用户和组

一、用户类型

1、Linux 的单用户多任务

一个用户登入，执行多个任务。比如你使用电脑，聊着QQ，听着音乐。

2、Linux 的多用户多任务

apache用户提供web服务
root用户操作系统，互不影响

3、Linux 系统用户角色划分

用户在系统中是分角色的，在Linux系统中，由于角色不同，权限和所完成的任务也不同。值得注意的是用户的角色是通过UID和GID 识别的。特别是UID，在运维工作中，一个UID是唯一标识一个系统用户的账号。

• 超级用户：

  默认是root用户，其UID和GID 均为O，在每台unix/linux操作系统中都是唯一且真实存在的，通过它可以登录系统。可以操作系统中任何文件。拥有最高的管理权限。在生产环境中，一般会禁止root账号远程SSH连接服务器，以加强系统安全。

• 普通用户：

  这类用户一般是由具备系统管理员root的权限的运维人员添加的

• 虚拟用户：

  与真实普通用户区分来，这类用户最大的特点是安装系统后默认就会存在，且默认情况不能登录系统，他们是系统正常运行不可缺少的，他们的存在主要是方便管理系统，满足相应的系统进程对文件属主的要求。如：bin adm nobody

多用户系统从实际上来说使得系统更为方便。从安全角度来说，多用户系统也更为安全。

二、用户和用户组

1、用户及用户组配置文件介绍

/etc/passwd,/etc/shadow,/etc/group,/etc/gshadow 四个文件。

2、用户：/etc/passwd

文件中每一行定义一个用户账号。各内容之间又通过“：”划分为多个字段。
（提示：passwd文件中有很多虚拟账号、如bin,daemon等），一般来说，这些账号是系统运行所需要的。在不确定的情况下，请不要随意删改此类账号。


root:    x        :0        :0        :root        :/root        :/bin/bash
账号名称    账号密码     账号UID        账号GID     用户说明    用户家目录    shell解释器

3、UID字段限制说明：

0为超级用户
1-499 为系统保留使用的UID。防止人为建立账户的UID与系统的UID之间冲突
500-65535 普通账户UID
权限：644
/etc/shadow
权限：400，只有root可读
同样用“：” 分为9个字段。

含义分别为：

账号密码：最近更改密码的时间：禁止修改密码的天数：用户必须更改口令的天数：警告更改密码的天数：不活动时间：失效时间：标志

4、用户组配置文件：

/etc/group
/etc/gshadow
/etc/group 字段含义
用户组名：用户组密码：GID:用户组成员
/etc/gshadow
用户组名：用户组密码：用户组管理员账号：用户组成员

三、用户管理

1、用户与用户组管理基本命令总结：

• 用户：

useradd     同 adduser，执行命令可在系统中添加用户。
passwd         执行此命令可为用户设置密码。    
usermod     修改用户的命令，可以通过usermod来修改用户登录名，用户的家目录等等
id        查看用户的uid,gid及所归属的用户组
su        用户切换工具
sudo         sudo 是通过另一个用户来执行命令（execute a command as another user),su是用来切换用户，然后切换到的用户来完成相应的任务，但sudo能在命令后面直接接命令执行，比如 sudo ls /root/,不需要root 密码就可以执行只有root才能执行相应的命令或具备目录权限：这个权限需要通过visudo命令或直接编辑/etc/sudoers 来实现
visudo        visodu配置sudo权限的编辑命令；也可以不用这个命令，直接用vi编辑/ect/sudoers实现。
pwcov         同步用户从 /etc/passwd 到 /etc/shadow.
pwck        pwck是校验用户配置文件/etc/passwd 和/etc/shadow 文件内容是否合法或完整
pwunconv     是pwcov的逆向操作，是从/etc/shadow和/etc/passwd 创建 /etc/passwd.然后会删除 /etc/shadow文件
chfn         更改用户信息工具
finger        查看用户信息工具
sudoedit    和sudo功能差不多

• 用户组：

groupadd     添加用户组
groupdel    删除用户组
groupmod    修改用户组信息
groups        显示用户所属的用户组
grpck    
grpconv     通过/etc/group 和/etc/gshadow/ 的文件内容来同步或创建 /etc/gshadow,如果/etc/gshadow 不存在则创建。
grpunconv     通过/etc/group 和/etc/gshadow 文件内容来同步或创建/etc/group,然后删除gshadow文件。

2、/etc/skel 目录

/etc/skel 目录是用来存放新用户配置文件的目录，当我们添加新用户时，这个目录下的所有文件会被自动复制到新添加的用户的家目录下；默认情况下，/etc/skel 目录下的所有文件都是隐藏文件（以点开头的文件）；通过修改，添加，删除/etc/skel目录下的文件，我们可为新创建的用户提供统一，标准的，初始化用户环境。


