            <有效期限>修改帐号的有效期限。

-f             <缓冲天数>修改在密码过期后多少天即关闭该帐号。

-g            <群组>修改用户所属的群组。

-G            <群组>修改用户所属的附加群组。

-L              锁定用户密码,使密码无效。

-s            <shell>修改用户登入后所使用的 shell。

-u            <uid>修改用户 ID。

-U            解除密码锁定。

4. 与 linux 用户和组相关的文件

在 linux 操作系统中,对用户的管理是以文件形式存在的。与用户相关的主要包括以

下几个文件:

/etc/passwd               存储用户的信息

/etc/group                 存储这组相关的信息  

/etc/shadow               用户密码信息

/etc/gshadow             组的密码信息

/home/username         普通用户的家目录

(1)/etc/passwd

这个文件里记录了 linux 系统的帐号信息,每一行代表着一个帐号。如下所示:

root:x:0:0:root:/root:/bin/bash

每一行包括有 7 个部分,他们之间由:分隔。解释如下:

1):用户名

2):密码(已经加密)

3):UID 用户标识

4):GID 组标识。

5):用户全名或本地帐号

6):开始目录

7):登录使用的 Shell,就是对登录命令进行解析的工具。

(2)/etc/group

/etc/group 文件中存放着用户组信息,一共有四列。中间也是用:分隔。

Group_name:Password:Group_ID:User_list

1)Group_name: 用户组名称

2)Password:用户组密码,和 passwd 文件一样,如果口令字段为 x 的话,表示

有一个/etc/gshadow 用于存放组口令。但一般来说,组口令很少用到,因此不必

太在意这个字段。即使该字段为空,也不需要担心安全问题。

3)Group_ID:用户组 ID,简称 GID。GID 用于标识一个组,和 UID 一样,应

保证 GID 的唯一性。

4)User_list:用户组列表,每个用户用逗号分隔。本字段可以为空,如果字段

为空表示用户组为 GID 的用户名。如果一个用户属于/etc/passwd 中所指定的某个组,

但没有出现在/etc/group 文件相应的组中,那么应该以/etc/passwd 文件中的设置为准。

(5)shadow

为了增强系统的安全性,Linux 系统还可以为用户提供 MD5 和 Shadow 安全密

码服务。如果在安装 Linux 时在相关配置的选项上选中了 MD5 和 Shadow 服务,

那么将看到的/etc/passwd 文件里的 passwd 项上无论是什么用户,都是一个“x”,这就

表示这些用户都登录不了;系统其实是把真正的密码数据放在了/etc/shadow 文件里。

为保证系统用户的安全性,/etc/shadow 文件权限应设置为‘-rw-------’或‘-r--------’,即只

能以 root 用户来浏览。

与 passwd 文件格式类似,shadow 文件由多条记录组成,每条记录占一行,记录一

个用户账号的密钥信息。每行记录由 9 个字段组成,字段间用冒号隔开,各个字段用途

如下:

1)账号名称:

第一个字段是账号,必须与/etc/passwd 相同。

2)密码:

这个字段才是真正的密码,该密码经过编码。假如此字段为空,则表示该账号不需

要密码就可以登录。如果密码栏的第一个字符为‘*’或者是‘!’,表示这个账号不能用来

登录。可以使用这个方法来开启或关闭一个账户的登录权限。另外‘!!’两个叹号表示

这个账号目前没有密码,也不能用于登录,通常为一些系统账号。

3)最近更改密码的日期:

这个字段记录了‘更改密码那一天’的日期。该字段使用 1970 年以来的总日数设

定。

4)密码不可被更改的天数:

第四个字段记录了这个账号的密码需要经过多少天才允许被更改,如果是 0,则表

示密码可随时改动。

5)密码需要重新更改的天数:

该字段表示拥护必须在这个时间内重新设置密码,否者这个账号将暂时失效。如果该

字段的值为 99999,表示没有要求用户指定天数内重新更改密码。

6)密码需要更改期限前的警告期限:

当账号的密码失效期快到的时候,就是上面‘必须变更密码’的那个时间,系统会根

据这个字段的设定,发出‘警告’信息,提醒用户再过 n 天后密码失效。

7)密码过期的恕限时间:

