知識星球
運維行業正在變革,推薦閱讀:30萬年薪Linux運維工程師成長魔法
無論是出於 Linux 本身的多使用者多工分時作業系統的性質,還是出於系統安全的考慮, Linux 使用者和使用者組都是這個系統最重要的幾塊拼圖之一。無論是日常使用,還是作為伺服器來應用 Linux ,建立合適的使用者、組別,賦予相應的許可權,是基本的使用技巧。
今天小編為大家整理了 Linux 使用者及使用者組管理的相關內容,全篇文字超過一萬字,力圖為大家展示 Linux 使用者管理的全貌。如果你對於這些知識還不是很熟悉,那麼就一定仔細閱讀文章了哦~
概述
Linux系統是一個多使用者多工的分時作業系統,任何一個要使用系統資源的使用者,都必須首先向系統管理員申請一個賬號,然後以這個賬號的身份進入系統。
使用者的賬號一方面可以幫助系統管理員對使用系統的使用者進行跟蹤,並控制他們對系統資源的訪問;另一方面也可以幫助使用者組織檔案,併為使用者提供安全性保護。
每個使用者賬號都擁有一個惟一的使用者名稱和各自的口令。
使用者在登入時鍵入正確的使用者名稱和口令後,就能夠進入系統和自己的主目錄。
完成使用者管理的工作有許多種方法,但是每一種方法實際上都是對有關的系統檔案進行修改。
使用者管理檔案介紹
與使用者和使用者組相關的資訊都存放在一些系統檔案中,這些檔案包括/etc/passwd, /etc/shadow, /etc/group等。
下麵分別介紹這些檔案的內容。
1. /etc/passwd
/etc/passwd檔案是使用者管理工作涉及的最重要的一個檔案。
Linux系統中的每個使用者都在/etc/passwd檔案中有一個對應的記錄行,它記錄了這個使用者的一些基本屬性。
這個檔案對所有使用者都是可讀的。它的內容類似下麵的例子:
從上面的例子我們可以看到,/etc/passwd中一行記錄對應著一個使用者,每行記錄又被冒號(:)分隔為7個欄位,其格式和具體含義如下:
1)”使用者名稱”是代表使用者賬號的字串。
通常長度不超過8個字元,並且由大小寫字母和/或數字組成。登入名中不能有冒號(:),因為冒號在這裡是分隔符。
為了相容起見,登入名中最好不要包含點字元(.),並且不使用連字元(-)和加號(+)打頭。
2)“口令”一些系統中,存放著加密後的使用者口令字。
雖然這個欄位存放的只是使用者口令的加密串,不是明文,但是由於/etc/passwd檔案對所有使用者都可讀,所以這仍是一個安全隱患。因此,現在許多Linux 系統(如SVR4)都使用了shadow技術,把真正的加密後的使用者口令字存放到/etc/shadow檔案中,而在/etc/passwd檔案的口令欄位中只存放一個特殊的字元,例如“x”或者“*”。
3)“使用者標識號”是一個整數,系統內部用它來標識使用者。
一般情況下它與使用者名稱是一一對應的。如果幾個使用者名稱對應的使用者標識號是一樣的,系統內部將把它們視為同一個使用者,但是它們可以有不同的口令、不同的主目錄以及不同的登入Shell等。
通常使用者標識號的取值範圍是0~65 535。0是超級使用者root的標識號,1~99由系統保留,作為管理賬號,普通使用者的標識號從100開始。在Linux系統中,這個界限是500。
4)“組標識號”欄位記錄的是使用者所屬的使用者組。
它對應著/etc/group檔案中的一條記錄。
5)“註釋性描述”欄位記錄著使用者的一些個人情況。
例如使用者的真實姓名、電話、地址等,這個欄位並沒有什麼實際的用途。在不同的Linux 系統中,這個欄位的格式並沒有統一。在許多Linux系統中,這個欄位存放的是一段任意的註釋性描述文字,用做finger命令的輸出。
6)“主目錄”,也就是使用者的起始工作目錄。
它是使用者在登入到系統之後所處的目錄。在大多數系統中,各使用者的主目錄都被組織在同一個特定的目錄下,而使用者主目錄的名稱就是該使用者的登入名。各使用者對自己的主目錄有讀、寫、執行(搜尋)許可權,其他使用者對此目錄的訪問許可權則根據具體情況設定。
7)使用者登入後,要啟動一個行程,負責將使用者的操作傳給核心,這個行程是使用者登入到系統後執行的命令直譯器或某個特定的程式,即Shell。
Shell是使用者與Linux系統之間的介面。Linux的Shell有許多種,每種都有不同的特點。常用的有sh(Bourne Shell), csh(C Shell), ksh(Korn Shell), tcsh(TENEX/TOPS-20 type C Shell), bash(Bourne Again Shell)等。