[[email?protected] skel]# ls -al
总用量 24
drwxr-xr-x.  3 root root 4096 6月  24 03:12 .
drwxr-xr-x. 85 root root 4096 7月   2 03:43 ..
-rw-r--r--.  1 root root   18 7月  18 2013 .bash_logout
-rw-r--r--.  1 root root  176 7月  18 2013 .bash_profile
-rw-r--r--.  1 root root  124 7月  18 2013 .bashrc
drwxr-xr-x.  2 root root 4096 11月 12 2010 .gnome2

当我们用useradd命令添加新用户的时候，Linux系统会自动复制/etc/skel/下的所有文件（包括隐藏文件）到新添加用户的家目录下。

实例一：

[[email?protected] skel]# touch longge
[[email?protected] skel]# useradd longdidi

[[email?protected] longdidi]# ls /home/longdidi/ -al
总用量 24
drwx------. 3 longdidi longdidi 4096 7月   2 06:31 .
drwxr-xr-x. 3 root     root     4096 7月   2 06:31 ..
-rw-r--r--. 1 longdidi longdidi   18 7月  18 2013 .bash_logout
-rw-r--r--. 1 longdidi longdidi  176 7月  18 2013 .bash_profile
-rw-r--r--. 1 longdidi longdidi  124 7月  18 2013 .bashrc
drwxr-xr-x. 2 longdidi longdidi 4096 11月 12 2010 .gnome2
-rw-r--r--. 1 longdidi longdidi    0 7月   2 06:30 longge

提示：上面所述功能，实际工作中可以考虑统一设置环境变量等，但一般中小公司，在生产环境一般不会随意改这个目录及内容。

3、/etc/login.defs 配置文件

/etc/login.defs 文件是用来定义创建用户时需要的一些用户的配置信息。如创建用户时，是否需要家目录，UID和GID的范围，用户及密码的有效期限等。


[[email?protected] longdidi]# egrep -v ‘^#|^$‘ /etc/login.defs 
MAIL_DIR        /var/spool/mail                #创建用户时， 要在目录/var/spool/mail中创建一个用户mail文件
PASS_MAX_DAYS   99999                    #一个密码最长可以使用的天数；
PASS_MIN_DAYS   0                    #更换密码的最小天数；
PASS_MIN_LEN    5                    #密码的最小长度；
PASS_WARN_AGE   7                    #密码失效前提前多少天 警告
UID_MIN                   500                #最小UID为500，也就是说添加用户的UID默认从500开始
UID_MAX                 60000                #最大UID为60000，
GID_MIN                   500                
GID_MAX                 60000
CREATE_HOME     yes                    #是否创建家目录
UMASK           077                    #默认家目录的umask
USERGROUPS_ENAB yes                    #删除用户同时产出用户组
ENCRYPT_METHOD SHA512                     #MD5 密码加密

/etc/default/useradd 文件
/etc/default/useradd 文件是在使用useradd添加用户时的一个需要调用的一个默认的配置文件，可以使用useradd -D参数，这样的命令格式来修改文件里面的内容。


[[email?protected] default]# egrep -v ‘^# | ^$‘ /etc/default/useradd 
GROUP=100
HOME=/home        #制定用户家目录的父目录
INACTIVE=-1        #是否启用账号过期停权， -1 表示不启用
EXPIRE=            #账号终止日期，不设置表示不启用
SHELL=/bin/bash        #新用户默认所用的shell 类型
SKEL=/etc/skel        #配置新用户家目录的默认文件存放路劲。前文提到的/etc/skel，就是配置在这里生效的，即当我们用useradd添加用户时，用户家目录下的文件，都是从这里配置的目录中复制过去的。
CREATE_MAIL_SPOOL=yes    #创建mail文件
提示：useradd -D

4、Linux用户管理命令

linux 是一个多用户多任务的操作系统，有着很丰富的用户管理工具，这些工具包括用户的查询，添加，修改，以及不同用户之间的互相切换等；通过这些工具，我们可以简单、方便、安全的进行用户管理工作。

与用户管理相关的一些文件：

/etc/passwd 和 /etc/group    我们对Linux的系统用户和用户组进行添加，修改，删除的最终结果就是修改系统用户文件/etc/passwd 和/etc/shadows 以及用户组的 /etc/group 和文件/etc/gshadow.
/etc/login.defs 和/etc/default/useradd     /etc/login.defs文件是用来定义在创建用户时的一些默认配置。如创建用户时，是否需要家目录，UID和GID的范围，用户及密码的有效期限等等，。
/etc/default/useradd 文件是在使用useradd 添加用户时需要调用的一个默认的配置文件，可以使用 useradd -D参数，这样的命令格式来修改文件里面的内容，当然也可以直接编辑修改。

4.1添加用户命令useradd:

