第六章用戶和用戶組的管理本章學習要求與用戶和用戶組相關的配置文件掌握用戶帳號的添加、修改與刪除掌握用戶口令的管理掌握用戶組的添加、修改與刪除Linux系統是一個多用戶多任務的分時操作系統，任何一個要使用系統資源的用戶，都必須首先向系統管理員申請一個帳號，然后以這個帳號的身份登錄系統。6.1相關的配置文件與用戶和用戶組相關的主要配置文件有：/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow和/etc/skel目錄等。6.1.1/etc/passwd/etc/passwd是用戶帳號文件，它是一個文本文件，用于定義系統的用戶帳號。該文件包含了系統的帳戶并列出了每個帳戶的一些信息，如用戶ID、用戶組ID、用戶主目錄等。由于所有用戶對/etc/passwd文件都有讀的權限，因此該文件只定義了用戶的帳號，而沒有保存用戶的口令信息。/etc/passwd的每一行都表示系統中一個用戶的信息。每行由7個字段組成，各字段之間使用:分隔。/etc/passwd文件內容中各字段的說明字段序號字段說明1account用戶名，區分大小寫2password用戶口令，出于系統的安全性，該字段不保存口令，而使用字母x來表示，真正的用戶口令保存在/etc/shadow文件中3UID用戶的ID值4GID用戶所屬的私有組ID值，該值對應/etc/group文件中的GID值5GECOS該字段可選，用于保存用戶名的全稱6directory用戶主目錄，用戶成功登錄后的默認目錄7shell用戶使用的shell，如果該字段為空，則使用/bin/sh系統用戶的UID值從0開始，是一個正整數或0，至于最大值可以在/etc/login.defs文件中查到（一般Linux發行版約定為UID的最大值為60000）。在Linux系統中，root的UID值為0，他擁有最高的權限。把幾個用戶設置為同樣的UID會造成系統安全的隱患，尤其是設置成root的UID值0。6.1.2/etc/shadow/etc/shadow是用戶帳號的密碼文件，它是一個文本文件。該文件與/etc/passwd文件類似，每行定義了一個用戶的信息，并由9個字段組成，各字段用:分隔。為了系統的安全性，shadow文件中用戶的密碼是加密的，并且只有root用戶可以訪問該文件。第一字段：用戶名。在/etc/shadow文件中的用戶名和/etc/passwd文件中的用戶名相同。該字段非空。第二字段：密碼（已被加密）。若該字段的值為*，表示這個用戶不能登錄系統；若該字段為!!，表示該用戶剛被建立，還沒有登錄的權限；若該字段以一個!開頭，表示該用戶密碼為鎖定狀態；若該字段以兩個!開頭，表示該用戶不能修改自己的密碼。該字段非空。第三字段：上次修改口令的時間。這個時間是從1970年1月1日算起到最近一次修改口令的時間間隔（天數）。用戶可以使用passwd工具修改用戶的密碼，然后再查看/etc/shadow中此字段的變化。該字段非空。第四字段：兩次修改口令間隔最少的天數。如果此值為0，則禁用此功能，也就是說用戶必須經過多少天才能修改其口令，此項功能用處不是太大。默認值是/etc/login.defs文件中的PASS_MIN_DAYS項定義的值。第五字段：兩次修改口令間隔最多的天數，即有效期。這個增強了管理員管理用戶口令的時效性，從而增強了系統的安全性。如果是系統的默認值，在添加用戶時由/etc/login.defs文件中的PASS_MAX_DAYS項進行定義。第六字段：提前多少天警告用戶口令將過期。當用戶登錄系統后，系統登錄程序提醒用戶口令將要作廢。第七字段：在口令過期之后多少天禁用此用戶。此字段表示用戶口令作廢多少天后，系統會禁用此用戶，也就是說系統將不再讓此用戶登錄，也不會提示用戶過期，是完全禁用。第八字段：用戶過期日期。此字段指定了用戶作廢的天數（從1970年的1月1日開始的天數）。如果這個字段的值為空，用戶帳號將永久可用。第九字段：保留字段。/etc/shadow文件是/etc/passwd的投影文件，但這個文件并不是由/etc/passwd產生，這兩個文件應該是對應互補的。/etc/shadow內容包括用戶和被加密的密碼及其它/etc/passwd不能包括的信息，如用戶的有效期限等。/etc/shadow文件只有root用戶有操作的權限。6.1.3/etc/group/etc/group為用戶組帳號文件，它是一個文本文件。該文件相對來說比較簡單，通過配置該文件，可以看到系統中的用戶組、用戶所屬的組及某個用戶組中的成員。用戶組（Group）是具有某種共同特征的用戶集合。在Linux系統中，用戶組分為兩種：用戶私有組和公有組。私有組只包含一個用戶，在創建用戶時系統自動創建一個和用戶同名的組。公有組可以包含多個用戶。