4西部开源技术中心

如果用户过了警告期限仍没有重新设定密码,致密码失效,仍可以使用这个失效密

码在 n 天内登录系统。若再这个期间仍没更改密码,则账号失效。

8)账号失效日期:

这个账号在此字段规定的日期之后,将无法再使用。该字段与第 3 个字段一样,

使用 1970 年以来的总日数设定。

9)保留:

最后一个字段是保留的,看以后有没有新功能加入。

(4)/home/username

用户的家目录,包括登陆 shell 的预读信息、桌面、文档等相关目录。

5.当我们使用 useradd 时,系统会参考以下几个文件和目录中的内容:

/etc/default/useradd   该文件中我们对添加用户时会指定相应的默认值

/etc/login.defs         该文件设置用户帐号限制(优先级低于 shadow)

/etc/skel/*      linux 用户的骨架文件(如果没有这些,shell 提示会显得非常空洞)。6.用户的邮件文件

对用户所发送的邮件都存储在/var/mail 目录下:

/var/mail/username

7使用 sudo

sudo 是 Unix/Linux 平台上的一个非常有用的工具,它允许系统管理员分配给普通用户一些合理的“权利”,让他们执行一些只有超级用户或其他特许用户才能完成的任务,,这样以来,就不仅减少了 root 用户的登陆次数和管理时间,也提高了系统安全性。

配置 sudo 的方法有以下两种:

(1) 直接编辑/etc/sudoers

(2) 在超级用户的身份下键入 visudo(普通用户的权限不够)

我们建议使用第二种方法来配置 sudo,主要考虑以下原因:

(1) visudo 避免了两个用户同时修改 sudo 的配置文件。如下图所示,我们在一个控制台键入 visudo 后进入 sudo 的配置文件,在另外一个控制台再次键入 visudo 修改时会提示/etc/sudoers 比较繁忙。

(2) 二是 visudo 命令能够进行有效的语法检测,当命令执行完成后如果/etc/sudoers 文件编辑有语法错误的时候它会进行报错。当错误地修改了 visudo 时,它会抛出错误的行号,并且让使用者选择接下来需要做的处理,键入‘e’按钮可以再次的进行编辑,这次编辑不管修改是否合法都不会再给出提示;键入‘x’则是不保存使用者的修改,直接退出 visudo;键入‘Q’是保存并退出。不过不管是 e还是 Q 的修改,如果/etc/sudoers 的语法是有问题的话,sudo 命令是不会生效的。直到错误被更正。

sudo 配置实例:

(1) 让普通用户具有超级用户的所有权限(普通用户==root):

解释:

haha和 root 是授权的用户名

第一个 ALL:网络中的主机

第二个 ALL:目标用户,以谁的身份去执行命令

第三个 ALL:指该授权用户可以执行的命令

简称为“3W1C”原则:

Who where whom command

当我们切换到普通用户 zhangchi,并且创建新的用户的时候,系统给出了警告提示,毕竟 sudo 命令是相当于一种信托一样的机制。需要有足够的责任感。在键入完 haha的密码之后就执行了 sudo 之后的命令.在密码验证完成之后,该用户会获得一个 5 分钟的时间券。在此时间段内执行 sudo 命

令不需要输入密码。

(2) 多个用户的设置(非同一个组群)

1.对于不同需求的用户:可以按照上面的方法依次增加多行,每行对应一个用户。

2.对于相同需求的多个用户采用定义用户别名。如下所示:

User_Alias UUU=user1,user2......

注意:User_Alias 后的名称必须要大写,否则在退出编辑时系统会报错。

(3) 多个命令定义为一个命令别名

可以把同一类型的操作定义成一个命令组,每次可以把这个命令组赋予用户,方便了

visudo 的书写。

Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dh

client, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial,

/sbin/iwconfig,sbin/mii-tool

haha ALL = (root)  NETWORKING

(4)让一个组群的用户拥有指定命令

## Allows members of the users group to mount and unmount the

## cdrom as root

%haha ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom