• Linux用户组管理

    说明:文章部分内容源自网络,仅作交流学习使用,如构成侵权请私聊

    参考资料:《鸟哥的Linux私房菜第四版》《Linux操作系统(微课版)(RHEL8CentOS8)(第2版)》《菜鸟教程

    测试系统:RHEL 8.2

    如果文章有错误之处欢迎大家批评指正

    目录

    概述:

    用户账号管理

    用户账号配置文件/etc/passwd

    首先是密码字段为什么是x

             UID和GID

    用户账号管理

    用户添加

    用户参数默认配置文件 /etc/default/useradd 

    用户参数默认配置文件 /etc/login.defs

    删除用户

    修改用户参数

    修改用户密码

    用户密码配置文件/etc/shadow

    修改用户密码

    用户组管理

    用户组配置文件/etc/group

    新增组命令

    删除组命令

    修改用户组的属性命令

    管理用户入组

    组切换:

    概述:

    不管是Linux系统还是Windows系统都是一种多用户、多任务的操作系统,因此都针对每个用户制定了严格的用户权限策略,本章主要讨论了在Linux中是如何进行用户管理。

    个人PC的使用者一般都是用户自己或者其亲友,不少朋友在使用Windows系统的时候都会选择不设置密码,任何人都可以以管理员账户(Administrator)登录系统。而Linux系统一般都是部署在公司机房或者数据中心的服务器之上,公司的研发人员、运维人员等都有共同操作一台Linux系统的需求,如果不加以限制的话就有可能出现某音上的常见剧情(某位大哥离职之前使用rm -rf /*删库跑路)。因此在生产环境中,root用户的权限只有少部分的管理人员拥有。

    在Linux中管理用户一般需要完成以下三个方面的工作:

    1. 用户账号的添加、删除和修改
    2. 用户口令的管理
    3. 用户组的管理

    下面我们就讨论一下这三个部分的内容。

    用户账号管理

    在Linux中,用户的账号类型大体可以分为两种,一种是超级管理员用户 root,root用户拥有对系统的全部权限,另外一种是普通用户。那么如何添加普通用户呢?

    用户账号配置文件/etc/passwd

    首先,我们要先明白一个概念,在Linux当中,一切皆为文件,不管你做什么操作实际上都是操作系统上的一个又一个的文件。

    在Linux当中通过/etc/passwd这个文件来管理用户的账号信息。我们可以使用cat /etc/passwd来看一下这个配置文件。

    1. [root@Server01 ~]# cat /etc/passwd
    2. root:x:0:0:root:/root:/bin/bash
    3. bin:x:1:1:bin:/bin:/sbin/nologin
    4. ………………………中间部分省略……………………………
    5. gdm:x:42:42::/var/lib/gdm:/sbin/nologin
    6. rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
    7. gnome-initial-setup:x:977:975::/run/gnome-initial-setup/:/sbin/nologin
    8. sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
    9. avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
    10. rngd:x:976:974:Random Number Generator Daemon:/var/lib/rngd:/sbin/nologin
    11. tcpdump:x:72:72::/:/sbin/nologin

    可以看到在/etc/passwd里面还是包含了很多内容,甚至有些情况还不得不借助less工具来查看,哈哈。我们首先来解析一下每一条字段分别说明了什么。以下以root用户的账号信息举例。

    大多数字段都是比较好理解的,但是为什么中间的密码字段是用x来表示?UID是什么?GID又是什么,可能会让大家比较困扰。

    首先是密码字段为什么是x

    在早期的时候这个字段存放确实是用户密码的加密串,并且不是明文,但是正如下面的例子可见,/etc/passwd文件对所有用户都可读。所以这仍是一个安全隐患。因此,现在许多Linux系统都使用了shadow技术,把真正的加密后的用户密码字存放到/etc/shadow文件中,而在/etc/passwd文件的密码字段中只存放一个特殊的字符,例如“x”或者“*”

