當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

04用户和组管理

發布時間：2024/3/13 编程问答 34 豆豆

生活随笔收集整理的這篇文章主要介紹了 04用户和组管理小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

文章目錄

用戶和組管理
- 1. 何為用戶何為組？
- - 1.1 用戶和組概念
  - 1.2 用戶分類
  - 1.3 Linux安全上下文
  - 1.4 Linux用戶組類別
- 2. Linux用戶和組相關的配置文件
- - 2.1 各配置文件說明
  - 2.2 加密方法
  - 2.3 Linux用戶密碼加密方式
- 3. 用戶和組相關的管理命令
- - 3.1 用戶管理
  - - 3.1.1 用戶創建命令useradd
    - 3.1.2 用戶刪除命令userdel
    - 3.1.3 查看用戶帳號的信息命令id
    - 3.1.4 修改用戶帳號屬性的命令
    - 3.1.5 切換用戶命令su
  - 3.2 密碼管理
  - - 3.2.1 密碼管理命令passwd
    - 3.2.2 改變用戶密碼過期信息命令chage
    - 3.2.3 密碼生成工具openssl
  - 3.3 組管理
  - - 3.3.1 創建組命令groupadd
    - 3.3.2 修改組信息命令groupmod
    - 3.3.3 刪除組命令groupdel
    - 3.3.4 給組設定密碼命令gpasswd
    - 3.3.5 切換組命令newgrp

用戶和組管理

1. 何為用戶何為組？

1.1 用戶和組概念

用戶存在的目的是為了實現資源的分派。
Authentication：認證（系統需要對用戶的身份進行確認）
Authorization：授權(系統分配一定的權限給用戶，給你你才能用)
Accouting：審計（系統可以對用戶的行為進行監測）

1.2 用戶分類

Linux用戶分為管理員和普通用戶兩種：

用戶類別用戶ID

管理員	0
普通用戶	1-65535

其中普通用戶又分為系統用戶和登錄用戶兩種：

用戶類別用戶ID

系統用戶	1-499（為守護類進程獲取系統資源而完成權限指派的用戶）
登錄用戶	500-60000（為了完成交互式登錄使用的用戶）

1.3 Linux安全上下文

運行中的程序：進程（process）

以進程發起者的身份運行
root：cat
tom：cat
進程所能夠訪問的所有資源的權限取決于進程的發起者的身份

Linux通過安全上下文的概念完成用戶權限的指派。

先判斷用戶是否是某文件的屬主
再判斷用戶是否屬于某個組
最后定其為其他用戶

1.4 Linux用戶組類別

用戶組類別特性

私有組	創建用戶時，如果沒有為其指定所屬的組，系統會自動為其創建一個與用戶名相同的組
基本組	用戶的默認組
附加組(額外組)	默認組以外的其它組

2. Linux用戶和組相關的配置文件

2.1 各配置文件說明

配置文件作用

/etc/passwd	用戶及其屬性信息（名稱、uid、基本組id等等）
/etc/group	組及其屬性信息
/etc/shadow	用戶密碼及其相關屬性
/etc/gshadow	組密碼及其相關屬性。在用戶執行基本組切換時使用

配置文件/etc/passwd/etc/group

第一字段	用戶名	組名
第二字段	密碼占位符	組密碼
第三字段	UID	GID
第四字段	GID	以當前組為附加組的用戶列表(分隔符為逗號)
第五字段	用戶的描述信息
第六字段	用戶家目錄
第七字段	用戶的登錄shell

配置文件/etc/shadow

第一字段	登錄名
第二字段	加密后的密碼
第三字段	最近一次更改密碼的日期
第四字段	密碼的最小使用期限
第五字段	密碼的最大使用期限
第六字段	密碼警告時間段
第七字段	密碼禁用期
第八字段	帳號的過期日期
第九字段	保留字段

