詳細到沒朋友,一文幫你理清Linux 用戶與用戶組關系~

1、用戶和用戶組文件

在 linux 中,用戶帳號,用戶密碼,用戶組信息和用戶組密碼均是存放在不同的配置文件中的。

在 linux 系統中,所創建的用戶帳號和其相關信息 (密碼除外) 均是存放在 / etc/passwd 配置文件中。由于所有用戶對 passwd 文件均有讀取的權限,因此密碼信息并未保存在該文件中,而是保存在了 / etc/shadow 的配置文件中。

在 passwd 文件中,一行定義一個用戶帳號,每行均由多個不同的字段構成,各字段值間用 “:” 分隔,每個字段均代表該帳號某方面的信息。

在剛安裝完成的 linux 系統中,passwd 配置文件已有很多帳號信息了,這些帳號是由系統自動創建的,他們是 linux 進程或部分服務程序正常工作所需要使用的賬戶,這些賬戶的最后一個字段的值一般為 / sbin/nologin,表示該帳號不能用來登錄 linux 系統。

在 passwd 配置文件中,從左至右各字段的對應關系及其含義:

詳細到沒朋友,一文幫你理清Linux 用戶與用戶組關系~

由于 passwd 不再保存密碼信息,所以用 x 占位代表。

若要使某個用戶賬戶不能登錄 linux,只需設置該用戶所使用的 shell 為 / sbin/nologin 即可。比如,對于 FTP 賬戶,一般只允許登錄和訪問 FTP 服務器,不允許登錄 linux 操作系統。若要讓某用戶沒有 telnet 權限,即不允許該用戶利用 telnet 遠程登錄和訪問 linux 操作系統,則設置該用戶所使用的 shell 為 / bin/true 即可。若要讓用戶沒有 telnet 和 ftp 登錄權限,則可設置該用戶的 shell 為 / bin/false。

在 / etc/shells 文件中,若沒有 / bin/true 或 / bin/false,則需要手動添加:

[[email protected] ~]# echo "/bin/false">>/etc/shells
[[email protected] ~]# echo "/bin/true">>/etc/shells

2、用戶密碼文件

為安全起見,用戶真實的密碼采用 MD5 加密算法加密后,保存在 / etc/shadow 配置文件中,該文件只有 root 用戶可以讀取。

與 passwd 文件類似,shadow 文件也是每行定義和保存一個賬戶的相關信息。第一個字段為用戶帳戶名,第二個字段為賬戶的密碼。

3、用戶組帳號文件

用戶組帳號信息保存在 / etc/group 配置文件中,任何用戶均可以讀取。用戶組的真實密碼保存在 / etc/gshadow 配置文件中。

在 group 中,第一個字段代表用戶組的名稱,第二個字段為 x,第三個為用戶組的 ID 號,第四個為該用戶組的用戶成員列表,各用戶名間用逗號分隔。

4、添加用戶

創建或添加新用戶使用 useradd 命令來實現,其命令用法為:

useradd [option] username

該命令的 option 選項較多,常用的主要有:

-c 注釋      用戶設置對賬戶的注釋說明文字
-d 主目錄    指定用來取代默認的 / home/username 的主目錄
-m          若主目錄不存在,則創建它。-r 與 - m 相結合,可為系統賬戶創建主目錄
-M          不創建主目錄
-e date     指定賬戶過期的日期。日期格式為 MM/DD/YY
-f days     帳號過期幾日后永久停權。若指定為 -,則立即被停權,若為 - 1,則關閉此功能
-g 用戶組     指定將用戶加入到哪個用戶組,該用戶組必須存在
-G 用戶組列表 指定用戶同時加入的用戶組列表,各組用逗分隔
-n          不為用戶創建私有用戶組
-s shell    指定用戶登錄時使用的 shell,默認為 / bin/bash
-r          創建一個用戶 ID 小于 500 的系統賬戶,默認不創建對應的主目錄
-u 用戶 ID    手動指定新用戶的 ID 值,該值必須唯一,且大于 499
-p password 為新建用戶指定登錄密碼。此處的 password 是對應登錄密碼經 MD5 加密后所得到的密碼值,不實真實密碼原文,因此在實際應用中,該參數選項使用較少,通常單獨使用 passwd 命令來為用戶設置登錄密碼。