    1. [root@Server01 ~]# stat /etc/passwd
    2.   文件:/etc/passwd
    3.   大小:2663            块:8          IO 块:4096   普通文件
    4. 设备:fd00h/64768d      Inode:8396078     硬链接:1
    5. 权限:(0644/-rw-r--r--)  Uid:(    0/    root)   Gid:(    0/    root)
    6. 环境:system_u:object_r:passwd_file_t:s0
    7. 最近访问:2022-09-18 03:59:40.504020875 +0800
    8. 最近更改:2022-09-18 03:59:40.496020875 +0800
    9. 最近改动:2022-09-18 03:59:40.497020875 +0800
    10. 创建时间:-

    /etc/passwd对所有用户可读

    1. [root@Server01 ~]# cat /etc/shadow
    2. root:$6$ePnnqEHnn8iDU9Mr$65xALG6VxcudBw.6iWIotnn5N2ULnGh3ejS4TmfznluMmwFG9UaKyQeki1awwIFxHrqPJCjAjtp1ozoIXtm8B.:19240:0:99999:7:::
    3. bin:*:18199:0:99999:7:::
    4. daemon:*:18199:0:99999:7:::
    5. adm:*:18199:0:99999:7:::
    6. ……………………部分结果省略……………………
    7.  
    8.  
    9. [root@Server01 ~]# stat /etc/shadow
    10.   文件:/etc/shadow
    11.   大小:1366            块:8          IO 块:4096   普通文件
    12. 设备:fd00h/64768d      Inode:8396044     硬链接:1
    13. 权限:(0000/----------)  Uid:(    0/    root)   Gid:(    0/    root)
    14. 环境:system_u:object_r:shadow_t:s0
    15. 最近访问:2022-09-18 03:49:10.161002585 +0800
    16. 最近更改:2022-09-18 03:49:09.569002568 +0800
    17. 最近改动:2022-09-18 03:49:09.570002568 +0800
    18. 创建时间:-

    /etc/shadow权限为0000

    UID和GID

    普通的用户可以通过用户名和组名去识别相关信息,但是Linux中它并不会识别用户名,它只认识ID,因为计算机只识别二进制数,所以对于数字更加敏感。管理员用户的UID为0,普通用户的UID是从1000起。

    查看用户的UID和GID可以使用以下命令:

    1. [root@Server01 home]# id user01
    2. uid=1000(user01) gid=1000(user01) 组=1000(user01)

    假设服务器现在有一个用户是user01,它在/etc/passwd里面的信息如下:

    user01:x:1000:1000:user1:/home/user01:/bin/bash

    现在我们通过VIM编辑器,修改用户的UID和GID为0,而后重新登录一下user01,发现用户依然是root。

    如上文所述,root用户的UID范围是0,普通用户的UID范围是1000-60000,那么1-999是哪些用户的UID呢?其实如果按照UID进行分类的话可以将Linux的用户分为三类

    • root 用户                 UID:0
    • 伪(系统)用户       UID:1-999(其中1-200为系统保留账号,系统自动创建的,201-999是预留给用户创建系统账号的。)
    • 普通用户                  UID:1000-60000

    伪用户在/etc/passwd文件中也占有一条记录,但是不能登录,因为它们的登录Shell为空。它们的存在主要是方便系统管理,满足相应的系统进程对文件属主的要求。简单来说伪用户就是用来方便运行系统或服务使用的

    比如以下这些伪用户

    1. bin 拥有可执行的用户命令文件 
    2. sys 拥有系统文件 
    3. adm 拥有帐户文件 
    4. uucp UUCP使用 
    5. lp lp或lpd子系统使用 
    6. nobody NFS使用

