用戶和組的管理

前言

本篇文章主要講Linux系統下用戶和組的概念，還有添加用戶和組，修改用戶和組的基本操作，會涉及不少與之相關的配置文件與命令的介紹，幾乎所有

正文

首先，簡單提下概念，用戶是操作系統的使用者，也是系統進程的所有者，也就是說其實操作系統是給一堆人使用的，就拿大家都熟悉的Windows操作系統來說，我們一般只看得見自己一個用戶，或是後來又創建的來賓用戶，其實還有許多不需要登陸的系統用戶，如下圖

他們的作用很明顯，運行不同的進程，來提供相應的服務，支持程式的運行。

然後用戶組的話，就是一堆用戶的集合。是為了方便管理某一堆用戶的許可權。舉個例子來理解吧，假設我在跟一個團隊工作。我寫了段代碼，別人也寫了段代碼，那現在要一起調試了，結果我的代碼文件創建者是我，其他人沒許可權運行，另一段代碼文件創建者是另一個人，也沒給其他人許可權，那還要一個個文件改許可權麽，所以一個組就能避免這個問題。
一個用戶可以屬於多個組，然後就有主組與附加組之分，這個簡單瞭解下就行，用戶和組的概念就這些，下麵講對他們的操作

用戶的操作

相關配置文件有/etc/passwd、/etc/shadow、/etc/default/useradd、/etc/login.defs ，下麵結合具體命令一塊講下

1. useradd、usermod和userdel命令，他們分別用來添加、修改、刪除用戶，首先看下添加用戶的例子

useradd 用戶名 -m -p 密碼 -s SHELL類型 -u UID號 -g GID號或組名

簡單說下：-m是創建家目錄，-p後面跟密碼，創建用戶的時候就設好了密碼，-s選擇用戶使用的SHELL類型，-u設置用戶ID號，-g設置主組的ID，-G後面跟要加的附加組名或組ID

• UID的話可以用id命令後面跟用戶名查看，簡單方便可以先掌握了，如下所示，是查看root的id

id root

2. 然後可以用下麵的命令查看用戶是否創建成功

cat /etc/passwd

它會輸出passwd文件內容，創建成功的話，輸出的最後一行有你剛創的用戶名，如下圖是我剛創建的用戶test4

所以 /etc/passwd 文件也知道了，他是存放用戶信息的，它的格式如下

　　　　用戶名：密碼：用戶id：主組id：用戶詳細信息：家目錄：shell類型
3. 根據上面文件格式，可以發現用戶信息那欄我們還不知道怎麼改，最直接的可以在passwd文件里改，格式如下
　　　　全名，工作地址，行動電話，家庭電話
這是一種方法，當然也可以用chfn命令解決，如下所示

再介紹一個命令吧，除了直接用cat /etc/paswd查看用戶信息，其實還可以用finger命令，如下圖所示

是不是更直觀，當然還有getent passwd等價於cat /etc/passwd，vipw等價於vi /etc/passwd，這兩個也可以瞭解下

4. 好的，創建用戶完了，但之前設的密碼太簡單了現在要修改了怎麼辦，可以用usermod解決大部分問題，如下所示

usermod 用戶名 -p 新密碼

用法跟useradd相似，可選項也都差不多，所以不多提了，介紹另一個可以改用戶密碼的命令passwd，用法如下

passwd 用戶名

• 他有比較常用的幾個選項我說下：-l 鎖定用戶密碼，-u 解鎖用戶密碼，-f 迫使用戶下次登陸時改密（對新建用戶聽常用），-d 去掉用戶的密碼。鎖定的話就是密碼不起作用了，也就是用戶登陸不了了。同樣 -d 去掉了密碼也登陸不了了。這些效果可以自行嘗試。