2.2 加密方法

對稱加密：加密和解密使用同一個密鑰

公鑰加密：每個密碼都成對出現，一個為私鑰（secretkey），一個為公鑰（public key）

單向加密：也叫散列加密，提取數據特征碼，能加密不能解密，常用于做數據完整性校驗

單向加密特點：

雪崩效應（初始條件的微小改變，將會引起結果的巨大改變）
定長輸出
MD5：Message Digest，128位定長輸出
SHA1：Secure Hash Algorithm，160位定長輸出
SHA224：224位定長輸出
SHA256：256位定長輸出
SHA384：384位定長輸出
SHA512：512位定長輸出

2.3 Linux用戶密碼加密方式

Linux密碼是使用的單向加密方式進行加密。

想一個問題，如果兩個同事使用的是同樣的密碼，那么在配置文件中是不是就顯示密碼一樣呢？如果一樣是不是就不安全了呢？那么又如何解決此問題呢？
答案是在加密前給用戶設置的密碼加上一點雜質，再對這個雜質+用戶密碼一起使用單向加密。由于單向加密的雪崩效應，就算兩人設置的密碼是一樣的，但因為雜質的不同，最終的結果也會截然不同。
密碼復雜性策略：
使用數字、大寫字母、小寫字母及特殊字符中至少3種
足夠長
使用隨機密碼，不要使用有意義的單詞或數字
定期更換，不要使用最近曾經使用過的密碼

3. 用戶和組相關的管理命令

3.1 用戶管理

3.1.1 用戶創建命令useradd

語法：useradd [option] USERNAME
-u ：[UID_MIN,UID_MAX]定義在/etc/login.defs文件中
-g ：指定用戶所屬基本組，可為組名或GID
-G groupname,…：附加組，可以有多個，用逗號隔開。組groupname必須事先存在
-c “COMMENT”：注釋信息
-d /path/to/directory：指定用戶的家目錄。此目錄必須不能事先存在，否則將不會從/etc/skel中復制環境設置文件
-s shell：這里的shell最好使用/etc/shells里面有的shell，/etc/shells指定了當前系統可用的安全shell

[root@localhost ~]# groupadd -g 500 wangwei [root@localhost ~]# useradd -u 500 -g 500 -G 1000 -c "qwer" -d /opt/wangwei -s /bin/sh wangwei 正在創建信箱文件: 文件已存在 [root@localhost ~]# id wangwei uid=500(wangwei) gid=500(wangwei) 組=500(wangwei),1000(ww) [root@localhost ~]# tail /etc/passwd ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin dbus:x:81:81:System message bus:/:/sbin/nologin polkitd:x:999:997:User for polkitd:/:/sbin/nologin postfix:x:89:89::/var/spool/postfix:/sbin/nologin chrony:x:998:996::/var/lib/chrony:/sbin/nologin sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin gg:x:1001:1001::/home/gg:/bin/bash wangwei:x:500:500:qwer:/opt/wangwei:/bin/sh

解決上面文件已存在問題

[root@localhost ~]# useradd ww [root@localhost ~]# id ww uid=1000(ww) gid=1000(ww) 組=1000(ww) [root@localhost ~]# ls /home/ ww [root@localhost ~]# userdel -r ww [root@localhost ~]# id ww id: ww: no such user [root@localhost ~]# ls /home/ [root@localhost ~]# rm -rf /var/spool/mail/ww //刪除這個就不會出現上面的提示了 [root@localhost ~]# useradd ww [root@localhost ~]# id ww uid=1000(ww) gid=1000(ww) 組=1000(ww)

-M ：創建用戶時不給其創建家目錄
-r ：添加一個系統用戶
-D ：直接打印/etc/default/useradd文件的內容或配合其它選項（例如-s SHELL）直接修改/etc/default/useradd文件中的默認值

[root@localhost ~]# useradd -r -M -s /sbin/nologin dage [root@localhost ~]# ls /home wangwei [root@localhost ~]# tail -5 /etc/passwd chrony:x:998:996::/var/lib/chrony:/sbin/nologin sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin gg:x:1001:1001::/home/gg:/bin/bash wangwei:x:500:500:qwer:/opt/wangwei:/bin/sh dage:x:499:499::/home/dage:/sbin/nologin [root@localhost ~]# su - dage su: 警告：無法更改到 /home/dage 目錄: 沒有那個文件或目錄 This account is currently not available.