    用户账号管理

    在Linux中可以直接编辑/etc/passwd文件也可以使用以下命令来进行用户的管理

    用户添加

    • useradd 【选项】 用户名
      • 选项类型:
        • -c comment 指定一段注释性描述。
          • 示例: 
            1. [root@Server01 ~]# useradd -c test-user user1
            2. 对照/etc/passwd文件
            3. user1:x:1001:1001:test-user:/home/user1:/bin/bash
        • -d 目录 指定用户主目录 
            1.  useradd -d /home/user10 user02 
            2.  
            3. /etc/passwd对照
            4. user02:x:1002:1002::/home/user10:/bin/bash
            5.  
            6. /home对照
            7. [root@Server01 home]# ls
            8. user01 user10
        • -g 用户组 指定用户所属的用户组。//所属组一般是用户初始组,只能是一个,建议不要修改,默认组名和用户名同名   //此例在后续用户组管理的时候进行演示
        • -G 用户组,用户组 指定用户所属的附加组。 //此例在后续用户组管理的时候进行演示
        • -s Shell文件 指定用户的登录Shell。
        • -u 用户号 指定用户的用户号,如果同时有-o选项,则可以重复使用其他用户的标识号

    我们可以看到其实在新建用户的时候显少会加上选项,一般都是使用默认参数,那么这些默认参数的配置文件在什么地方呢?

    用户参数默认配置文件 /etc/default/useradd 

    /etc/default/useradd 为使用useradd添加用户时的一个需要调用的一个默认的配置文件

    1. [root@Server01 home]# cat /etc/default/useradd 
    2. # useradd defaults file
    3. GROUP=100
    4. HOME=/home
    5. INACTIVE=-1
    6. EXPIRE=
    7. SHELL=/bin/bash
    8. SKEL=/etc/skel
    9. CREATE_MAIL_SPOOL=yes
    • GROUP 在早期的Linux当中创建新用户都会将用户归入 GID=100这个组进来,但是目前已经不再使用了

    • HOME 在哪个文件夹生成家目录

    • INACTIVE = -1 用户密码过去后的宽限天数,-1代表永不过期,实际工作种建议改为0,到期后立马失效

    • EXPIRE = 密码的失效时间,一般不用,是一个时间戳 天数,从1970-1-1 0 到目标时间之间的天数,一般不用

    • SHELL :默认的SHELL编辑器

    • SKEL(模板):每当你新建一个用户的时候 (通过 useradd 命令),/etc/skel 目录下的文件,都会原封不动的复制到新建用户的家目录下。比如登录时配置文件.bash_profile,非登录配置文件.bashrc

    • CREATE_MAIL_SPOOL=yes 是不是要创建邮箱文件

    用户参数默认配置文件 /etc/login.defs

    Linux 系统中的 /etc/login.defs 文件用于在创建用户时,对用户的一些基本属性做默认设置,例如指定用户 UID 和 GID 的范围,用户的过期时间,密码的最大长度,等等。
    需要注意的是,该文件的用户默认配置对 root 用户无效。并且,当此文件中的配置与 /etc/passwd 和 /etc/shadow 文件中的用户信息有冲突时,系统会以 /etc/passwd 和 /etc/shadow 为准。

    1. [root@Server01 home]# cat /etc/login.defs 
    2. MAIL_DIR        /var/spool/mail
    3. PASS_MAX_DAYS   99999
    4. PASS_MIN_DAYS   0
    5. PASS_MIN_LEN    5
    6. PASS_WARN_AGE   7
    7. UID_MIN                  1000
    8. UID_MAX                 60000
    9. SYS_UID_MIN               201
    10. SYS_UID_MAX               999
    11. GID_MIN                  1000
    12. GID_MAX                 60000
    13. SYS_GID_MIN               201
    14. SYS_GID_MAX               999
    15. CREATE_HOME     yes
    16. UMASK           077
    17. ENCRYPT_METHOD SHA512
    • MAIL_DIR        /var/spool/mail        //为用户创建的邮箱文件保存位置
    • PASS_MAX_DAYS   99999           //密钥过期时间,单位为天
    • PASS_MIN_DAYS   0                    //表示是否可以修改密码 0表示可以修改,非0表示多少天后可以修改,修改密码后需要等待多少天之后才会生效
    • PASS_MIN_LEN    5                      //密码最小长度,目前不再使用
    • PASS_WARN_AGE   7                  //密码失效前多少天在用户登录时通知用户可以修改密码

    以下为UID的配置范围:

    • UID_MIN                  1000             
    • UID_MAX                 60000           
    • SYS_UID_MIN               201         
    • SYS_UID_MAX               999
    • GID_MIN                  1000
    • GID_MAX                 60000
    • SYS_GID_MIN               201
    • SYS_GID_MAX               999

    以下为用户家目录的相关配置信息

    • CREATE_HOME     yes        //是否自动创建家目录
    • UMASK           077               //用户家目录的掩码,077对应700的用户权限
    • ENCRYPT_METHOD SHA512  //用户密码的加密方式

    删除用户

    • userdel 【选项】 用户名
      • 选项类型
      • -r,它的作用是把用户的主目录、自动创建的邮件目录一起删除。
        • 示例
      1. 不使用-r参数
      2. [root@Server01 home]# userdel user1
      3. 现象:用户家目录残留,邮件目录残留
      4. [root@Server01 home]# ls
      5. user01  user1  user10
      6. [root@Server01 home]# cd /var/spool/mail/
      7. [root@Server01 mail]# ls
      8. rpc  user01  user02  user1

    修改用户参数

    • usermod 【选项】 用户名
    • 常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等,这些选项的意义与useradd命令中的选项一样,可以为用户指定新的资源值。

    修改用户密码

    用户密码配置文件/etc/shadow

    1. [root@Server01 mail]# cat /etc/shadow
    2. root:$6$ePnnqEHnn8iDU9Mr$65xALG6VxcudBw.6iWIotnn5N2ULnGh3ejS4TmfznluMmwFG9UaKyQeki1awwIFxHrqPJCjAjtp1ozoIXtm8B.:19240:0:99999:7:::
    3. bin:*:18199:0:99999:7:::

    用户密码的配置文件也是由多段组成,它们之间的对应关系一般如下:

    用户名:加密密码:最后一次修改时间:最小修改时间间隔:密码有效期:密码需要变更前的警告天数:密码过期后的宽限时间:账号失效时间:保留字段

    • 最后一次修改时间:表示从世界标准时间1970-1-10:0:0,到用户最后一次修改密码时的间隔天数。这个字段如果改成0,那么用户在下次登录的时候,就必须修改密码
      • 知道一个日期,得到天数:# echo $(($(date --date="2022/09/25"+%s)/86400+1))
      • 反过来,知道天数,得到日期:# date -d "1970-01-01 19775 days"
    • 最小修改时间间隔:最后一次修改密码(第3字段中记录的时间)后,必须等多少天后,才能在修改密码。默认是0,没间隔这个字段值就是前面我们讲的用户默认配置文件: /etc/login.defs中的PASS_MIN_DAYS配置的值就是这个的默认值
    • 密码有效期:”第3字段中记录的时间后多少天密码失效。默认值99999,几乎就是永久

    修改用户密码

    • passwd  【选项】 用户名  //普通用户只能修改自己的密码
      • -l 锁定口令,即禁用账号。 
          1. [root@Server01 home]# passwd -l user01 
          2. 锁定用户 user01 的密码 。
          3. passwd: 操作成功
          4.  
          5. 对比配置
          6. 相当于在/etc/shadow里面的密码部分前面加上两个 !! ,此时已经不能登录user01账号了
          7. user01:!!$6$hXPzx.roxkS06/rZ$dlMhiO0xz.gVkPDf2zUiSMgaDBzD2XyS0bLAKlEWa0wqRZWzRNa5jcTvJJmzwzOLWz8azOvr5k9nA1Eb8lcEy0::0:99999:7:::
      • -u 口令解锁。 
          1. [root@Server01 ~]# passwd -u user01
          2. 解锁用户 user01 的密码。
          3. passwd: 操作成功
      • -d 使账号无口令。
      • -f 强迫用户下次登录时修改口令