系統管理員可以根據系統情況和使用者習慣為使用者指定某個Shell。如果不指定Shell,那麼系統使用sh為預設的登入Shell,即這個欄位的值為/bin/sh。
使用者的登入Shell也可以指定為某個特定的程式(此程式不是一個命令直譯器)。
利用這一特點,我們可以限制使用者只能執行指定的應用程式,在該應用程式執行結束後,使用者就自動退出了系統。有些Linux 系統要求只有那些在系統中登記了的程式才能出現在這個欄位中。
8)系統中有一類使用者稱為偽使用者(psuedo users)。
這些使用者在/etc/passwd檔案中也佔有一條記錄,但是不能登入,因為它們的登入Shell為空。它們的存在主要是方便系統管理,滿足相應的系統行程對檔案屬主的要求。
常見的偽使用者如下所示:
其他帳戶檔案
1、除了上面列出的偽使用者外,還有許多標準的偽使用者,例如:audit, cron, mail, usenet等,它們也都各自為相關的行程和檔案所需要。
由於/etc/passwd檔案是所有使用者都可讀的,如果使用者的密碼太簡單或規律比較明顯的話,一臺普通的計算機就能夠很容易地將它破解,因此對安全性要求較高的Linux系統都把加密後的口令字分離出來,單獨存放在一個檔案中,這個檔案是/etc/shadow檔案。 有超級使用者才擁有該檔案讀許可權,這就保證了使用者密碼的安全性。
2、/etc/shadow中的記錄行與/etc/passwd中的一一對應,它由pwconv命令根據/etc/passwd中的資料自動產生。
它的檔案格式與/etc/passwd類似,由若干個欄位組成,欄位之間用”:”隔開。這些欄位是:
-
“登入名”是與/etc/passwd檔案中的登入名相一致的使用者賬號
-
“口令”欄位存放的是加密後的使用者口令字,長度為13個字元。如果為空,則對應使用者沒有口令,登入時不需要口令;如果含有不屬於集合 { ./0-9A-Za-z }中的字元,則對應的使用者不能登入。
-
“最後一次修改時間”表示的是從某個時刻起,到使用者最後一次修改口令時的天數。時間起點對不同的系統可能不一樣。例如在SCO Linux 中,這個時間起點是1970年1月1日。
-
“最小時間間隔”指的是兩次修改口令之間所需的最小天數。
-
“最大時間間隔”指的是口令保持有效的最大天數。
-
“警告時間”欄位表示的是從系統開始警告使用者到使用者密碼正式失效之間的天數。
-
“不活動時間”表示的是使用者沒有登入活動但賬號仍能保持有效的最大天數。
-
“失效時間”欄位給出的是一個絕對的天數,如果使用了這個欄位,那麼就給出相應賬號的生存期。期滿後,該賬號就不再是一個合法的賬號,也就不能再用來登入了。
下麵是/etc/shadow的一個例子:
3、使用者組的所有資訊都存放在/etc/group檔案中。
將使用者分組是Linux 系統中對使用者進行管理及控制訪問許可權的一種手段。
每個使用者都屬於某個使用者組;一個組中可以有多個使用者,一個使用者也可以屬於不同的組。
當一個使用者同時是多個組中的成員時,在/etc/passwd檔案中記錄的是使用者所屬的主組,也就是登入時所屬的預設組,而其他組稱為附加組。
使用者要訪問屬於附加組的檔案時,必須首先使用newgrp命令使自己成為所要訪問的組中的成員。
使用者組的所有資訊都存放在/etc/group檔案中。此檔案的格式也類似於/etc/passwd檔案,由冒號(:)隔開若干個欄位,這些欄位有:
-
“組名”是使用者組的名稱,由字母或數字構成。與/etc/passwd中的登入名一樣,組名不應重覆。
-
“口令”欄位存放的是使用者組加密後的口令字。一般Linux 系統的使用者組都沒有口令,即這個欄位一般為空,或者是*。
-
“組標識號”與使用者標識號類似,也是一個整數,被系統內部用來標識組。
-
“組內使用者串列”是屬於這個組的所有使用者的串列/b],不同使用者之間用逗號(,)分隔。這個使用者組可能是使用者的主組,也可能是附加組。
/etc/group檔案的一個例子如下:
使用者管理命令
1. 新增使用者
建立或新增新使用者使用 useradd 命令來實現,其命令用法為:
該命令的 option 選項較多,常用的主要有:
-
-c 註釋 使用者設定對賬戶的註釋說明文字
-
-d 主目錄 指定用來取代預設的 / home/username 的主目錄
-
-m 若主目錄不存在,則建立它。-r 與 – m 相結合,可為系統賬戶建立主目錄
-
-M 不建立主目錄
-
-e date 指定賬戶過期的日期。日期格式為 MM/DD/YY
-
-f days 帳號過期幾日後永久停權。若指定為 -,則立即被停權,若為 – 1,則關閉此功能
-