3.1.2 用戶刪除命令userdel

語法：userdel [option] USERNAME
-r：刪除用戶的同時刪除其家目錄（userdel默認不會刪除其家目錄）

3.1.3 查看用戶帳號的信息命令id

id ：查看用戶的帳號屬性信息
-u ：查看UID
-g ：查看GID
-G ：查看Groups

[root@localhost ~]# useradd ww [root@localhost ~]# id ww uid=1000(ww) gid=1000(ww) 組=1000(ww) [root@localhost ~]# id -u ww 1000 [root@localhost ~]# id -g ww 1000 [root@localhost ~]# id -G ww 1000

3.1.4 修改用戶帳號屬性的命令

usermod ：修改用戶屬性

語法：usermod [options] username
-u UID
-g GID

[root@localhost ~]# id 500 uid=500(ww) gid=1000(ww) 組=1000(ww) [root@localhost ~]# usermod -u 1000 ww [root@localhost ~]# groupadd -g 1500 gdx [root@localhost ~]# tail /etc/group systemd-journal:x:190: systemd-network:x:192: dbus:x:81: polkitd:x:997: postdrop:x:90: postfix:x:89: chrony:x:996: sshd:x:74: ww:x:1000: gdx:x:1500: [root@localhost ~]# usermod -g 1500 ww [root@localhost ~]# id ww uid=1000(ww) gid=1500(gdx) 組=1500(gdx)

-a -G groupname：不使用-a選項，會覆蓋此前的附加組

[root@localhost ~]# usermod -a -G ww ww [root@localhost ~]# id ww uid=1000(ww) gid=1500(gdx) 組=1500(gdx),1000(ww)

-d -m：改變用戶家目錄的同時把原來家目錄的文件移動到新的家目錄中

[root@localhost ~]# ll /home 總用量 0 drwx------. 2 ww gdx 62 9月 3 17:31 ww [root@localhost ~]# cd /home/ww [root@localhost ww]# ls [root@localhost ww]# touch nbb [root@localhost ww]# mkdir nmm [root@localhost ww]# ls nbb nmm [root@localhost ww]# cd [root@localhost ~]# ls /opt [root@localhost ~]# usermod -md /opt/ww ww [root@localhost ~]# ll /home/ 總用量 0 [root@localhost ~]# ll /opt/ 總用量 0 drwx------. 3 ww gdx 84 9月 3 18:14 ww [root@localhost ~]# ll /opt/ww 總用量 0 -rw-r--r--. 1 root root 0 9月 3 18:14 nbb drwxr-xr-x. 2 root root 6 9月 3 18:14 nmm

-e YYYY-MM-DD：指明用戶帳號過期日期
-f INACTIVE ：設定非活動期限
-L ：鎖定帳號。被鎖定的帳號在/etc/shadow文件中密碼前面會有一個！感嘆號
-U ：解鎖帳號

[root@localhost ~]# tail -1 /etc/shadow ww:!!:18142:0:99999:7::: //默認沒有密碼！！ [root@localhost ~]# passwd ww 更改用戶 ww 的密碼。新的密碼：無效的密碼：密碼少于 8 個字符重新輸入新的密碼： passwd：所有的身份驗證令牌已經成功更新。 [root@localhost ~]# tail -1 /etc/shadow ww:$6$mXk0iXk9$HvBnTKfQsCAsVmHACSXzRHvcSnhAO9uMqXFbEF3P1jnd6dhkVd2E1fJpx.93wunhUN4f94taoPopQcDJhSout/:18142:0:99999:7::://設置密碼成功 [root@localhost ~]# usermod -L ww [root@localhost ~]# tail -1 /etc/shadow ww:!$6$mXk0iXk9$HvBnTKfQsCAsVmHACSXzRHvcSnhAO9uMqXFbEF3P1jnd6dhkVd2E1fJpx.93wunhUN4f94taoPopQcDJhSout/:18142:0:99999:7::: //有！，用戶被鎖定 [root@localhost ~]# usermod -U ww [root@localhost ~]# tail -1 /etc/shadow ww:$6$mXk0iXk9$HvBnTKfQsCAsVmHACSXzRHvcSnhAO9uMqXFbEF3P1jnd6dhkVd2E1fJpx.93wunhUN4f94taoPopQcDJhSout/:18142:0:99999:7::: //解除鎖定