添加用户的命令有useradd和adduser ，这两个命令所能达到的效果是一样的。当然出了useradd和 adduser命令之外，我们还能通过修改用户配置文件/etc/passwd 和/etc/group及手动创建文件的办法来直接添加用户。
useradd命令：当使用useradd命令不加参数选项，后面直接跟所添加的用户名时，系统首先会读取配置文件/etc/login.defs 和/etc/default/useradd 中所定义的参数或规则，根据设置的规则添加用户，同时会向/etc/passwd 和 /etc/group 文件内添加新建用户和用户组几记录。
当然/etc/passwd和/etc/group的加密资讯文件/etc/shadows 和/etc/gshadow 也会同步生产记录，同时系统还会根据/etc/default/useradd文件中所配置的信息建立用户的家目录，并复制/etc/skel 中的所有文件（包括隐藏的环境配置文件）到新用户的家目录中。

• useradd 参数详解：

-c comment     新账号password档的说明栏
-d home_dir     新账号每次登入时所使用的home_dir。预设置位 login名称、
-e expire_date    账号终止日期。
-f inactive_days    账号过期后几日永久停权。当设置为0时账号则立刻被停权。当设置为-1时则关闭此功能，
-g initial_group    group名称或以数字来做为用户登入起始用户组。用户组名须为系统现有存在的名称，
-G group        定义此用户为多个不同groups的成员，每个用户组使用“，”都好分隔。

4.2添加用户组命令groupadd

groupadd 命令有关的文件有：
    /etc/group 用户组相关文件    /etc/gshadow  用户组加密相关文件
groupadd命令语法:
    groupadd [-g gid [-o] ] [ -r ] [ -f ] groupname    
groupadd 参数选项：
    -g gid     制定用户组GID值。除非接-o 参数（如：groupadd -g 1234 -o longge),否则ID值必须是唯一的数字（不能为负数）。如果不指定-g参数，则预设值会从500开始
    -r     建立系统用户组，GID值会比/etc/login.defs 中定义的UID_MIN值小。
    -f    新增一个账户，强制覆盖一个已经存在的用户组账号，

文件：    
    /etc/group 用户组相关文件
    /etc/gshadow 用户组加密相关文件

    提示：以上为用户组相关的文件，使用groupadd 命令的结果实际上就是更改维护这两个文件。
    相关命令: chfn  chsh   useradd userdel  usermod passwd  groupdel groupmod  

    groupadd命令实例:
        在生产环境中，一般增加用户组的用法都是非常简单的。

• 4.3用户密码相关命令passwd:

普通用户和超级用户都可以运行passwd命令，但普通用户只能更改自身的用户密码。超级用户root则可以设置或修改所有用户的密码。 当直接 passwd 命令后面不接任何参数或用户名时，则表示修改当前登录用户的密码。

passwd 参数选项：

-k --keep-tokens   保留即将过期的用户在期满后仍能使用
-d --delete        删除用户密码，仅能以root权限操作
-l --lock        锁住用户无权更改密码，仅能通过root权限操作
-u  --unlock        解除锁定
-f  --force        强制操作；仅root权限才能操作
-x  --maximum=DAYS    两次密码修改的最大天数，后面接数字；仅能root权限操作
-n   --minimum=DAYS    两次密码修改的最小天数，后面接数字；仅能root权限操作
-w   --warning=DAYS    在距多少天提醒用户修改密码:仅能root操作
-i --inacive=DAYS    在密码过期后多少天，用户被禁掉，仅能root操作
-S --status         查询用户的密码状态，仅能root操作

实例：我们用--stdin 参数实现非交互式的批量设置或修改密码

[[email?protected] ~]# echo "123.com" | passwd  --stdin longdidi
更改用户 longdidi 的密码 。
passwd： 所有的身份验证令牌已经成功更新。

4.4修改用户密码有效期限相关命令chage：

chage命令的用法很多，和passwd等命令功能也有不少是重复的。
语法：
    chage [选项] 用户名
-d --lastday    将最近一次密码设置时间设为“最近日期”
-E --expiredate  将账户过期时间设为“过期日期”    
-h              显示帮助
-i          将因过期而失效的密码设为“失效密码”
-l          显示账户年龄信息
-m          将两次改变密码之间相距的最小天数设置为“最小天数”

4.5删除用户相关命令userdel

相关文件：
/etc/passwd 用户账号资料文件
/etc/shadow 用户账户资讯加密文件
/etc/group  用户组资讯文件
userdel 语法：
    userdel [-r] 用户名
groupdel
chfn

4.6更改用户的shell类型 chsh

4.7用户信息修改相关命令usermod：

语法：
usermod [-c comment] [-d home_dir [-m]] ..... 
usermod 参数选项：
-c 
-d 更新用户新的家目录。如果给定—m选项，用户旧的家目录会搬到新的家目录去，
-e 加上用户账号停止日期2
-f 账号过期几日后永久停权
....