示例:

若要創建一個名為 nisj 的用戶,并作為 babyfish 用戶組的成員,則操作命令為:

[[email protected] ~]# useradd -g babyfish nisj
[[email protected] ~]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish)
[[email protected] ~]# tail -1 /etc/passwd
nisj:x:502:500::/home/nisj:/bin/bash

添加用戶時,若未用 – g 參數指定用戶組,則系統默認會自動創建一個與用戶帳號同名的私有用戶組。若不需要創建該私有用戶組,則可選用 – n 參數。

比如,添加一個名為 nsj820 的賬戶,但不指定用戶組,其操作結果為:

[[email protected] ~]# useradd nsj820
[[email protected] ~]# id nsj820
uid=503(nsj820) gid=503(nsj820) groups=503(nsj820)
[[email protected] ~]# tail -1 /etc/passwd
nsj820:x:503:503::/home/nsj820:/bin/bash
[[email protected] ~]# tail -2 /etc/passwd
nisj:x:502:500::/home/nisj:/bin/bash
nsj820:x:503:503::/home/nsj820:/bin/bash #系統自動創建了名為 nsj820 的用戶組,ID 號為 503

創建用戶賬戶時,系統會自動創建該用戶對應的主目錄,該目錄默認放在 / home 目錄下,若要改變位置,可以利用 – d 參數指定;對于用戶登錄時使用的 shell,默認為 / bin/bash,若要更改,則使用 – s 參數指定

例如,若要創建一個名為 vodup 的賬戶,主目錄放在 / var 目錄下,并指定登錄 shell 為 / sbin/nologin,則操作命令為:

[[email protected] ~]#  useradd -d /var/vodup -s /sbin/nologin vodup
[[email protected] ~]# id vodup
uid=504(vodup) gid=504(vodup) groups=504(vodup)
[[email protected] ~]# tail -1 /etc/passwd
vodup:x:504:504::/var/vodup:/sbin/nologin
[[email protected] ~]# tail -1 /etc/group
vodup:x:504:

5、設置帳號屬性

對于已創建好的用戶,可使用 usermod 命令來修改和設置賬戶的各項屬性,包括登錄名,主目錄,用戶組,登錄 shell 等,該命令用法為:

usermod [option] username

部分 option 選項

(1)改變用戶帳戶名

使用 – l 參數來實現,命令用法為:

usermod -l 新用戶名 原用戶名

例如,若要將用戶 nsj820 更名為 nsj0820,則操作命令為:

[[email protected] ~]# usermod -l nsj0820 nsj820
[[email protected] ~]# id nsj0820
uid=503(nsj0820) gid=503(nsj820) groups=503(nsj820)
[[email protected] ~]# tail -1 /etc/passwd
nsj0820:x:503:503::/home/nsj820:/bin/bash

從輸出結果可見,用戶名已更改為 nsj0820。主目錄仍為原來的 / home/nsj820,若也要更改為 / home/nsj0820,則可通過執行以下命令來實現

[[email protected] ~]# usermod -d /home/nsj0820 nsj0820
[[email protected] ~]# id nsj0820
uid=503(nsj0820) gid=503(nsj820) groups=503(nsj820)
[[email protected] ~]# tail -1 /etc/passwd
nsj0820:x:503:503::/home/nsj0820:/bin/bash
[[email protected] home]# mv /home/nsj820 /home/nsj0820

(2)鎖定賬戶

若要臨時禁止用戶登錄,可將該用戶賬戶鎖定。鎖定賬戶可利用 – L 參數來實現,其命令用法為:

usermod -L 要鎖定的賬戶

linux 鎖定用戶,是通過在密碼文件 shadow 的密碼字段前加 “!” 來標識該用戶被鎖定。

[[email protected] home]# usermod -L nsj0820
[[email protected] home]# tail -1 /etc/shadow
nsj0820:!$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK30:16910:0:99999:7:::

