Linux操作系統(tǒng)管理

——以CentOS7為例

三、用戶(hù)和組的管理3.1?用戶(hù)賬戶(hù)和組群概述3.1?用戶(hù)賬戶(hù)和組群概述3.1.1?用戶(hù)賬戶(hù)Linux系統(tǒng)是多用戶(hù)多任務(wù)的操作系統(tǒng)，它允許多個(gè)用戶(hù)同時(shí)登錄系統(tǒng)，使用系統(tǒng)資源。用戶(hù)賬戶(hù)是用戶(hù)的身份標(biāo)識(shí)，用戶(hù)通過(guò)用戶(hù)賬戶(hù)可以登錄到系統(tǒng)，并且訪問(wèn)已經(jīng)被授權(quán)的資源。系統(tǒng)依據(jù)賬戶(hù)來(lái)區(qū)分屬于每個(gè)用戶(hù)的文件、進(jìn)程、任務(wù)，并給每個(gè)用戶(hù)提供特定的工作環(huán)境（例如用戶(hù)的工作目錄、Shell版本以及圖形的環(huán)境配置等），使每個(gè)用戶(hù)都能各自獨(dú)立、不受干擾的工作。Linux系統(tǒng)的用戶(hù)有3個(gè)類(lèi)型，包括：系統(tǒng)管理員、系統(tǒng)用戶(hù)和普通用戶(hù)。（普通賬戶(hù)和超級(jí)用戶(hù)賬戶(hù)root）3.1?用戶(hù)賬戶(hù)和組群概述1.系統(tǒng)管理員也稱(chēng)超級(jí)用戶(hù)、root用戶(hù)，對(duì)本機(jī)擁有最高的權(quán)限，類(lèi)似于Windows系統(tǒng)中的Administrator，UID=0。2.系統(tǒng)用戶(hù)是指與系統(tǒng)服務(wù)相關(guān)的用戶(hù)，在安裝Linux系統(tǒng)及部分應(yīng)用程序時(shí)，會(huì)添加一些特定的低級(jí)權(quán)限用戶(hù)賬戶(hù)，這些用戶(hù)一般不允許登錄到系統(tǒng)，僅用于維持系統(tǒng)或某個(gè)程序的正常運(yùn)行，0<UID<1000。3.普通用戶(hù)通常需要由root用戶(hù)或其他管理員用戶(hù)創(chuàng)建，一般不需要改其默認(rèn)配置，擁有的權(quán)限受到一定限制，一般在用戶(hù)的主目錄中擁有完整的權(quán)限，UID>=1000。3.1?用戶(hù)賬戶(hù)和組群概述3.1.2?組群在Linux系統(tǒng)中，將具備相同特征或功能的用戶(hù)劃分到一個(gè)組群，這樣可方便系統(tǒng)管理員對(duì)用戶(hù)訪問(wèn)權(quán)限進(jìn)行管理，如：當(dāng)多個(gè)用戶(hù)需對(duì)某個(gè)文件夾或子文件擁有相同的訪問(wèn)權(quán)限時(shí)，需將用戶(hù)定義到同一個(gè)組群，通過(guò)修改組群擁有對(duì)文件或文件夾的相關(guān)訪問(wèn)權(quán)限，該組群下的所有用戶(hù)對(duì)該文件或文件夾就擁有相同指定的訪問(wèn)權(quán)限。每個(gè)用戶(hù)至少屬于一個(gè)組群，即一個(gè)用戶(hù)可以屬于多個(gè)組群，其中一個(gè)稱(chēng)為該用戶(hù)的主組群，其他組稱(chēng)為用戶(hù)的附屬組群（標(biāo)準(zhǔn)組群）。3.1?用戶(hù)賬戶(hù)和組群概述Linux系統(tǒng)的組群分為3個(gè)類(lèi)型，包括：私有組、標(biāo)準(zhǔn)組和系統(tǒng)組。1.私有組在建立用戶(hù)賬戶(hù)的時(shí)候，如果沒(méi)有具體指定所屬的組，Linux系統(tǒng)就會(huì)建立一個(gè)和用戶(hù)名相同的組，該組就是私有組，只存放了一個(gè)用戶(hù)。2.標(biāo)準(zhǔn)組可存放多個(gè)用戶(hù)，存放在該組的用戶(hù)均具有所在組的所有權(quán)利。3.系統(tǒng)組Linux系統(tǒng)自動(dòng)建立的組。3.2?用戶(hù)賬戶(hù)文件與組群文件3.2?用戶(hù)賬戶(hù)文件與組群文件3.2.1?用戶(hù)賬戶(hù)文件/etc/passwd文件時(shí)用戶(hù)賬戶(hù)管理過(guò)程中最重要的一個(gè)文件，該文件為純文本文件，用以保存除了用戶(hù)口令以外的用戶(hù)賬戶(hù)信息，其中包括：用戶(hù)名和UID，所有用戶(hù)都可以讀取該文件，所有注冊(cè)用戶(hù)在該文件里都有一個(gè)對(duì)應(yīng)的記錄行，記錄賬戶(hù)的重要信息。passwd文件的每一行用“:”分割為7個(gè)域，每一行各域的內(nèi)容如下：用戶(hù)名：加密口令：UID：GID：用戶(hù)的描述信息：主目錄：命令解釋器3.2?用戶(hù)賬戶(hù)文件與組群文件3.2?用戶(hù)賬戶(hù)文件與組群文件3.2.2?用戶(hù)影子文件因?yàn)樗杏脩?hù)對(duì)/etc/passwd文件都有讀取的權(quán)限，雖然口令經(jīng)過(guò)加密處理，但也不能完全避免有人會(huì)獲取加密后的口令，因此，為了提高Linux系統(tǒng)安全性，系統(tǒng)中的用戶(hù)賬戶(hù)口令是經(jīng)過(guò)加密后保存在/etc/shadow文件中，只有系統(tǒng)管理員才能讀取/etc/shadow文件，這部分的內(nèi)容在/etc/passwd文件中每一記錄行的口令字段總是用“x”來(lái)填充。與/etc/passwd文件類(lèi)似地，/etc/shadow文件中的每一行描述一個(gè)用戶(hù)配置信息，通過(guò)“：”將用戶(hù)的每個(gè)屬性信息分為9個(gè)域，文件格式如下：用戶(hù)賬戶(hù)：加密口令（*表示非登錄用戶(hù)，！！表示沒(méi)有設(shè)置密碼）：最后一次修改時(shí)間：最小時(shí)間間隔：最大時(shí)間間隔：警告時(shí)間：不活動(dòng)時(shí)間：失效時(shí)間：標(biāo)志字段每個(gè)字段的含義及說(shuō)明如表3-2所示。3.2?用戶(hù)賬戶(hù)文件與組群文件3.2.3?用戶(hù)組群賬戶(hù)文件/etc/group文件保存所有用戶(hù)組賬戶(hù)的信息，所有用戶(hù)組成員都可以讀取，與用戶(hù)賬戶(hù)一樣，用戶(hù)組也是由唯一的一個(gè)身份來(lái)標(biāo)記，用GID表示，對(duì)某個(gè)文件的訪問(wèn)是以其UID和GID為基礎(chǔ)的。3.2?用戶(hù)賬戶(hù)文件與組群文件/etc/group文件中的每一行描述一個(gè)用戶(hù)組信息，每一行通過(guò)“：”將用戶(hù)的每個(gè)屬性信息分為4個(gè)部分，文件格式如下：用戶(hù)組名：用戶(hù)組口令：GID：組成員列表每個(gè)字段的含義及說(shuō)明如表3-3所示。**組成員列表并不把該用戶(hù)作為成員列表，只有用戶(hù)的附屬群組才會(huì)把該用戶(hù)作為成員列出。3.2?用戶(hù)賬戶(hù)文件與組群文件3.2?用戶(hù)賬戶(hù)文件與組群文件3.2.4?組群影子文件跟處理用戶(hù)密碼一樣，群組密碼也用一個(gè)影子文件/etc/gshadow保存。該文件只有root用戶(hù)可以讀取。每個(gè)組群賬戶(hù)在文件中占用一行，并以“:”分割為4個(gè)域。每一個(gè)域的內(nèi)容如下：組群名稱(chēng)：加密后的組群口令（沒(méi)有就！）：組群的管理員：組群成員列表3.2.5?驗(yàn)證用戶(hù)和組文件1.查看所有用戶(hù)信息#cat/etc/passwd2.查找某個(gè)用戶(hù)#cat/etc/passwd|grep用戶(hù)名3.查看所有用戶(hù)組信息#cat/etc/group4.查找某個(gè)用戶(hù)組#cat/etc/group|grep用戶(hù)組名5.查看當(dāng)前登錄用戶(hù)的組內(nèi)成員#groups6.查看某個(gè)用戶(hù)所在的組，以及組內(nèi)成員#groups用戶(hù)名3.2?用戶(hù)賬戶(hù)文件與組群文件3.3?管理用戶(hù)賬戶(hù)3.3?管理用戶(hù)賬戶(hù)3.3.1?添加用戶(hù)在Linux系統(tǒng)中，添加新用戶(hù)使用useradd命令來(lái)實(shí)現(xiàn)，用來(lái)建立用戶(hù)賬戶(hù)和創(chuàng)建用戶(hù)的起始目錄，只有系統(tǒng)管理員才有權(quán)限使用該命令。useradd命令格式如下：useradd[選項(xiàng)]用戶(hù)名**系統(tǒng)賬號(hào)