那怎麼看密碼是不是改了呢，用下麵的命令可以查看

cat /etc/shadow

下圖是結果，不過看到的是經過SHA512演算法加密後的密碼，但確實是改了。
如果鎖定的話密碼會是兩個！！

所以 /etc/shadow 目錄就是存放用戶密碼相關信息的地方，當然改這個文件也能得到改密碼的目的，用vim編輯文件內容即可，當然涉及密碼只有root用戶才有查看修改這個文件的許可權，他的文件格式如下：
　　　　用戶名：密碼：最後一次更新密碼的時間：最短可以隔幾天改一次密碼（改密碼間隔時間）：隔多少天必須改密碼（密碼過期）：提前多少天提醒密碼過期：過渡期（密碼過期後還能撐幾天）：賬戶過期時間（不同於密碼過期，賬號過期就沒有這個帳號了，更別說密碼了）：這裡是預留給以後用的，現在沒什麼用
這個文件會比之前的passwd更重要也更有用，大家多留意下

5. 既然對密碼有這麼多的配置，那麼就有專門的命令可以設置，chage命令，專門負責密碼期限的相關設置，用法如下

•  -d 設置最後更新密碼的時間，-E 設置賬號過期時間，-I 設置過渡期，-l 顯示期限信息，-m 改密最短間隔，-M 密碼過期時間，-W 提前多少天警告
• 這裡註意一點，時間都是相對於1970.1.1的時間（也就是跟1970.1.1相距多少天了）

6. 最後就是刪除用戶的操作了，同樣在passwd文件里可以改，把他那欄信息都刪了就行，但是同時得在shadow文件里也把他刪了，這種方法有弊端，你可以進到/home目錄下可以發現用戶的家目錄還在，所以還得刪除用戶的家目錄下。當然可以用userdel命令刪除用戶就比較方便，如下所示

userdel -rf 用戶名

• 加個 -r 選項就可以刪除家目錄，-f 是強制執行，就有可能刪除他的時候他的程式正在運行，那麼刪除程式文件就會報錯。這個Windows經常能遇到吧，現在Linux可以強行解決這類問題，很暴力攔都攔不住。

7. 下麵講下還沒提過的 /etc/login.defs文件吧，它是控制新建預設用戶的配置文件。預設用戶的話，useradd 後面跟用戶名加 -D 選項就能創建，那它又是怎麼配置預設用戶的呢，那就直接看下它的內容

這就是它的文件內容，雖然每個變數設置前都有說明，不過我還是簡單講下吧，沒理解再看文件里的說明吧

• MAIL_DIR：用戶郵件地址，所以之前改文件刪用戶的時候還得看下用戶郵件存放目錄。好了我剛看了下確實沒刪掉，所以改文件來修改用戶可以，刪用戶就不推薦使用了
• PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN、PASS_WARN_AGE：密碼過期時間、改密最短間隔時間、密碼最短長度、密碼過期提前幾天警告
• UID_MIN、UID_MAX：用戶預設創建id的最小值和最大值，GID_MIN和GID_MAX同理
• CREAT_HOME：yes說明預設創建用戶後會同時創建它的家目錄
• UMASK：用戶創建文件、目錄的預設許可權的掩碼，這個屬於許可權問題後面再講
• USERGROUPS_ENAB：yes也就是刪除用戶的時候把僅有他的組也刪了（主組），先不用瞭解
• ENCRYPT_METHOD：密碼加密方式，是SHA512加密方式

8. 現在就只有 /etc/default/useradd 文件了，它的作用跟上面login.defs文件差不多，不過兩者既有聯繫也有區別（等下會結合起來細講），login.defs 文件針對的是用戶，而現在講的這個文件針對的是 useradd 命令，看它的路徑就明白，是useradd的預設配置，看下他的文件內容

好像看不出太多，那就用之前學過的whatis配合man命令查看他的幫助吧，來看下結果，我直接把相關部分截出來了

 現在這個文件的內容可以理解了，順便可以看下他跟login.defs文件的關係了：

• GROUP：用戶預設組，對應第二幅圖 useradd 的 -g 選項來看，說的是如果login.defs文件里的USERGROUPS_ENAB變數是no的話那麼這個文件里的GROUP就生效了
• HOME：用戶預設家目錄，對應上圖 -b 選項來看，是不是
• INACTIVE：-1，就是不啟用密碼的過渡期
• EXPIRE：賬號過期時間，沒填就不會過期
• SHELL：預設用戶使用的shell類型
• SKEL：這是預設用戶目錄里的內容，下麵會簡單講下他
• CREAT_MAIL_SPOOL：yes就是預設創建郵件目錄，所以不需要創建郵件目錄的話可以在這裡填no哎呀，又得填個坑了，/etc/skel目錄，直接看下它裡面有哪些文件吧，再看下你的家目錄你就明白一切了，相當於在創建家目錄時會複製skel的內容，所以用處還挺大的，說實話。