但通過 root 用戶進去,然后 su 到被鎖定的用戶,是可以進去的。

(3)解鎖賬戶

要解鎖賬戶,可以使用帶 -U 參數的 usermod 命令來實現。

[[email protected] ~]# usermod -U nsj0820
[[email protected] ~]# tail -1 /etc/shadow
nsj0820:$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK30:16910:0:99999:7:::

6、刪除賬戶

要刪除賬戶,可以使用 userdel 命令來實現,其用法為:

userdel [-r] 帳戶名

-r 為可選項,若帶上該參數,則在刪除該賬戶的同時,一并刪除該賬戶對應的主目錄。

[[email protected] ~]# userdel -r nsj0820

若要設置所有用戶賬戶密碼過期的時間,則可通過修改 / etc/login.defs 配置文件中的 PASS_MAX_DAYS 配置項的值來實現,其默認值為 99999,代表用戶賬戶密碼永不過期。其中 PASS_MIN_LEN 配置項用于指定賬戶密碼的最小長度,默認為 5 個字符。

7、設置用戶登錄密碼

使用 passwd 命令來設置,其命令用法為:

passwd [帳戶名]

若指定了帳戶名稱,則設置指定賬戶的登錄密碼,原密碼自動被覆蓋。只有 root 用戶才有權設置指定賬戶的密碼。一般用戶只能設置或修改自己賬戶的密碼(不帶參數)。

例如, 若要設置 nisj 賬戶的登陸密碼,則操作命令為:

[[email protected] home]# passwd nisj
Changing password for user nisj.
New password: 
BAD PASSWORD: it is too short
BAD PASSWORD: is too simple
Retype new password: 
passwd: all authentication tokens updated successfully.

賬戶登錄密碼設置后,該賬戶就可以登錄系統了。

8、鎖定 / 解鎖賬戶密碼及查詢密碼狀態、刪除賬戶密碼

在 linux 中,除了用戶賬戶可被鎖定外,賬戶密碼也可被鎖定,任何一方被鎖定后,都將無法登錄系統。只有 root 用戶才有權執行該命令,鎖定賬戶密碼使用帶 – l 選項的 passwd 命令,其用法為:

passwd -l 帳戶名
passwd -u 帳戶名    #解鎖賬戶密碼
[[email protected] home]# passwd -l nisj
Locking password for user nisj.
passwd: Success
[[email protected] home]# passwd -u nisj
Unlocking password for user nisj.
passwd: Success

要查詢當前賬戶的密碼是否被鎖定,可以使用帶 – S 參數的 passwd 命令來實現,其用法為:

passwd -S 賬戶名

例如

[[email protected] home]# passwd -S nisj
nisj PS 2016-04-18 0 99999 7 -1 (Password set, MD5 crypt.)

如要刪除賬戶的密碼,使用帶 – d 參數的 passwd 命令來實現,該命令也只有 root 用戶才有權執行,其用法為:

passwd -d 帳戶名

帳戶密碼被刪除后,將不能登錄系統,除非重新設置密碼。

9、創建用戶組

用戶和用戶組屬于多對多關系,一個用戶可以同時屬于多個用戶組,一個用戶組可以包含多個不同的用戶。

創建用戶組使用 groupadd 命令,其命令用法為:

groupadd [-r] 用戶組名稱

若命令帶有 – r 參數,則創建系統用戶組,該類用戶組的 GID 值小于 500;若沒有 – r 參數,則創建普通用戶組,其 GID 值大于或等于 500.