沒(méi)有主目錄，一般給應(yīng)用程序使用，不登陸。3.5?管理用戶(hù)賬戶(hù)【例】?新建一個(gè)名為test的新用戶(hù)，其UID為666，主目錄存放在/home/test，備注文字為“normaluser”，過(guò)期時(shí)間為2035年12月31日：#useradd-u666-d/home/test-c“normaluser”-e12/31/2035test3.3?管理用戶(hù)賬戶(hù)3.3.2?修改用戶(hù)信息1.修改用戶(hù)口令系統(tǒng)管理員添加完新用戶(hù)之后，應(yīng)立即用passwd命令為新用戶(hù)設(shè)置口令，否則在沒(méi)有設(shè)置口令的用戶(hù)賬戶(hù)是鎖定處于狀態(tài)，系統(tǒng)管理員可以修改其他用戶(hù)的口令，但普通用戶(hù)只能在沒(méi)有被系統(tǒng)管理員鎖定的前提下修改自己的口令。passwd命令格式如下：passwd[選項(xiàng)]用戶(hù)名3.3?管理用戶(hù)賬戶(hù)2.修改用戶(hù)賬戶(hù)屬性在Linux系統(tǒng)中使用usermod命令來(lái)修改用戶(hù)賬戶(hù)的各項(xiàng)屬性，僅能由系統(tǒng)管理員使用。usermod命令格式如下：usermod[選項(xiàng)]用戶(hù)名usermod命令的選項(xiàng)及其功能大部分與useradd命令相同，另新增的選項(xiàng)主要選項(xiàng)參數(shù)如表3-6所示。3.3?管理用戶(hù)賬戶(hù)2.修改用戶(hù)賬戶(hù)屬性3.3?管理用戶(hù)賬戶(hù)3.3.3?禁用和恢復(fù)用戶(hù)賬戶(hù)有時(shí)需要臨時(shí)禁用一個(gè)賬戶(hù)而不是刪除它。可用passwd或usermod命令來(lái)實(shí)現(xiàn)，也可以直接修改/etc/passwd或/etc/shadow文件來(lái)實(shí)現(xiàn)。使用passwd命令：passwd-l用戶(hù)名#停用

；passwd-u用戶(hù)名#啟用使用usermod命令：usermod-L用戶(hù)名

#停用

；usermod-U用戶(hù)名#啟用

直接修改配置文件在文件中關(guān)于用戶(hù)賬戶(hù)的域的第一個(gè)字符前面加一個(gè)“*”，即可停用該用戶(hù)，刪除則啟用。3.5?管理用戶(hù)賬戶(hù)【例】先為用戶(hù)test設(shè)置口令，然后鎖定用戶(hù)test：#passwdtest#為用戶(hù)test設(shè)置口令Changingpasswordforusertest.Newpassword:#輸入新口令，輸入的口令無(wú)回顯Retypenewpassword:#重新輸入新口令，兩次口令要求一致Passwd:allauthenticationtokenupdatedsuccessfully.#passwd-ltest#鎖定用戶(hù)testLockingpasswordforusertest.Passwd:Success#鎖定成功3.5?使用管理器管理用戶(hù)和組【例】?用帶有“-u”選項(xiàng)的passwd命令解除鎖定的用戶(hù)后才能重新使用：#passwd-utestUnlockingpasswordforusertest.Passwd:Success#解鎖成功【例】將test的用戶(hù)賬戶(hù)名稱(chēng)修改為test1，然后鎖定：#usermod-ltest1test#usermod-Ltest13.3?管理用戶(hù)賬戶(hù)3.3.4?刪除用戶(hù)想要?jiǎng)h除指定的用戶(hù)賬戶(hù)，可用userdel命令來(lái)實(shí)現(xiàn)。userdel命令格式如下：userdel[選項(xiàng)]用戶(hù)名主要選項(xiàng)參數(shù)如表3-7所示。3.4管理組群3.4管理組群3.4.1?創(chuàng)建用戶(hù)組在Linux系統(tǒng)中，創(chuàng)建用戶(hù)組使用groupadd命令來(lái)實(shí)現(xiàn)，用來(lái)將新的用戶(hù)組加入到系統(tǒng)中，只有系統(tǒng)管理員才有權(quán)限使用該命令。groupadd命令格式如下：groupadd[選項(xiàng)]用戶(hù)組名主要選項(xiàng)參數(shù)如表3-8所示。3.4.2將用戶(hù)加入或移除組群gpasswd命令是Linux系統(tǒng)下用戶(hù)組文件/etc/group和/etc/gshadow管理工具，為避免系統(tǒng)管理員太忙碌而無(wú)法及時(shí)管理組群，我們可以使用gpasswd命令給組群設(shè)置一個(gè)組群管理員，代替系統(tǒng)管理員完成將用戶(hù)加入或移出組群的操作。gpasswd命令格式如下：#gpasswd[選項(xiàng)]