-g 使用者組 指定將使用者加入到哪個使用者組,該使用者組必須存在
-
-G 使用者組串列 指定使用者同時加入的使用者組串列,各組用逗分隔
-
-n 不為使用者建立私有使用者組
-
-s shell 指定使用者登入時使用的 shell,預設為 / bin/bash
-
-r 建立一個使用者 ID 小於 500 的系統賬戶,預設不建立對應的主目錄
-
-u 使用者 ID 手動指定新使用者的 ID 值,該值必須唯一,且大於 499
-
-p password 為新建使用者指定登入密碼。此處的 password 是對應登入密碼經 MD5 加密後所得到的密碼值,不實真實密碼原文,因此在實際應用中,該引數選項使用較少,通常單獨使用 passwd 命令來為使用者設定登入密碼。
示例:
若要建立一個名為 nisj 的使用者,並作為 babyfish 使用者組的成員,則操作命令為:
新增使用者時,若未用 – g 引數指定使用者組,則系統預設會自動建立一個與使用者帳號同名的私有使用者組。若不需要建立該私有使用者組,則可選用 – n 引數。
比如,新增一個名為 nsj820 的賬戶,但不指定使用者組,其操作結果為:
建立使用者賬戶時,系統會自動建立該使用者對應的主目錄,該目錄預設放在 / home 目錄下,若要改變位置,可以利用 – d 引數指定;對於使用者登入時使用的 shell,預設為 / bin/bash,若要更改,則使用 – s 引數指定。
例如,若要建立一個名為 vodup 的賬戶,主目錄放在 / var 目錄下,並指定登入 shell 為 / sbin/nologin,則操作命令為:
2. 設定帳號屬性
對於已建立好的使用者,可使用 usermod 命令來修改和設定賬戶的各項屬性,包括登入名,主目錄,使用者組,登入 shell 等,該命令用法為:
部分 option 選項:
(1)改變使用者帳戶名
使用 – l 引數來實現,命令用法為:
例如,若要將使用者 nsj820 更名為 nsj0820,則操作命令為:
從輸出結果可見,使用者名稱已更改為 nsj0820。主目錄仍為原來的 / home/nsj820,若也要更改為 / home/nsj0820,則可透過執行以下命令來實現
(2)鎖定賬戶
若要臨時禁止使用者登入,可將該使用者賬戶鎖定。鎖定賬戶可利用 – L 引數來實現,其命令用法為:
linux 鎖定使用者,是透過在密碼檔案 shadow 的密碼欄位前加 “!” 來標識該使用者被鎖定。
但透過 root 使用者進去,然後 su 到被鎖定的使用者,是可以進去的。
(3)解鎖賬戶
要解鎖賬戶,可以使用帶 -U 引數的 usermod 命令來實現。
3. 刪除賬戶
要刪除賬戶,可以使用 userdel 命令來實現,其用法為:
-r 為可選項,若帶上該引數,則在刪除該賬戶的同時,一併刪除該賬戶對應的主目錄。
若要設定所有使用者賬戶密碼過期的時間,則可透過修改 / etc/login.defs 配置檔案中的 PASS_MAX_DAYS 配置項的值來實現,其預設值為 99999,代表使用者賬戶密碼永不過期。其中 PASS_MIN_LEN 配置項用於指定賬戶密碼的最小長度,預設為 5 個字元。
4. 設定使用者登入密碼
使用 passwd 命令來設定,其命令用法為:
若指定了帳戶名稱,則設定指定賬戶的登入密碼,原密碼自動被改寫。只有 root 使用者才有權設定指定賬戶的密碼。一般使用者只能設定或修改自己賬戶的密碼(不帶引數)。
例如, 若要設定 nisj 賬戶的登陸密碼,則操作命令為:
賬戶登入密碼設定後,該賬戶就可以登入系統了。
5. 鎖定 / 解鎖賬戶密碼及查詢密碼狀態、刪除賬戶密碼
在 linux 中,除了使用者賬戶可被鎖定外,賬戶密碼也可被鎖定,任何一方被鎖定後,都將無法登入系統。只有 root 使用者才有權執行該命令,鎖定賬戶密碼使用帶 – l 選項的 passwd 命令,其用法為:
要查詢當前賬戶的密碼是否被鎖定,可以使用帶 – S 引數的 passwd 命令來實現,其用法為:
例如
如要刪除賬戶的密碼,使用帶 – d 引數的 passwd 命令來實現,該命令也只有 root 使用者才有權執行,其用法為:
帳戶密碼被刪除後,將不能登入系統,除非重新設定密碼。
6. 建立使用者組
使用者和使用者組屬於多對多關係,一個使用者可以同時屬於多個使用者組,一個使用者組可以包含多個不同的使用者。
建立使用者組使用 groupadd 命令,其命令用法為:
若命令帶有 – r 引數,則建立系統使用者組,該類使用者組的 GID 值小於 500;若沒有 – r 引數,則建立普通使用者組,其 GID 值大於或等於 500.