10、修改用戶組屬性

用戶組創建后,根據需要可對用戶組的相關屬性進行修改。對用戶組屬性的修改,主要是修改用戶組的名稱和用戶組的 GID 值。

(1)改變用戶組的名稱

若要對用戶組進行重命名,可使用帶 – n 參數的 groupmod 命令來實現,其用法為:

groupmod -n 新用戶組名  原用戶組名

對于用戶組改名,不會改變其 GID 的值

比如,若要將 student 用戶組更名為 teacher 用戶組,則操作命令為:

[[email protected] home]# groupadd student
[root[email protected] home]# tail -1 /etc/group
student:x:505:
[[email protected] home]# groupmod -n teacher student
[[email protected] home]# tail -1 /etc/group
teacher:x:505:

(2)重設用戶組的 GID

用戶組的 GID 值可以重新進行設置修改,但不能與已有用戶組的 GID 值重復。對 GID 進行修改,不會改變用戶名的名稱。

要修改用戶組的 GID,可使用帶 – g 參數的 groupmod 命令,其用法為:

groupmod -g new_GID 用戶組名稱

例如,若要將 teacher 組的 GID 更改為 506,則操作命令為:

[[email protected] home]#  groupmod -g 506 teacher
[[email protected] home]# tail -1 /etc/group
teacher:x:506:

11、刪除用戶組

刪除用戶組使用 groupdel 命令來實現,其用法為:

groupdel 用戶組名

在刪除用戶組時,被刪除的用戶組不能是某個賬戶的私有用戶組,否則將無法刪除,若要刪除,則應先刪除引用該私有用戶組的賬戶,然后再刪除用戶組。

[[email protected] home]# groupdel teacher
[[email protected] ~]# grep teacher /etc/group    #沒有輸出,說明 teacher 用戶組以不存在,刪除成功

12、添加用戶到指定的組 / 從指定的組中移除用戶

可以將用戶添加到指定的組,使其成為該組的成員。其實現命令為:

gpasswd -a 用戶賬戶  用戶組名

若要從用戶組中移除某用戶,其實現命令為:

gpasswd -d 用戶賬戶  用戶組名

例如:

[[email protected] home]# groupadd student
[[email protected] home]# gpasswd -a nisj student
Adding user nisj to group student
[[email protected] home]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish),505(student)
[[email protected] home]# gpasswd -d nisj student
Removing user nisj from group student
[[email protected] home]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish)
[[email protected] home]# groups nisj
nisj : babyfish

13、設置用戶組管理員

添加用戶到組和從組中移除某用戶,除了 root 用戶可以執行該操作外,用戶組管理員也可以執行該操作。

要將某用戶指派為某個用戶組的管理員,可使用以下命令來實現;

gpasswd -A 用戶賬戶 要管理的用戶組

命令功能:將指定的用戶設置為指定用戶組的用戶管理員。用戶管理員只能對授權的用戶組進行用戶管理 (添加用戶到組或從組中刪除用戶),無權對其他用戶組進行管理。

[[email protected] home]# gpasswd -a nisj student
Adding user nisj to group student
[[email protected] home]# gpasswd -A nisj student
[[email protected] home]# useradd stu
[[email protected] home]# gpasswd -a stu student
Adding user stu to group student
[[email protected] home]# groups stu
stu : stu student
[[email protected] home]# su - nisj
[[email protected] ~]$ gpasswd -d stu student
Removing user stu from group student
[[email protected] ~]$ gpasswd -d stu stu
gpasswd: Permission denied.

14、用戶其他相關

另外,linux 還提供了 id,whoami 和 groups 等命令,用來查看用戶和組的狀態。id 命令用于顯示當前用戶的 uid,gid 和所屬的用戶組的列表;whoami 用于查詢當前用戶的名稱;groups 用于產看指定用戶所隸屬的用戶組。

同時,我們可以使用圖形界面來管理用戶和用戶組,系統 —> 管理 —> 用戶和組群可以打開相應的配置界面。

附:將用戶添加到組中,也可以如下操作

將一個用戶添加到用戶組中,千萬不能直接用:

usermod -G groupA 

這樣做會使你離開其他用戶組,僅僅做為這個用戶組 groupA 的成員。

應該用 加上 -a 選項:

usermod -a -G groupA user
(FC4: usermod -G groupA,groupB,groupC user)

-a 代表 append, 也就是 將自己添加到 用戶組 groupA 中,而不必離開其他用戶組。

相關新聞

聯系我們

400-080-6560

在線咨詢:點擊這里給我發消息

郵件:[email protected]

工作時間:周一至周日,09:00-18:30

QR code
云南快乐10分开奖直播