chsh 修改用戶的默認shell

語法：chsh [options] [username]
-s SHELL

[root@localhost ~]# tail -1 /etc/passwd ww:x:1000:1500::/opt/ww:/bin/bash [root@localhost ~]# chsh -s /bin/sh ww Changing shell for ww. Shell changed. [root@localhost ~]# tail -1 /etc/passwd ww:x:1000:1500::/opt/ww:/bin/sh [root@localhost ~]# usermod -s /bin/bash ww //等同于chsh -s..... [root@localhost ~]# tail -1 /etc/passwd ww:x:1000:1500::/opt/ww:/bin/bash

3.1.5 切換用戶命令su

切換用戶的方式特點

su USERNAME	非登錄式切換，即不會讀取目標用戶的配置文件
su - USERNAME	登錄式切換，即會讀取目標用戶的配置文件。完全切換
su -	不指定用戶時默認切換至root用戶

root su至其他用戶不需要密碼，非root用戶su至其他用戶時需要輸入目標用戶的密碼

語法：su [options] [-] [USER [arg]…]
-c ‘COMMAND’：切換身份執行命令，命令執行結束后又回到原來的身份

[root@localhost ~]# su - ww 上一次登錄：二 9月 3 18:20:57 CST 2019從 192.168.120.1pts/2 上 [ww@localhost ~]$ su - 密碼：上一次登錄：二 9月 3 17:20:06 CST 2019從 192.168.120.1pts/1 上 [root@localhost ~]# su - ww -c 'ls' nbb nmm [root@localhost ~]# su - ww 上一次登錄：二 9月 3 18:37:58 CST 2019pts/1 上 [ww@localhost ~]$ ls nbb nmm [ww@localhost ~]$ su - 密碼：上一次登錄：二 9月 3 18:36:31 CST 2019pts/1 上 [root@localhost ~]#

bash的配置文件：

配置文件類型配置文件路徑

全局配置	/etc/profile /etc/profile.d/*.sh /etc/bashrc
個人配置	/.bash_profil /.bashrc

配置文件類型功能

profile類	為交互式登錄的shell提供配置，用來設定環境變量、運行命令或腳本
bashrc類	為非交互式登錄的shell提供配置，用來設定本地變量、定義命令別名

登錄式shell如何讀取配置文件？

/etc/profile --> /etc/profile.d/*.sh --> ~/.bash_profile --> ~/.bashrc --> /etc/bashrc

非登錄式shell如何讀取配置文件？

~/.bashrc --> /etc/bashrc --> /etc/profile.d/*.sh

3.2 密碼管理

3.2.1 密碼管理命令passwd

語法：passwd [options] [USERNAME]
–stdin:從標準輸入獲取用戶密碼。

例：echo "redhat"｜passwd --stdin user1

[root@localhost ~]# echo '12345678' | passwd --stdin ww 更改用戶 ww 的密碼。 passwd：所有的身份驗證令牌已經成功更新。

-l :鎖定用戶
-u :解鎖用戶
-d :刪除用戶密碼

[root@localhost ~]# echo '12345678' | passwd --stdin ww 更改用戶 ww 的密碼。 passwd：所有的身份驗證令牌已經成功更新。 [root@localhost ~]# passwd -l ww 鎖定用戶 ww 的密碼。 passwd: 操作成功 [root@localhost ~]# passwd -u ww 解鎖用戶 ww 的密碼。 passwd: 操作成功 [root@localhost ~]# passwd -d ww 清除用戶的密碼 ww。 passwd: 操作成功