      • -stdin 通过管道符输出的数据作为密码    主要是为了在使用shell脚本的时候批量配置用户密码

        • echo ‘123456’ | passwd --stdin user1

    值得注意的是,当使用useradd创建新的用户没有创建密码时,是无法登录新账户的

    • 修改用户密码也可以用chage,这里不再展开详细描述

    用户组管理

    将用户分组是Linux 系统中对用户进行管理及控制访问权限的一种手段。每个用户都属于某个用户组;一个组中可以有多个用户,一个用户也可以属于不同的组。当一个用户同时是多个组中的成员时,在/etc/passwd文件中记录的是用户所属的主组,也就是登录时所属的默认组,而其他组称为附加组。一般情况下,用户的主组和用户同名。

    主组和附加组的关系

    用户的主组是用户一登录的时候就会有该用户组的权限。当有一个用户属于该主组的时候,这个主组不可被删除。例如user01的主组为user01,此时使用删除组的命令groupdel user01会失败。

    1. [root@localhost ~]# userdel user01 
    2. userdel: user user01 is currently used by process 11217

    但是可以修改用户的主组,之后再删除

    1. [root@localhost ~]# usermod -g user02 user01
    2. [root@localhost ~]# cat /etc/passwd
    3. root:x:0:0:root:/root:/bin/bash
    4. …… 中间部分省略
    5. user01:x:1000:1001::/home/user01:/bin/bash 
    6. [root@localhost ~]# groupdel user01

    附加组的删除则没有这么麻烦,可以直接删除。所谓的附加组就是用户登录的时候,如果属于多个附加组,那么这个用户就会拥有这些附加组的权限,比如如果user01用户加入了root用户组,那么user01就拥有了访问/root的权限。但是也仅仅如此。如果新建一个文件夹的时候,这个文件夹的权限依然属于主组,此时可以使用newgrp进行组切换。

    用户组配置文件/etc/group

    1. [root@Server01 ~]# cat /etc/group
    2. root:x:0:
    3. ……以下省略

    用户的组配置文件的含义一般如下:组名:口令:组标识号:组内用户列表

    • "组名"是用户组的名称,由字母或数字构成。与/etc/passwd中的登录名一样,组名不应重复。
    • "口令"字段存放的是用户组加密后的口令字。一般Linux 系统的用户组都没有口令,即这个字段一般为空,或者是*。
    • "组标识号"与用户标识号类似,也是一个整数,被系统内部用来标识组。
    • "组内用户列表"是属于这个组的所有用户的列表,不同用户之间用逗号(,)分隔。这个用户组可能是用户的主组,也可能是附加组。

    例如使用命令 useradd  -G root user100会有如下现象:

    1. 1、/etc/passwd里面新增一条组记录,这个组是user100的主组
    2. user100:x:1003:
    3. 2、/etc/passwd里的root组记录发生了变化,新增了一个用户user100
    4. root:x:0:user100

    新增组命令

    • groupadd 【选项】 用户组
    • 选项
      • -g GID 指定新用户组的组标识号(GID)。
      • -o 一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。

    删除组命令

    • groupdel 用户组

    修改用户组的属性命令

    • groupmod 【选项】用户组
    • 选项
      • ​​​​​​​​​​​​​​-g GID 为用户组指定新的组标识号。
      • -o 与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。
      • -n新用户组 将用户组的名字改为新名字

    管理用户入组

    gpasswd 【选项】 组名 (这里的组是指的是附加组)
    选项:
            -a用户名:把用户加入组

            -d 用户名:把用户从组中删除

    组切换:

    如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。例如:

    newgrp root
    这条命令将当前用户切换到root用户组,前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理,用户组的管理也可以通过集成的系统管理工具来完成。​​​​​​​

  • 相关阅读:
    C#医学检验室(LIS)信息管理系统源码
    首字母小写的标题在哪里编程
    链表经典面试题(一)
    G口服务器的作用是什么?
    【容器】docker基础使用
    在家自己动手修电视解决屏幕跳动问题
    【lwip】12-一文解决TCP原理
    python进程池之创建子任务的函数总结
    QML控件类型:ToolTip
    渗透测试(PenTest)基础指南
  • 原文地址:https://blog.csdn.net/qq_41595525/article/details/126909567