注：在Linux系統中，當一個用戶屬于多個用戶組時，某個用戶的權限只能是當前所屬組的權限，而不是多個組權限的累加。/etc/group文件中各字段的說明字段序號字段說明1groupname用戶組的名稱2password用戶組的口令，出于系統的安全性，該字段不保存口令，而使用字母x來表示，真正的口令保存在/etc/gshadow文件中3GID用戶組的ID值4members用戶組中的成員列表，成員之間使用“,”分隔6.1.4/etc/gshadow/etc/gshadow文件用于定義用戶組的口令、用戶組管理員等信息，它是一個文本文件，并且該文件只有root用戶可以讀取。/etc/gshadow文件中各字段的說明字段序號字段說明1groupname用戶組名稱，與group文件中的組名稱對應2encryptedpassword用戶組口令，用于保存已加密的口令3Groupadministrators組的管理員，他有權對該組添加、刪除成員4Groupmembers組中的成員列表，成員之間使用“,”分隔6.1.5/etc/skel目錄/etc/skel目錄為初始化用戶的主目錄，該目錄下存放有與用戶相關的配置文件。一般來說，每個用戶都有自己的主目錄，用戶登錄成功后就處于自己的主目錄。當創建用戶時，系統會為新用戶創建主目錄并在其主目錄下建立一份/etc/skel目錄下所有文件（.bash_logout、.bash_profile、.bashrc）的拷貝，以初始化用戶的主目錄。6.1.6/etc/sudoers6.1.7/etc/login.defs/etc/login.defs文件是系統在創建用戶時的一些規則，如創建用戶時是否需要創建用戶的主目錄、UID和GID的范圍、用戶密碼的有效期、用戶密碼的最短長度、UMASK值等。6.1.8/etc/default/useradd

/etc/default/useradd文件是添加用戶時的規則文件。該文件內容如下：#useradddefaultsfileGROUP=100HOME=/homeINACTIVE=-1EXPIRE=SHELL=/bin/bashSKEL=/etc/skel其中HOME的值為創建用戶時，用戶主目錄的位置在/home目錄中；INACTIVE為是否啟用帳戶過期，-1為不啟用；EXPIRE的值為帳號終止日期，日期格式為YYYY-MM-DD，不設置表示不啟用帳號過期；SHELL的值為使用shell的類型；SKEL的值為添加用戶時用戶主目錄中的文件的存放位置，即使用useradd或adduser添加用戶時，用戶主目錄下的文件都是/etc/skel目錄下文件的拷貝。6.2用戶的管理用戶管理主要包括用戶的添加、修改、刪除及用戶密碼的設置等。6.2.1添加用戶添加用戶的命令為useradd或adduser。useradd/adduser命令執行時，讀取/etc/login.defs和/etc/default/useradd中所定義的規則創建用戶，并向/etc/passwd和/etc/group文件中添加用戶和用戶組記錄，/etc/passwd和/etc/gshadow文件也同步生成記錄，同時發生的還有系統會自動在/etc/add/default中所約定的目錄中建立用戶的主目錄，并復制/etc/skel中的文件到新用戶的主目錄中。useradd或adduser命令的語法格式如下：useradd[options]LOGINadduser[options]LOGINLOGIN為添加的用戶名稱。useradd/adduser常用選項如下：-g,--gidGROUP

以GROUP名稱或數字做為用戶登錄起始用戶組（group）。用戶組名必須是系統中現有存在的名稱，用戶組數字也必須是現有存在的用戶組。預設的用戶組值為100，該值在/etc/default/login.defs中有定義。添加用戶myback，并將他加入sysbackup用戶組。使用命令如下：[root@localhosthome]#useradd-gsysbackupmyback6.2.2修改用戶使用useradd/adduser工具添加用戶帳號后，有時需要對帳號做一些修改操作，如臨時鎖定帳號。其語法格式和常用選項如下：usermod[options]LOGIN