-n mindays :指定最短使用期限
-x maxdays :指定最長使用期限
-w warndays :提前多少天開始警告
-i inactivedays :非活動期限，密碼過期后到禁用前的這段時間

[root@localhost ~]# passwd -n 5 ww 調整用戶密碼老化數據ww。 passwd: 操作成功 [root@localhost ~]# passwd -x 666 ww 調整用戶密碼老化數據ww。 passwd: 操作成功 [root@localhost ~]# passwd -w 7 ww 調整用戶密碼老化數據ww。 passwd: 操作成功 [root@localhost ~]# passwd -i 7 ww 調整用戶密碼老化數據ww。 passwd: 操作成功 [root@localhost ~]# tail -1 /etc/passwd ww:x:1000:1500::/opt/ww:/bin/bash [root@localhost ~]# tail -1 /etc/group gdx:x:1500: [root@localhost ~]# tail -1 /etc/shadow ww::18142:5:666:7:7::

3.2.2 改變用戶密碼過期信息命令chage

語法：chage [options] USERNAME
-d :最近一次的修改時間

[root@localhost ~]# chage -d 2019-19-30 ww [root@localhost ~]# tail -1 /etc/shadow ww::18473:5:666:7:7:18159:

-E :過期時間

[root@localhost ~]# chage -E 2019-9-20 ww [root@localhost ~]# tail -1 /etc/shadow ww::18142:5:666:7:7:18159:

-I :非活動時間
-m ：最短使用期限
-M ：最長使用期限
-W ：警告時間

[root@localhost ~]# chage -I 8 ww [root@localhost ~]# chage -m 8 ww [root@localhost ~]# chage -M 8 ww [root@localhost ~]# chage -W 8 ww [root@localhost ~]# tail -1 /etc/shadow ww::18473:8:8:8:8:18159:

3.2.3 密碼生成工具openssl

語法：openssl command [ command_opts ] [ command_args ]
command//包含標準命令、消息摘要命令、加密命令
version ：查看程序版本號
dgst ：提取特征碼

[root@localhost ~]# ls a anaconda-ks.cfg [root@localhost ~]# openssl dgst -md5 a MD5(a)= d41d8cd98f00b204e9800998ecf8427e [root@localhost ~]# openssl dgst -sha1 a SHA1(a)= da39a3ee5e6b4b0d3255bfef95601890afd80709 [root@localhost ~]# openssl dgst -sha256 a SHA256(a)= e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

passwd ：生成密碼

[root@localhost ~]# openssl passwd -1 -salt wangwei Password: //123456 $1$wangwei$piYyx/fSDo/fVAPxUfSnL0 [root@localhost ~]# openssl passwd --help Usage: passwd [options] [passwords] where options are -crypt standard Unix password algorithm (default) -1 MD5-based password algorithm //-1取自這個算法 -apr1 MD5-based password algorithm, Apache variant -salt string use provided salt -in file read passwords from file -stdin read passwords from stdin -noverify never verify when reading password from terminal -quiet no warnings -table format output as table -reverse switch table columns [root@localhost ~]# openssl passwd -1 -salt wangweiqwe Password: //123456 $1$wangweiq$NM.q3wO0kNqGnZUP8xLoy0

rand ：生成偽隨機數

[root@localhost ~]# openssl rand -base64 10 Ww9o7IdL6ikhWg== [root@localhost ~]# openssl rand -base64 20 gZX9HPFFFoLv30gSVYP92lbploU= [root@localhost ~]# openssl rand -base64 30 //數字代表隨機數長度 vVmgkmOufeeCQLaWrNxIBD+iFuYrXUjzsFCiPUBh

