一、用户类型

1、Linux 的单用户多任务

一个用户登入,执行多个任务。比如你使用电脑,聊着QQ,听着音乐。

2、Linux 的多用户多任务

apache用户提供web服务
root用户操作系统,互不影响

3、Linux 系统用户角色划分

用户在系统中是分角色的,在Linux系统中,由于角色不同,权限和所完成的任务也不同。值得注意的是用户的角色是通过UID和GID 识别的。特别是UID,在运维工作中,一个UID是唯一标识一个系统用户的账号。
  • 超级用户:

    默认是root用户,其UID和GID 均为O,在每台unix/linux操作系统中都是唯一且真实存在的,通过它可以登录系统。可以操作系统中任何文件。拥有最高的管理权限。在生产环境中,一般会禁止root账号远程SSH连接服务器,以加强系统安全。

  • 普通用户:

    这类用户一般是由具备系统管理员root的权限的运维人员添加的

  • 虚拟用户:

    与真实普通用户区分来,这类用户最大的特点是安装系统后默认就会存在,且默认情况不能登录系统,他们是系统正常运行不可缺少的,他们的存在主要是方便管理系统,满足相应的系统进程对文件属主的要求。如:bin adm nobody

多用户系统从实际上来说使得系统更为方便。从安全角度来说,多用户系统也更为安全。

二、用户和用户组

1、用户及用户组配置文件介绍

/etc/passwd,/etc/shadow,/etc/group,/etc/gshadow 四个文件。

2、用户:/etc/passwd

文件中每一行定义一个用户账号。各内容之间又通过“:”划分为多个字段。
(提示:passwd文件中有很多虚拟账号、如bin,daemon等),一般来说,这些账号是系统运行所需要的。在不确定的情况下,请不要随意删改此类账号。


root:    x        :0        :0        :root        :/root        :/bin/bash
账号名称    账号密码     账号UID        账号GID     用户说明    用户家目录    shell解释器

3、UID字段限制说明:

0为超级用户
1-499 为系统保留使用的UID。防止人为建立账户的UID与系统的UID之间冲突
500-65535 普通账户UID
权限:644
/etc/shadow
权限:400,只有root可读
同样用“:” 分为9个字段。

含义分别为:

账号密码:最近更改密码的时间:禁止修改密码的天数:用户必须更改口令的天数:警告更改密码的天数:不活动时间:失效时间:标志

4、用户组配置文件:

/etc/group
/etc/gshadow
/etc/group 字段含义
用户组名:用户组密码:GID:用户组成员
/etc/gshadow
用户组名:用户组密码:用户组管理员账号:用户组成员

三、用户管理

1、用户与用户组管理基本命令总结:

  • 用户:
useradd     同 adduser,执行命令可在系统中添加用户。
passwd         执行此命令可为用户设置密码。    
usermod     修改用户的命令,可以通过usermod来修改用户登录名,用户的家目录等等
id        查看用户的uid,gid及所归属的用户组
su        用户切换工具
sudo         sudo 是通过另一个用户来执行命令(execute a command as another user),su是用来切换用户,然后切换到的用户来完成相应的任务,但sudo能在命令后面直接接命令执行,比如 sudo ls /root/,不需要root 密码就可以执行只有root才能执行相应的命令或具备目录权限:这个权限需要通过visudo命令或直接编辑/etc/sudoers 来实现
visudo        visodu配置sudo权限的编辑命令;也可以不用这个命令,直接用vi编辑/ect/sudoers实现。
pwcov         同步用户从 /etc/passwd 到 /etc/shadow.
pwck        pwck是校验用户配置文件/etc/passwd 和/etc/shadow 文件内容是否合法或完整
pwunconv     是pwcov的逆向操作,是从/etc/shadow和/etc/passwd 创建 /etc/passwd.然后会删除 /etc/shadow文件
chfn         更改用户信息工具
finger        查看用户信息工具
sudoedit    和sudo功能差不多
  • 用户组:
groupadd     添加用户组
groupdel    删除用户组
groupmod    修改用户组信息
groups        显示用户所属的用户组
grpck    
grpconv     通过/etc/group 和/etc/gshadow/ 的文件内容来同步或创建 /etc/gshadow,如果/etc/gshadow 不存在则创建。
grpunconv     通过/etc/group 和/etc/gshadow 文件内容来同步或创建/etc/group ,然后删除gshadow文件。

2、/etc/skel 目录

/etc/skel 目录是用来存放新用户配置文件的目录,当我们添加新用户时,这个目录下的所有文件会被自动复制到新添加的用户的家目录下;默认情况下,/etc/skel 目录下的所有文件都是隐藏文件(以点开头的文件);通过修改,添加,删除/etc/skel目录下的文件,我们可为新创建的用户提供统一,标准的,初始化用户环境。