7. 修改使用者組屬性
使用者組建立後,根據需要可對使用者組的相關屬性進行修改。對使用者組屬性的修改,主要是修改使用者組的名稱和使用者組的 GID 值。
(1)改變使用者組的名稱
若要對使用者組進行重新命名,可使用帶 – n 引數的 groupmod 命令來實現,其用法為:
對於使用者組改名,不會改變其 GID 的值
比如,若要將 student 使用者組更名為 teacher 使用者組,則操作命令為:
(2)重設使用者組的 GID
使用者組的 GID 值可以重新進行設定修改,但不能與已有使用者組的 GID 值重覆。對 GID 進行修改,不會改變使用者名稱的名稱。
要修改使用者組的 GID,可使用帶 – g 引數的 groupmod 命令,其用法為:
例如,若要將 teacher 組的 GID 更改為 506,則操作命令為:
8. 刪除使用者組
刪除使用者組使用 groupdel 命令來實現,其用法為:
在刪除使用者組時,被刪除的使用者組不能是某個賬戶的私有使用者組,否則將無法刪除,若要刪除,則應先刪除取用該私有使用者組的賬戶,然後再刪除使用者組。
9. 新增使用者到指定的組 / 從指定的組中移除使用者
可以將使用者新增到指定的組,使其成為該組的成員。其實現命令為:
若要從使用者組中移除某使用者,其實現命令為:
例如:
10. 設定使用者組管理員
新增使用者到組和從組中移除某使用者,除了 root 使用者可以執行該操作外,使用者組管理員也可以執行該操作。
要將某使用者指派為某個使用者組的管理員,可使用以下命令來實現;
使用者管理員只能對授權的使用者組進行使用者管理 (新增使用者到組或從組中刪除使用者),無權對其他使用者組進行管理。
11. 使用者其他相關
另外,linux 還提供了 id,whoami 和 groups 等命令,用來檢視使用者和組的狀態。id 命令用於顯示當前使用者的 uid,gid 和所屬的使用者組的串列;whoami 用於查詢當前使用者的名稱;groups 用於產看指定使用者所隸屬的使用者組。
同時,我們可以使用圖形介面來管理使用者和使用者組,系統 —> 管理 —> 使用者和組群可以開啟相應的配置介面。
附:
將一個使用者新增到使用者組中,千萬不能直接用:
這樣做會使你離開其他使用者組,僅僅做為這個使用者組 groupA 的成員。
應該用 加上 -a 選項:
-a 代表 append, 也就是 將自己新增到 使用者組 groupA 中,而不必離開其他使用者組。
————近期開班————
《馬哥Linux雲端計算及架構師》課程,由知名Linux佈道師馬哥創立,經歷了8年的發展,聯合阿裡巴巴、唯品會、大眾點評、騰訊、陸金所等大型網際網路一線公司的馬哥課程團隊的工程師進行深度定製開發,課程採用 Centos7.2系統教學,加入了大量實戰案例,授課案例均來自於一線的技術案例,自動化運維、Devops、雲服務、python等技能一站式搞定,掌握2018年linux雲端計算高薪未來。
29期網路班:2018年02月10日(網路)
30期面授班:2018年03月26日(北京)
更多Linux好文請點選【閱讀原文】哦
↓↓↓