3.3 組管理

3.3.1 創建組命令groupadd

語法：groupadd [options] GROUP
-g GID ：指定GID
-r ：添加一個系統組

[root@localhost ~]# groupadd -r -g 400 qqqq [root@localhost ~]# tail /etc/group systemd-network:x:192: dbus:x:81: polkitd:x:997: postdrop:x:90: postfix:x:89: chrony:x:996: sshd:x:74: ww:x:1000:ww gdx:x:1500: qqqq:x:400:

3.3.2 修改組信息命令groupmod

語法：groupmod [options] GROUP
-g GID ：修改指定組的GID
-n groupname ：修改組名

[root@localhost ~]# groupmod -g 399 qqqq [root@localhost ~]# tail -1 /etc/group qqqq:x:399: [root@localhost ~]# groupmod -n wwww qqqq [root@localhost ~]# tail -1 /etc/group wwww:x:399:

3.3.3 刪除組命令groupdel

語法：groupdel [options] GROU
刪除組時只需要指定組名即可

[root@localhost ~]# groupdel wwww [root@localhost ~]# tail -1 /etc/group gdx:x:1500: [root@localhost ~]# tail /etc/group systemd-journal:x:190: systemd-network:x:192: dbus:x:81: polkitd:x:997: postdrop:x:90: postfix:x:89: chrony:x:996: sshd:x:74: ww:x:1000:ww gdx:x:1500:

3.3.4 給組設定密碼命令gpasswd

語法：gpasswd [option] GROUP
-a, --add USER：將用戶添加至組
-d, --deleteUSER：將用戶從組中刪除
-r, --delete-password：刪除組密碼
不帶任何參數表示給組設密碼

[root@localhost ~]# groupadd ss [root@localhost ~]# tail -1 /etc/group ss:x:1501: [root@localhost ~]# gpasswd -a ww ss 正在將用戶“ww”加入到“ss”組中 [root@localhost ~]# id ww uid=1000(ww) gid=1500(gdx) 組=1500(gdx),1000(ww),1501(ss) [root@localhost ~]# gpasswd -d ww ss 正在將用戶“ww”從“ss”組中刪除 [root@localhost ~]# gpasswd -a ww ss 正在將用戶“ww”加入到“ss”組中 [root@localhost ~]# gpasswd ss 正在修改 ss 組的密碼新密碼：請重新輸入新密碼：[root@localhost ~]# gpasswd -r ss [root@localhost ~]# su - ww 上一次登錄：二 9月 3 19:34:34 CST 2019pts/1 上 [ww@localhost ~]$ newgrp ss [ww@localhost ~]$ id uid=1000(ww) gid=1501(ss) 組=1501(ss),1000(ww),1500(gdx) 環境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

3.3.5 切換組命令newgrp

將當前用戶臨時切換至新的基本組，這里需要用到gpasswd設置的組密碼，使用newgrp登錄至新的基本組后可以使用exit退出，退出后其原基本組不變

語法：newgrp [-] [group]

[root@localhost ~]# id ww uid=1000(ww) gid=1500(gdx) 組=1500(gdx),1000(ww),1501(ss) [root@localhost ~]# su - ww 上一次登錄：二 9月 3 18:52:45 CST 2019從 192.168.120.1pts/2 上 [ww@localhost ~]$ newgrp ss //臨時切換到ss 密碼： [ww@localhost ~]$ id uid=1000(ww) gid=1501(ss) 組=1501(ss),1000(ww),1500(gdx) 環境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 [ww@localhost ~]$ exit exit [ww@localhost ~]$ id uid=1000(ww) gid=1500(gdx) 組=1500(gdx),1000(ww),1501(ss) 環境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

戶臨時切換至新的基本組，這里需要用到gpasswd設置的組密碼，使用newgrp登錄至新的基本組后可以使用exit退出，退出后其原基本組不變

語法：newgrp [-] [group]

總結

以上是生活随笔為你收集整理的04用户和组管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

用户

上一篇： RabbitMQ 下载安装（windo
下一篇：服务端测试知识汇总