Linux 用戶和用戶組管理
Linux系統是一個多用戶多任務的分時操作系統,任何一個要使用系統資源的用戶,都必須首先向系統管理員申請一個賬號,然后以這個賬號的身份進入系統。
用戶的賬號一方面可以幫助系統管理員對使用系統的用戶進行跟蹤,並控制他們對系統資源的訪問;另一方面也可以幫助用戶組織文件,並為用戶提供安全性保護。
每個用戶賬號都擁有一個惟一的用戶名和各自的口令(也就是密碼)。
要想管理用戶/用戶組,首先得創建這個用戶/用戶組吧,用戶/用戶組的管理工作主要涉及到用戶/用戶組賬號的添加、修改和刪除那么來一個管理用戶/用戶組命令的匯總吧。
| 管理用戶命令的匯總(個人認為重要,常用,需要掌握的) | |
| 命令 | 說明 |
| useradd | 同adduser命令,執行此命令可以在系統中添加用戶 |
| userdel | 刪除用戶及相關用戶的配置或文件 |
| passwd | 為用戶設置密碼 |
| chage | 修改用戶密碼有效期限 |
| id | 查看用戶的uid,gid及所歸屬的用戶組 |
| su | 用戶切換工具 |
| sudo | sudo是通過另一個用戶來執行命令(execute a command as another user) |
| viosudo | visudo配置sudo權限的編輯命令,(相當於直接vi編輯/etc/sudoers) |
| pwck | pwck是校驗用戶配置文件/etc/passwd和/etc/shadow文件內容是否合法或完整(很弱雞) |
| finger | 查看用戶信息工具 |
| 管理用戶組命令的匯總(個人認為重要,常用,需要掌握的) | |
| groupadd | 添加用戶組 |
| gpasswd | 為用戶組設置密碼 |
| newgrp | 更改用戶所屬的有效用戶組 |
| groupdel | 刪除用戶組 |
| groupmod | 1)g GID 為用戶組指定新的組標識號 2)-o 與-g選項同時使用,用戶組的新GID可以與系統已有用戶組的GID相同 3)-n新用戶組 將用戶組的名字改為新名字 |
相信大家看過上面的匯總,也有所了然,那么我們來實踐一把,添加新的用戶賬號使用useradd命令,
命令格式:useradd 選項 用戶名
在實踐前,我們先介紹一個useradd 的參數吧,
| useradd參數選項 | 簡單說明 |
| -c comment<備注> | 加上備注文字。備注文字會保存在passwd的備注欄位中 |
| -d home_dir<登入目錄> | 指定用戶登入時的啟始目錄 |
| -e expre_date<有效期限> | 賬號的終止日期,格式:MM/DD/YY |
| -f inactive_days<緩沖天數> | 賬號多少天后關閉該賬戶 |
| -g initial_group<群組> | 指定用戶所屬的群組 |
| -G group,[...]<群組> | 指定用戶所屬的附加群組 |
| -m | 自動建立用戶的登入目錄。 |
| -M | 不建立用戶家目錄,優先於/etc/login.defs文件的設定 |
| -s<shell> | 指定用戶登入后所使用的shell。 |
| -u<uid> | 指定用戶ID |
| useradd -D參數 | 簡單說明 |
| -b default_home | 更改默認的創建用戶HOME目錄的位置 |
| -e expiration_date | 更改默認的新賬戶的過期日期 |
| -f inactive_days | 賬號過期后幾天停用 |
| -g group | 更改默認的組名稱或GID |
| -s shell | 更改默認的登錄shell |
/etc/default/useradd文件
/etc/default/useradd文件是在使用useradd添加用戶時的一個需要條用的一個默認的配置文件,可以使用‘useradd -D’,我們先看一下它里面的內容吧
cat /etc/default/useradd
useradd -D
useradd -D -s /bin/tsch <==修改默認的shell,為/bin/tsch
例子(1)
useradd –d /usr/user2 -m user2
此命令創建了一個用戶user2,其中-d和-m選項用來為登錄名user2產生一個主目錄/usr/user2(/usr為默認的用戶主目錄所在的父目錄)。
例子(2)
groupadd admin #創建一個admin用戶組
groupadd admax #創建一個admax用戶組
useradd -s /bin/sh -g root –G admin,admax user
此命令新建了一個用戶user,該用戶的登錄Shell是 /bin/sh,它屬於root用戶組,同時又屬於admin和admax用組,其中root用戶組是其主組。