好了用戶就介紹到這了，下麵介紹組了

用戶組的操作

組的話，也有添加，修改和刪除等操作，對應groupadd、groupmod、groupdel三個命令，相關配置文件有這些/etc/group、/etc/gshadow，下麵來看下

1. groupadd命令，創建一個新的組，用法如下

groupadd 組名 -g GID組號 -p 密碼

• -g 選項用來指定組號，-p 選項用來設組的密碼，一般 -g 選項會比較常用，而 -p瞭解以下即可

2. 好了創建完一個組有怎麼查看呢，在 /etc/group 這文件里，它裡面有組的信息，同樣除了cat能查看，getent group也能實現查看，後面getent我就不多提了，只是多個方法，沒必要掌握。結果如下圖所示

testgrp就是我新建的組，至於這個文件的內容還是挺簡單的，格式如下：

　　　　組名：密碼（顯示為x，安全起見）：組號GID：組裡面的用戶

3. 好了組建完了，現在要怎麼修改組呢，有多多個命令可以改，不過各有千秋。

• 首先groupmod命令，他能修改組的外在，但改不了它的內在——組成員。它的用法如下

groupmod 組名 -n 新組名 -g 新ID -p 新密碼

• 其次是gpasswd命令，它就可以修改組成員，去掉組的密碼，不過改組名id就做不到了，它的用法如下

gpasswd -a 用戶名 組名

　　-r 選項可以去掉組的密碼，這個就瞭解這兩個些即可，具體可以查幫助前篇筆記講過

• 最後就是groupmems命令，他是管理組內用戶的首選命令，可以查看修改組成員，用法如下

groupmems -a 用戶 -g 組

刪除用戶的話用 groupmems -d 用戶 -g 組 可實現，groupmems -l -g 組 可以查看該組的成員。這個命令掌握這三個用法差不多了

4. 最後又是怎麼刪除的問題了，groupdel命令，用法如下

groupdel 組名

5. 就還剩 /etc/gshadow 這個文件沒講，這個文件存放的是安全組信息，所謂安全就是只有root用戶能看，看下他的文件格式吧

 　　　　組名：密碼：管理員：組員

6. 最後瞭解一下吧，就是加密演算法函數crypt（），密碼就是靠這個函數加密的，用下麵這個命令可以查看幫助

man 3 crypt

這是我截取的重要部分，下麵id號對應一類加密演算法，這樣密碼是哪種加密演算法加密的就不用看login.defs文件了，看shadow的時候密碼開頭$1就是MD5演算法，ok，這個理解就行，其他就先不講了

 總結

用戶和組的信息文件：/etc/passwd       /etc/shadow    /etc/group    /etc/gshadow
相關的預設配置文件：/etc/login.defs    /etc/skel         /etc/default/useradd   

用戶：useradd   usermod   userdel   passwd     chage    chfn  
組：groupadd  groupmod  groupdel  groupmems  gpasswd    
查看：getent    vipw     vigr     pwck    grpck    finger    id 

pwck和grpck，分別是檢查passwd文件和group文件格式的，可以自行體驗

• 我之所以會把這些文件格式講得那麼清楚是它在批量操作的時候特別有用，如下麵這個例子

newusers f1

newusers命令批量創建用戶使用的，f1就是我按passwd文件格式輸入的要創建的用戶的信息，如下圖所示

可以看下passwd文件，沒問題。再看下登陸界面，能登陸麽，密碼x輸入沒問題，好了這就是批量操作

 對用戶和組的管理介紹到此為止，希望對讀者有幫助