[系统运维]Linux用户组管理

说明：文章部分内容源自网络，仅作交流学习使用，如构成侵权请私聊

参考资料：《鸟哥的Linux私房菜第四版》《Linux操作系统(微课版)(RHEL8CentOS8)(第2版)》《菜鸟教程》

测试系统：RHEL 8.2

如果文章有错误之处欢迎大家批评指正

目录

概述：

用户账号管理

用户账号配置文件/etc/passwd

首先是密码字段为什么是x

?????????UID和GID

用户账号管理

用户添加

用户参数默认配置文件 /etc/default/useradd?

用户参数默认配置文件 /etc/login.defs

删除用户

修改用户参数

修改用户密码

用户密码配置文件/etc/shadow

修改用户密码

用户组管理

用户组配置文件/etc/group

新增组命令

删除组命令

修改用户组的属性命令

管理用户入组

组切换：

概述：

不管是Linux系统还是Windows系统都是一种多用户、多任务的操作系统，因此都针对每个用户制定了严格的用户权限策略，本章主要讨论了在Linux中是如何进行用户管理。

个人PC的使用者一般都是用户自己或者其亲友，不少朋友在使用Windows系统的时候都会选择不设置密码，任何人都可以以管理员账户（Administrator）登录系统。而Linux系统一般都是部署在公司机房或者数据中心的服务器之上，公司的研发人员、运维人员等都有共同操作一台Linux系统的需求，如果不加以限制的话就有可能出现某音上的常见剧情（某位大哥离职之前使用rm -rf /*删库跑路）。因此在生产环境中，root用户的权限只有少部分的管理人员拥有。

在Linux中管理用户一般需要完成以下三个方面的工作：

1. 用户账号的添加、删除和修改
2. 用户口令的管理
3. 用户组的管理

下面我们就讨论一下这三个部分的内容。

用户账号管理

在Linux中，用户的账号类型大体可以分为两种，一种是超级管理员用户 root，root用户拥有对系统的全部权限，另外一种是普通用户。那么如何添加普通用户呢？

用户账号配置文件/etc/passwd

首先，我们要先明白一个概念，在Linux当中，一切皆为文件，不管你做什么操作实际上都是操作系统上的一个又一个的文件。

在Linux当中通过/etc/passwd这个文件来管理用户的账号信息。我们可以使用cat /etc/passwd来看一下这个配置文件。

[root@Server01 ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
………………………中间部分省略……………………………
gdm:x:42:42::/var/lib/gdm:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
gnome-initial-setup:x:977:975::/run/gnome-initial-setup/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
rngd:x:976:974:Random Number Generator Daemon:/var/lib/rngd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin

可以看到在/etc/passwd里面还是包含了很多内容，甚至有些情况还不得不借助less工具来查看，哈哈。我们首先来解析一下每一条字段分别说明了什么。以下以root用户的账号信息举例。

大多数字段都是比较好理解的，但是为什么中间的密码字段是用x来表示？UID是什么？GID又是什么，可能会让大家比较困扰。

首先是密码字段为什么是x

在早期的时候这个字段存放确实是用户密码的加密串，并且不是明文，但是正如下面的例子可见，/etc/passwd文件对所有用户都可读。所以这仍是一个安全隐患。因此，现在许多Linux系统都使用了shadow技术，把真正的加密后的用户密码字存放到/etc/shadow文件中，而在/etc/passwd文件的密码字段中只存放一个特殊的字符，例如“x”或者“*”

[root@Server01 ~]# stat /etc/passwd
  文件：/etc/passwd
  大小：2663            块：8          IO 块：4096   普通文件
设备：fd00h/64768d      Inode：8396078     硬链接：1
权限：(0644/-rw-r--r--)  Uid：(    0/    root)   Gid：(    0/    root)
环境：system_u:object_r:passwd_file_t:s0
最近访问：2022-09-18 03:59:40.504020875 +0800
最近更改：2022-09-18 03:59:40.496020875 +0800
最近改动：2022-09-18 03:59:40.497020875 +0800
创建时间：-

/etc/passwd对所有用户可读

[root@Server01 ~]# cat /etc/shadow
root:$6$ePnnqEHnn8iDU9Mr$65xALG6VxcudBw.6iWIotnn5N2ULnGh3ejS4TmfznluMmwFG9UaKyQeki1awwIFxHrqPJCjAjtp1ozoIXtm8B.:19240:0:99999:7:::
bin:*:18199:0:99999:7:::
daemon:*:18199:0:99999:7:::
adm:*:18199:0:99999:7:::
……………………部分结果省略……………………