增加用戶賬號就是在/etc/passwd文件中為新用戶增加一條記錄,同時更新其他系統文件如/etc/shadow, /etc/group等。
Linux提供了集成的系統管理工具userconf,它可以用來對用戶賬號進行統一管理。
刪除帳號
如果一個用戶的賬號不再使用,可以從系統中刪除。刪除用戶賬號就是要將/etc/passwd等系統文件中的該用戶記錄刪除,必要時還刪除用戶的主目錄。
刪除一個已有的用戶賬號使用userdel命令,其格式如下:
userdel 選項 用戶名
常用的選項是 -r,它的作用是把用戶的主目錄一起刪除。
userdel -r user
此命令刪除用戶user在系統文件中(主要是/etc/passwd, /etc/shadow, /etc/group等)的記錄,同時刪除用戶的主目錄。
修改帳號
修改用戶賬號就是根據實際情況更改用戶的有關屬性,如用戶號、主目錄、用戶組、登錄Shell等。
修改已有用戶的信息使用usermod命令
usermod 選項 用戶名
常用的選項包括-c, -d, -m, -g, -G, -s, -u以及-o等,這些選項的意義與useradd命令中的選項一樣,可以為用戶指定新的資源值。
另外,有些系統可以使用選項:-l 新用戶名
這個選項指定一個新的賬號,即將原來的用戶名改為新的用戶名。
usermod -s /bin/ksh -d /home/z –g proxy user
此命令將用戶user的登錄Shell修改為ksh,主目錄改為/home/z,用戶組改為proxy。
用戶密碼的管理
用戶賬號剛創建時沒有密碼,但是被系統鎖定,無法使用,必須為其指密碼后才可以使用,即使是指定空口令。
指定和修改用戶密碼的Shell命令是passwd,超級用戶可以為自己和其他用戶指定密碼,普通用戶只能用它修改自己的密碼。
passwd 選項 用戶名
| 常用的選項 | |
| -l | 鎖定不可以更改密碼 |
| -u | 解鎖可以更改密碼 |
| -d | 使賬戶不需要密碼登陸 |
| -f | 強迫用戶下次登錄時修改口令 |
| 如果默認用戶名,則修改當前用戶的密碼 | |
1)"用戶名"是代表用戶賬號的字符串
通常長度不超過8個字符,並且由大小寫字母和/或數字組成。登錄名中不能有冒號(:),因為冒號在這里是分隔符。
為了兼容起見,登錄名中最好不要包含點字符(.),並且不使用連字符(-)和加號(+)打頭。
2)“口令”一些系統中,存放着加密后的用戶口令字
雖然這個字段存放的只是用戶口令的加密串,不是明文,但是由於/etc/passwd文件對所有用戶都可讀,所以這仍是一個安全隱患。因此,現在許多Linux 系統(如SVR4)都使用了shadow技術,把真正的加密后的用戶口令字存放到/etc/shadow文件中,而在/etc/passwd文件的口令字段中只存放一個特殊的字符,例如“x”或者“*”。
3)“用戶標識號”是一個整數,系統內部用它來標識用戶
一般情況下它與用戶名是一一對應的。如果幾個用戶名對應的用戶標識號是一樣的,系統內部將把它們視為同一個用戶,但是它們可以有不同的口令、不同的主目錄以及不同的登錄Shell等。
通常用戶標識號的取值范圍是0~65 535。0是超級用戶root的標識號,1~99由系統保留,作為管理賬號,普通用戶的標識號從100開始。在Linux系統中,這個界限是500。
4)“組標識號”字段記錄的是用戶所屬的用戶組
它對應着/etc/group文件中的一條記錄。
5)“注釋性描述”字段記錄着用戶的一些個人情況
例如用戶的真實姓名、電話、地址等,這個字段並沒有什么實際的用途。在不同的Linux 系統中,這個字段的格式並沒有統一。在許多Linux系統中,這個字段存放的是一段任意的注釋性描述文字,用做finger命令的輸出。
6)“主目錄”,也就是用戶的起始工作目錄
它是用戶在登錄到系統之后所處的目錄。在大多數系統中,各用戶的主目錄都被組織在同一個特定的目錄下,而用戶主目錄的名稱就是該用戶的登錄名。各用戶對自己的主目錄有讀、寫、執行(搜索)權限,其他用戶對此目錄的訪問權限則根據具體情況設置。
7)用戶登錄后,要啟動一個進程,負責將用戶的操作傳給內核,這個進程是用戶登錄到系統后運行的命令解釋器或某個特定的程序,即Shell
Shell是用戶與Linux系統之間的接口。Linux的Shell有許多種,每種都有不同的特點。常用的有sh(Bourne Shell), csh(C Shell), ksh(Korn Shell), tcsh(TENEX/TOPS-20 type C Shell), bash(Bourne Again Shell)等。
系統管理員可以根據系統情況和用戶習慣為用戶指定某個Shell。如果不指定Shell,那么系統使用sh為默認的登錄Shell,即這個字段的值為/bin/sh。