[root@localhost skel]# ls -al
总用量 24
drwxr-xr-x.  3 root root 4096 6月  24 03:12 .
drwxr-xr-x. 85 root root 4096 7月   2 03:43 ..
-rw-r--r--.  1 root root   18 7月  18 2013 .bash_logout
-rw-r--r--.  1 root root  176 7月  18 2013 .bash_profile
-rw-r--r--.  1 root root  124 7月  18 2013 .bashrc
drwxr-xr-x.  2 root root 4096 11月 12 2010 .gnome2

当我们用useradd命令添加新用户的时候,Linux系统会自动复制/etc/skel/下的所有文件(包括隐藏文件)到新添加用户的家目录下。

实例一:

[root@localhost skel]# touch longge
[root@localhost skel]# useradd longdidi

[root@localhost longdidi]# ls /home/longdidi/ -al
总用量 24
drwx------. 3 longdidi longdidi 4096 7月   2 06:31 .
drwxr-xr-x. 3 root     root     4096 7月   2 06:31 ..
-rw-r--r--. 1 longdidi longdidi   18 7月  18 2013 .bash_logout
-rw-r--r--. 1 longdidi longdidi  176 7月  18 2013 .bash_profile
-rw-r--r--. 1 longdidi longdidi  124 7月  18 2013 .bashrc
drwxr-xr-x. 2 longdidi longdidi 4096 11月 12 2010 .gnome2
-rw-r--r--. 1 longdidi longdidi    0 7月   2 06:30 longge

提示:上面所述功能,实际工作中可以考虑统一设置环境变量等,但一般中小公司,在生产环境一般不会随意改这个目录及内容。

3、/etc/login.defs 配置文件

/etc/login.defs 文件是用来定义创建用户时需要的一些用户的配置信息。如创建用户时,是否需要家目录,UID和GID的范围,用户及密码的有效期限等。


[root@localhost longdidi]# egrep -v '^#|^$' /etc/login.defs 
MAIL_DIR        /var/spool/mail                #创建用户时, 要在目录/var/spool/mail中创建一个用户mail文件
PASS_MAX_DAYS   99999                    #一个密码最长可以使用的天数;
PASS_MIN_DAYS   0                    #更换密码的最小天数;
PASS_MIN_LEN    5                    #密码的最小长度;
PASS_WARN_AGE   7                    #密码失效前提前多少天 警告
UID_MIN                   500                #最小UID为500,也就是说添加用户的UID默认从500开始
UID_MAX                 60000                #最大UID为60000,
GID_MIN                   500                
GID_MAX                 60000
CREATE_HOME     yes                    #是否创建家目录
UMASK           077                    #默认家目录的umask
USERGROUPS_ENAB yes                    #删除用户同时产出用户组
ENCRYPT_METHOD SHA512                     #MD5 密码加密

/etc/default/useradd 文件
/etc/default/useradd 文件是在使用useradd添加用户时的一个需要调用的一个默认的配置文件,可以使用useradd -D参数,这样的命令格式来修改文件里面的内容。


[root@localhost default]# egrep -v '^# | ^$' /etc/default/useradd 
GROUP=100
HOME=/home        #制定用户家目录的父目录
INACTIVE=-1        #是否启用账号过期停权, -1 表示不启用
EXPIRE=            #账号终止日期,不设置表示不启用
SHELL=/bin/bash        #新用户默认所用的shell 类型
SKEL=/etc/skel        #配置新用户家目录的默认文件存放路劲。前文提到的/etc/skel,就是配置在这里生效的,即当我们用useradd添加用户时,用户家目录下的文件,都是从这里配置的目录中复制过去的。
CREATE_MAIL_SPOOL=yes    #创建mail文件
提示:useradd -D 

4、Linux用户管理命令

linux 是一个多用户多任务的操作系统,有着很丰富的用户管理工具,这些工具包括用户的查询,添加,修改,以及不同用户之间的互相切换等;通过这些工具,我们可以简单、方便、安全的进行用户管理工作。

与用户管理相关的一些文件:

/etc/passwd 和 /etc/group    我们对Linux的系统用户和用户组进行添加,修改,删除的最终结果就是修改系统用户文件/etc/passwd 和/etc/shadows 以及用户组的 /etc/group 和文件/etc/gshadow.
/etc/login.defs 和/etc/default/useradd     /etc/login.defs文件是用来定义在创建用户时的一些默认配置。如创建用户时,是否需要家目录,UID和GID的范围,用户及密码的有效期限等等,。
/etc/default/useradd 文件是在使用useradd 添加用户时需要调用的一个默认的配置文件,可以使用 useradd -D参数,这样的命令格式来修改文件里面的内容,当然也可以直接编辑修改。

4.1添加用户命令useradd:

添加用户的命令有useradd和adduser ,这两个命令所能达到的效果是一样的。当然出了useradd和 adduser命令之外,我们还能通过修改用户配置文件/etc/passwd 和/etc/group及手动创建文件的办法来直接添加用户。
useradd命令:当使用useradd命令不加参数选项,后面直接跟所添加的用户名时,系统首先会读取配置文件/etc/login.defs 和/etc/default/useradd 中所定义的参数或规则,根据设置的规则添加用户,同时会向/etc/passwd 和 /etc/group 文件内添加新建用户和用户组几记录。
当然/etc/passwd和/etc/group的加密资讯文件/etc/shadows 和/etc/gshadow 也会同步生产记录,同时系统还会根据/etc/default/useradd文件中所配置的信息建立用户的家目录,并复制/etc/skel 中的所有文件(包括隐藏的环境配置文件)到新用户的家目录中。
  • useradd 参数详解:
-c comment     新账号password档的说明栏
-d home_dir     新账号每次登入时所使用的home_dir。预设置位 login名称、
-e expire_date    账号终止日期。
-f inactive_days    账号过期后几日永久停权。当设置为0时账号则立刻被停权。当设置为-1时则关闭此功能,
-g initial_group    group名称或以数字来做为用户登入起始用户组。用户组名须为系统现有存在的名称,
-G group        定义此用户为多个不同groups的成员,每个用户组使用“,”都好分隔。

4.2添加用户组命令groupadd

groupadd 命令有关的文件有:
    /etc/group 用户组相关文件    /etc/gshadow  用户组加密相关文件
groupadd命令语法:
    groupadd [-g gid [-o] ] [ -r ] [ -f ] groupname    
groupadd 参数选项:
    -g gid     制定用户组GID值。除非接-o 参数(如:groupadd -g 1234 -o longge),否则ID值必须是唯一的数字(不能为负数)。如果不指定-g参数,则预设值会从500开始
    -r     建立系统用户组,GID值会比/etc/login.defs 中定义的UID_MIN值小。
    -f    新增一个账户,强制覆盖一个已经存在的用户组账号,

文件:    
    /etc/group 用户组相关文件
    /etc/gshadow 用户组加密相关文件

    提示:以上为用户组相关的文件,使用groupadd 命令的结果实际上就是更改维护这两个文件。
    相关命令: chfn  chsh   useradd userdel  usermod passwd  groupdel groupmod  

    groupadd命令实例:
        在生产环境中,一般增加用户组的用法都是非常简单的。
  • 4.3用户密码相关命令passwd:

普通用户和超级用户都可以运行passwd命令,但普通用户只能更改自身的用户密码。超级用户root则可以设置或修改所有用户的密码。 当直接 passwd 命令后面不接任何参数或用户名时,则表示修改当前登录用户的密码。

passwd 参数选项:

-k --keep-tokens   保留即将过期的用户在期满后仍能使用
-d --delete        删除用户密码,仅能以root权限操作
-l --lock        锁住用户无权更改密码,仅能通过root权限操作
-u  --unlock        解除锁定
-f  --force        强制操作;仅root权限才能操作
-x  --maximum=DAYS    两次密码修改的最大天数,后面接数字;仅能root权限操作
-n   --minimum=DAYS    两次密码修改的最小天数,后面接数字;仅能root权限操作
-w   --warning=DAYS    在距多少天提醒用户修改密码:仅能root操作
-i --inacive=DAYS    在密码过期后多少天,用户被禁掉,仅能root操作
-S --status         查询用户的密码状态,仅能root操作

实例:我们用--stdin 参数实现非交互式的批量设置或修改密码

[root@localhost ~]# echo "123.com" | passwd  --stdin longdidi
更改用户 longdidi 的密码 。
passwd: 所有的身份验证令牌已经成功更新。

4.4修改用户密码有效期限相关命令chage:

chage命令的用法很多,和passwd等命令功能也有不少是重复的。
语法:
    chage [选项] 用户名
-d --lastday    将最近一次密码设置时间设为“最近日期”
-E --expiredate  将账户过期时间设为“过期日期”    
-h              显示帮助
-i          将因过期而失效的密码设为“失效密码”
-l          显示账户年龄信息
-m          将两次改变密码之间相距的最小天数设置为“最小天数”

4.5删除用户相关命令userdel

相关文件:
/etc/passwd 用户账号资料文件
/etc/shadow 用户账户资讯加密文件
/etc/group  用户组资讯文件
userdel 语法:
    userdel [-r] 用户名
groupdel
chfn 

4.6更改用户的shell类型 chsh

4.7用户信息修改相关命令usermod:

语法:
usermod [-c comment] [-d home_dir [-m]] ..... 
usermod 参数选项:
-c 
-d 更新用户新的家目录。如果给定—m选项,用户旧的家目录会搬到新的家目录去,
-e 加上用户账号停止日期2
-f 账号过期几日后永久停权
....

finger id

w,who,users,last,lastlog,groups

results matching ""

    No results matching ""