[root@Server01 ~]# stat /etc/shadow
  文件：/etc/shadow
  大小：1366            块：8          IO 块：4096   普通文件
设备：fd00h/64768d      Inode：8396044     硬链接：1
权限：(0000/----------)  Uid：(    0/    root)   Gid：(    0/    root)
环境：system_u:object_r:shadow_t:s0
最近访问：2022-09-18 03:49:10.161002585 +0800
最近更改：2022-09-18 03:49:09.569002568 +0800
最近改动：2022-09-18 03:49:09.570002568 +0800
创建时间：-

/etc/shadow权限为0000

UID和GID

普通的用户可以通过用户名和组名去识别相关信息，但是Linux中它并不会识别用户名，它只认识ID，因为计算机只识别二进制数，所以对于数字更加敏感。管理员用户的UID为0，普通用户的UID是从1000起。

查看用户的UID和GID可以使用以下命令：

[root@Server01 home]# id user01
uid=1000(user01) gid=1000(user01) 组=1000(user01)

假设服务器现在有一个用户是user01，它在/etc/passwd里面的信息如下：

user01:x:1000:1000:user1:/home/user01:/bin/bash

现在我们通过VIM编辑器，修改用户的UID和GID为0，而后重新登录一下user01，发现用户依然是root。

如上文所述，root用户的UID范围是0，普通用户的UID范围是1000-60000，那么1-999是哪些用户的UID呢？其实如果按照UID进行分类的话可以将Linux的用户分为三类

• root 用户? ? ? ? ? ? ? ? ?UID：0
• 伪（系统）用户? ? ? ?UID：1-999（其中1-200为系统保留账号，系统自动创建的，201-999是预留给用户创建系统账号的。）
• 普通用户? ? ? ? ? ? ? ? ? UID：1000-60000

伪用户在/etc/passwd文件中也占有一条记录，但是不能登录，因为它们的登录Shell为空。它们的存在主要是方便系统管理，满足相应的系统进程对文件属主的要求。简单来说伪用户就是用来方便运行系统或服务使用的

比如以下这些伪用户

bin 拥有可执行的用户命令文件 
sys 拥有系统文件 
adm 拥有帐户文件 
uucp UUCP使用 
lp lp或lpd子系统使用 
nobody NFS使用

用户账号管理

在Linux中可以直接编辑/etc/passwd文件也可以使用以下命令来进行用户的管理

用户添加

• useradd 【选项】 用户名
  • 选项类型：
    • -c comment 指定一段注释性描述。
      • 示例：

        [root@Server01 ~]# useradd -c test-user user1
        对照/etc/passwd文件
        user1:x:1001:1001:test-user:/home/user1:/bin/bash

    • -d 目录 指定用户主目录

      •  useradd -d /home/user10 user02 
        
        /etc/passwd对照
        user02:x:1002:1002::/home/user10:/bin/bash
        
        /home对照
        [root@Server01 home]# ls
        user01 user10

    • -g 用户组 指定用户所属的用户组。//所属组一般是用户初始组，只能是一个，建议不要修改，默认组名和用户名同名? ?//此例在后续用户组管理的时候进行演示
    • -G 用户组，用户组 指定用户所属的附加组。 //此例在后续用户组管理的时候进行演示
    • -s Shell文件 指定用户的登录Shell。
    • -u 用户号 指定用户的用户号，如果同时有-o选项，则可以重复使用其他用户的标识号

我们可以看到其实在新建用户的时候显少会加上选项，一般都是使用默认参数，那么这些默认参数的配置文件在什么地方呢？

用户参数默认配置文件 /etc/default/useradd?

/etc/default/useradd 为使用useradd添加用户时的一个需要调用的一个默认的配置文件

[root@Server01 home]# cat /etc/default/useradd 
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

• GROUP 在早期的Linux当中创建新用户都会将用户归入 GID=100这个组进来，但是目前已经不再使用了

• HOME 在哪个文件夹生成家目录

• INACTIVE = -1 用户密码过去后的宽限天数，-1代表永不过期，实际工作种建议改为0，到期后立马失效

• EXPIRE = 密码的失效时间，一般不用，是一个时间戳 天数，从1970-1-1 0 到目标时间之间的天数，一般不用

• SHELL ：默认的SHELL编辑器

• SKEL（模板）：每当你新建一个用户的时候 (通过 useradd 命令),/etc/skel 目录下的文件,都会原封不动的复制到新建用户的家目录下。比如登录时配置文件.bash_profile，非登录配置文件.bashrc