用戶的登錄Shell也可以指定為某個特定的程序(此程序不是一個命令解釋器)。
利用這一特點,我們可以限制用戶只能運行指定的應用程序,在該應用程序運行結束后,用戶就自動退出了系統。有些Linux 系統要求只有那些在系統中登記了的程序才能出現在這個字段中。
8)系統中有一類用戶稱為偽用戶(psuedo users)
這些用戶在/etc/passwd文件中也占有一條記錄,但是不能登錄(nologin),因為它們的登錄Shell為空。它們的存在主要是方便系統管理,滿足相應的系統進程對文件屬主的要求。
常見的偽用戶如下所示:
偽 用 戶 含 義 bin 擁有可執行的用戶命令文件 sys 擁有系統文件 adm 擁有帳戶文件 uucp UUCP使用 lp lp或lpd子系統使用 nobody NFS使用
工作中肯定會有需求,添加批量用戶
添加批量用戶我們不可能還使用useradd一個一個地添加,必然要找一種簡便的創建大量用戶的方法,Linux系統提供了創建大量用戶的工具,可供使用,
方法一:
1)先編輯一個文本用戶文件
每一列按照/etc/passwd密碼文件的格式書寫,要注意每個用戶的用戶名、UID、宿主目錄都不可以相同,其中密碼欄可以留做空白或輸入x號。一個范例文件user.txt內容如下:
user001 :: 600 : 100 :user: /home/user001 :/bin/bash
user002 :: 601 : 100 :user: /home/user002 :/bin/bash
user003 :: 602 : 100 :user: /home/user003 :/bin/bash
user004 :: 603 : 100 :user: /home/user004 :/bin/bash
user005 :: 604 : 100 :user: /home/user005 :/bin/bash
user006 :: 605 : 100 :user: /home/user006 :/bin/bash
user007 :: 606 : 100 :user: /home/user007 :/bin/bash
user008 :: 607 : 100 :user: /home/user008 :/bin/bash
user009 :: 608 : 100 :user: /home/user009 :/bin/bash
2)以root身份執行命令 /usr/sbin/newusers,從剛創建的用戶文件user.txt中導入數據,創建用戶
# newusers < user.txt
然后可以執行命令 vipw 或 vi /etc/passwd 檢查 /etc/passwd 文件是否已經出現這些用戶的數據,並且用戶的宿主目錄是否已經創建。
3)執行命令/usr/sbin/pwunconv
將 /etc/shadow 產生的 shadow 密碼解碼,然后回寫到 /etc/passwd 中,並將/etc/shadow的shadow密碼欄刪掉。這是為了方便下一步的密碼轉換工作,即先取消 shadow password 功能。
# pwunconv
4)編輯每個用戶的密碼對照文件
user01 :: 01(密碼)
user02 :: 02(密碼)
user03 :: 03(密碼)
user04 :: 04(密碼)
user05 :: 05(密碼)
5)以root的身份執行/usr/bin/passwd文件
創建用戶密碼,chpasswd 會將經過 /usr/bin/passwd 命令編碼過的密碼寫入 /etc/passwd 的密碼欄。
# chpasswd < passwd.txt
6)確定密碼經編碼寫入/etc/passwd的密碼欄后
執行命令 /usr/sbin/pwconv 將密碼編碼為 shadow password,並將結果寫入 /etc/shadow。
# pwconv
方法二:利用腳本批量添加,腳本如下:
#! /bin/bash # # batch add users with file called user.list # for username in $(more users.list) do if [ -n $username] then useradd -m $username echo echo $username"123"|passwd --stdin $username echo echo "User $username's password is changed!" else echo "The username is null" fi done ~
其中user.list文件內容是:
king
one
two
由腳本得知,用戶的初始密碼為“用戶名+123”;可以根據需求自行更改。
以上總結,都是鸚鵡學舌,還望大佬指教,參考博文Alexia。