-g,--gidGROUP

更新用戶新的起始登錄用戶組，用戶組名必須在系統中已存在。-L,--lock

鎖定用戶密碼。執行該選項后，會在/etc/shadow文件中指定用戶的密碼字段前添加一個字符“!”。-U,--unlock

解鎖用戶密碼。-l,--loginNEW_LOGIN

變更用戶登錄系統的名稱為NEW_LOGIN，用戶的主目錄名也會變為NEW_LGOIN，而其它信息不會改變。將系統中的用戶名pubs，修改為pub。使用命令如下：[root@localhosthome]#usermod-lpubpubs鎖定用戶pub，使其不能登錄系統。使用命令如下：[root@localhosthome]#usermod-Lpub解鎖用戶pub，恢復登錄。使用命令如下：[root@localhosthome]#usermod-Upub6.2.3刪除用戶userdel為刪除指定用戶的命令。其語法格式如下：

userdel[-r]nameuserdel使用很簡單，常用的參數選項為-r，表示在刪除用戶的同時，將用戶的主目錄及本地郵件存儲的目錄或文件也一并刪除。因此，在刪除用戶時，若要使用-r參數，請先備份指定用戶主目錄及郵件存儲的目錄或文件內容。刪除用戶pub，并將其主目錄及郵件存儲目錄一并刪除。使用命令如下：[root@localhosthome]#userdel-rpub6.2.4設置密碼添加用戶后，該用戶還暫時不能登錄系統，因為還沒有設置該用戶登錄系統的密碼。在實際操作時，用戶有時也需要修改自己或其他用戶的密碼，而usermod修改用戶的密碼時，是以明文方式存放。修改或設置用戶的密碼使用passwd工具。該工具的命令語法格式和常用選項如下：passwd[OPTION][accountName]-l,--lock

鎖定用戶并使用戶無權更改自己的密碼（但可以使用su命令切換用戶）。該選項僅能通過root權限來操作。

-l,--lock

鎖定用戶并使用戶無權更改自己的密碼（但可以使用su命令切換用戶）。該選項僅能通過root權限來操作。passwd若不帶任何參數，表示修改或設置當前用戶的密碼。使用useradd添加新用戶后，應以root權限運行passwd來設置新用戶的密碼。6.2.5設置用戶信息Linux系統中還提供了一個設置用戶信息的工具chfn。該工具可以設置用戶的全名、辦公室電話及地址等。該工具的語法格式如下：chfn[-ffull-name][-ooffice][-poffice-phone][-hhome-phone][-u][-v][username]若chfn不帶任何參數，則設置當前用戶的信息。在shell提示符下輸入chfn后回車，用戶根據系統的提示即可設置當前用戶的信息，如用戶的全名、辦公室的地址、辦公室的電話、家庭電話等。6.3用戶組的管理用戶組的管理主要包括用戶組的添加、修改、刪除及用戶組成員的配置等。6.3.1添加用戶組groupadd命令用于添加用戶組帳號。該命令的語法格式選項如下：groupadd[-ggid[-o]][-r][-f]group6.3.2修改用戶組groupmod命令是用來更改用戶組的GID或名稱。該命令的語法格式及常用選項如下：groupmod[-ggid[-o]][-nname]group

-ggid

修改指定用戶組帳號的GID值。GID值不可以為負值，也不可以與系統中已有的GID值重復，除非使用-o選項。-nname

更變用戶組的名稱。更改用戶組backup的名稱為backup1，使用命令如下：[root@localhost

home]#groupmod-g515-nbackup1backup

6.3.3刪除用戶組groupdel命令用于刪除指定的用戶組帳號。若該用戶組中有成員，則必須先將該用戶組中的成員使用命令gpasswd從該組中刪除，才能刪除該用戶組。該命令的語法格式如下：groupdelgroup-name刪除系統中的用戶組backup1。使用命令如下：[root@localhosthome]#groupdelbackup16.3.4組成員的維護gpasswd工具可以把用戶添加到用戶組、刪除用戶組成員、設置用戶密碼等。該命令的語法格式如下：gpasswd[options][user]groupgpasswd的常用選項如下：-a

將用戶添加到用戶組，使之成為用戶組的成員。-d

從用戶組中刪除用戶，即刪除用戶組中的成員。-A

設置用戶組管理員，使他有權對該組添加、刪除成員。將pubs用戶加入用戶組backup1。使用命令如下：[root@localhost

home]#gpasswd-apubsbackup1將pubs用戶成為用戶組backup1的組管理員。使用命令如下：[root@localhost

home]#gpasswd-Apubsbackup1設置用戶組backup1的密碼。使用命令如下：[root@localhost

home]#gpasswdbackup1用戶組密碼的作用是非本用戶組的用戶切換到本用戶組身份時，可以通過密碼保證安全性；如果沒有設置用戶組的密碼，則只有屬于本用戶組的用戶才能切換到本用戶組的身份。6.4查看用戶及用戶組的信息通過查看用戶和用戶組的配置文件（如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow）可以查看用戶和用戶組的信息。除此之外，用戶還可以通過一些工具來查看用戶和用戶組的信息，如id、whoami和groups