• CREATE_MAIL_SPOOL=yes 是不是要创建邮箱文件

用户参数默认配置文件 /etc/login.defs

Linux 系统中的 /etc/login.defs 文件用于在创建用户时，对用户的一些基本属性做默认设置，例如指定用户 UID 和 GID 的范围，用户的过期时间，密码的最大长度，等等。
需要注意的是，该文件的用户默认配置对 root 用户无效。并且，当此文件中的配置与 /etc/passwd 和 /etc/shadow 文件中的用户信息有冲突时，系统会以 /etc/passwd 和 /etc/shadow 为准。

[root@Server01 home]# cat /etc/login.defs 
MAIL_DIR        /var/spool/mail
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7
UID_MIN                  1000
UID_MAX                 60000
SYS_UID_MIN               201
SYS_UID_MAX               999
GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME     yes
UMASK           077
ENCRYPT_METHOD SHA512

• MAIL_DIR ? ? ? ?/var/spool/mail? ? ? ? //为用户创建的邮箱文件保存位置
• PASS_MAX_DAYS ? 99999? ? ? ? ? ?//密钥过期时间，单位为天
• PASS_MIN_DAYS ? 0? ? ? ? ? ? ? ? ? ? //表示是否可以修改密码 0表示可以修改，非0表示多少天后可以修改，修改密码后需要等待多少天之后才会生效
• PASS_MIN_LEN ? ?5? ? ? ? ? ? ? ? ? ? ? //密码最小长度，目前不再使用
• PASS_WARN_AGE ? 7? ? ? ? ? ? ? ? ? //密码失效前多少天在用户登录时通知用户可以修改密码

以下为UID的配置范围：

• UID_MIN ? ? ? ? ? ? ? ? ?1000? ? ? ? ? ? ?
• UID_MAX ? ? ? ? ? ? ? ? 60000? ? ? ? ? ?
• SYS_UID_MIN ? ? ? ? ? ? ? 201? ? ? ? ?
• SYS_UID_MAX ? ? ? ? ? ? ? 999
• GID_MIN ? ? ? ? ? ? ? ? ?1000
• GID_MAX ? ? ? ? ? ? ? ? 60000
• SYS_GID_MIN ? ? ? ? ? ? ? 201
• SYS_GID_MAX ? ? ? ? ? ? ? 999

以下为用户家目录的相关配置信息

• CREATE_HOME ? ? yes? ? ? ? //是否自动创建家目录
• UMASK ? ? ? ? ? 077? ? ? ? ? ? ? ?//用户家目录的掩码，077对应700的用户权限
• ENCRYPT_METHOD SHA512? //用户密码的加密方式

删除用户

• useradd 【选项】 用户名
  • 选项类型
  • -r，它的作用是把用户的主目录、自动创建的邮件目录一起删除。
    • 示例

  不使用-r参数
  [root@Server01 home]# userdel user1
  现象：用户家目录残留，邮件目录残留
  [root@Server01 home]# ls
  user01  user1  user10
  [root@Server01 home]# cd /var/spool/mail/
  [root@Server01 mail]# ls
  rpc  user01  user02  user1

修改用户参数

• usermod?【选项】 用户名
• 常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等，这些选项的意义与useradd命令中的选项一样，可以为用户指定新的资源值。

修改用户密码

用户密码配置文件/etc/shadow

[root@Server01 mail]# cat /etc/shadow
root:$6$ePnnqEHnn8iDU9Mr$65xALG6VxcudBw.6iWIotnn5N2ULnGh3ejS4TmfznluMmwFG9UaKyQeki1awwIFxHrqPJCjAjtp1ozoIXtm8B.:19240:0:99999:7:::
bin:*:18199:0:99999:7:::

用户密码的配置文件也是由多段组成，它们之间的对应关系一般如下：

用户名：加密密码：最后一次修改时间：最小修改时间间隔：密码有效期：密码需要变更前的警告天数：密码过期后的宽限时间：账号失效时间：保留字段

• 最后一次修改时间：表示从世界标准时间1970-1-10:0:0，到用户最后一次修改密码时的间隔天数。这个字段如果改成0,那么用户在下次登录的时候，就必须修改密码
  • 知道一个日期，得到天数:# echo $(($(date --date="2022/09/25"+%s)/86400+1))
  • 反过来，知道天数，得到日期:# date -d "1970-01-01 19775 days"
• 最小修改时间间隔：最后一次修改密码（第3字段中记录的时间)后，必须等多少天后，才能在修改密码。默认是0，没间隔这个字段值就是前面我们讲的用户默认配置文件: /etc/login.defs中的PASS_MIN_DAYS配置的值就是这个的默认值
• 密码有效期：”第3字段中记录的时间后多少天密码失效。默认值99999，几乎就是永久

修改用户密码

• passwd? 【选项】 用户名? //普通用户只能修改自己的密码
  • -l 锁定口令，即禁用账号。

    • [root@Server01 home]# passwd -l user01 
      锁定用户 user01 的密码 。
      passwd: 操作成功
      
      对比配置
      相当于在/etc/shadow里面的密码部分前面加上两个 ！！ ，此时已经不能登录user01账号了
      user01:!!$6$hXPzx.roxkS06/rZ$dlMhiO0xz.gVkPDf2zUiSMgaDBzD2XyS0bLAKlEWa0wqRZWzRNa5jcTvJJmzwzOLWz8azOvr5k9nA1Eb8lcEy0::0:99999:7:::

  • -u 口令解锁。

    • [root@Server01 ~]# passwd -u user01
      解锁用户 user01 的密码。
      passwd: 操作成功

  • -d 使账号无口令。
  • -f 强迫用户下次登录时修改口令

  • -stdin 通过管道符输出的数据作为密码? ? 主要是为了在使用shell脚本的时候批量配置用户密码

    • echo ‘123456’ | passwd --stdin user1 

值得注意的是，当使用useradd创建新的用户没有创建密码时，是无法登录新账户的

• 修改用户密码也可以用chage，这里不再展开详细描述

用户组管理

将用户分组是Linux 系统中对用户进行管理及控制访问权限的一种手段。每个用户都属于某个用户组；一个组中可以有多个用户，一个用户也可以属于不同的组。当一个用户同时是多个组中的成员时，在/etc/passwd文件中记录的是用户所属的主组，也就是登录时所属的默认组，而其他组称为附加组。一般情况下，用户的主组和用户同名。

用户组配置文件/etc/group

[root@Server01 ~]# cat /etc/group
root:x:0:
……以下省略

用户的组配置文件的含义一般如下：组名:口令:组标识号:组内用户列表

• "组名"是用户组的名称，由字母或数字构成。与/etc/passwd中的登录名一样，组名不应重复。
• "口令"字段存放的是用户组加密后的口令字。一般Linux 系统的用户组都没有口令，即这个字段一般为空，或者是*。
• "组标识号"与用户标识号类似，也是一个整数，被系统内部用来标识组。
• "组内用户列表"是属于这个组的所有用户的列表，不同用户之间用逗号(,)分隔。这个用户组可能是用户的主组，也可能是附加组。

例如使用命令 useradd ?-G root user100会有如下现象：

1、/etc/passwd里面新增一条组记录，这个组是user100的主组
user100:x:1003:
2、/etc/passwd里的root组记录发生了变化，新增了一个用户user100
root:x:0:user100

新增组命令

• groupadd 【选项】 用户组
• 选项
  • -g GID 指定新用户组的组标识号（GID）。
  • -o 一般与-g选项同时使用，表示新用户组的GID可以与系统已有用户组的GID相同。

删除组命令

• groupdel 用户组

???????修改用户组的属性命令

• groupmod 【选项】用户组
• 选项
  • ??????????????-g GID 为用户组指定新的组标识号。
  • -o 与-g选项同时使用，用户组的新GID可以与系统已有用户组的GID相同。
  • -n新用户组 将用户组的名字改为新名字

管理用户入组

gpasswd 【选项】 组名 （这里的组是指的是附加组）
选项：
????????-a用户名：把用户加入组

????????-d 用户名：把用户从组中删除

组切换：

如果一个用户同时属于多个用户组，那么用户可以在用户组之间切换，以便具有其他用户组的权限。用户可以在登录后，使用命令newgrp切换到其他用户组，这个命令的参数就是目的用户组。例如：

newgrp root
这条命令将当前用户切换到root用户组，前提条件是root用户组确实是该用户的主组或附加组。类似于用户账号的管理，用户组的管理也可以通过集成的系统管理工具来完成。???????