用戶(hù)名

組名主要選項(xiàng)參數(shù)如表3-10所示。3.4管理組群【例】創(chuàng)建新用戶(hù)組gro，將用戶(hù)lamp1和lamp2加入gro組群，并將組群交給lamp1管理：#groupaddgro#創(chuàng)建組群gro#gpasswdgro#設(shè)置口令ChangingpasswordforgroupgroNewpassword:#輸入新口令Retypenewpassword:#重新輸入新口令Passwd:allauthenticationtokenupdatedsuccessfully#gpasswd-alamp1gro#將用戶(hù)lamp1加入組群gro#gpasswd-alamp2gro#將用戶(hù)lamp2加入組群gro#gpasswd-Alamp1gro#設(shè)置組群管理員為lamp13.4管理組群3.4管理組群3.4.3?修改用戶(hù)組屬性創(chuàng)建用戶(hù)組后，可根據(jù)需要對(duì)用戶(hù)組屬性進(jìn)行修改，修改用戶(hù)組屬性主要包括修改GID和用戶(hù)組名，都可以用groupmod命令來(lái)實(shí)現(xiàn)修改。1.修改GID對(duì)GID進(jìn)行重新修改，前提是不能與已有的GID重復(fù)，且不會(huì)改變用戶(hù)組名，可以用帶-g參數(shù)的groupmod命令來(lái)實(shí)現(xiàn)，命令格式如下：groupmod-g新GID用戶(hù)組ID2.修改用戶(hù)組名對(duì)用戶(hù)組名進(jìn)行重新修改，不會(huì)改變用戶(hù)組名，可以用帶-n參數(shù)的roupmod命令來(lái)實(shí)現(xiàn)，命令格式如下：groupmod-n新用戶(hù)組名

舊用戶(hù)組名3.4管理組群3.4.4?刪除用戶(hù)組想要?jiǎng)h除指定的用戶(hù)組賬戶(hù)，僅能由系統(tǒng)管理者用groupdel命令來(lái)實(shí)現(xiàn)。groupdel命令格式如下：groupdel用戶(hù)組名當(dāng)該用戶(hù)組中存在用戶(hù)賬戶(hù)時(shí)，必須先刪除組內(nèi)所有用戶(hù)賬戶(hù)后，然后才能刪除用戶(hù)組。3.5?使用管理器管理用戶(hù)和組3.5.4?創(chuàng)建用戶(hù)組【例5】創(chuàng)建一個(gè)名為computer的用戶(hù)組，并設(shè)置其GID為600：#groupadd-g600computer3.5?使用管理器管理用戶(hù)和組3.5.5?修改用戶(hù)組屬性【例6】將用戶(hù)組computer的GID改為560：#groupmod-g560computer【例7】將用戶(hù)組computer組名改為computer1：#groupmod-ncomputer1computer3.5?常用的賬戶(hù)管理命令3.5?常用的賬戶(hù)管理命令1.從終端獲取系統(tǒng)管理員權(quán)限打開(kāi)終端，輸入“su-”，然后按回車(chē)鍵，這樣就默認(rèn)以系統(tǒng)管理員身份登錄，出現(xiàn)“password：”提示時(shí)，輸入系統(tǒng)管理員口令，輸入正確口令后會(huì)發(fā)現(xiàn)命令提示符應(yīng)該以“#”，而不是“$”結(jié)尾，Linux系統(tǒng)有兩種命令提示符：“#”表明是系統(tǒng)管理員的權(quán)限；“$”表明是普通用戶(hù)的權(quán)限。通過(guò)“su-”命令以系統(tǒng)管理員登錄后，就可以運(yùn)行需要系統(tǒng)管理員權(quán)限的任意命令了。su命令將保留到會(huì)話(huà)結(jié)束，因此每次需要運(yùn)行命令時(shí)，不需要再重新輸入系統(tǒng)管理員口令。通過(guò)sudo（超級(jí)用戶(hù)執(zhí)行）命令，可臨時(shí)以系統(tǒng)管理員身份運(yùn)行其他命令。這是大多數(shù)用戶(hù)運(yùn)行系統(tǒng)管理員權(quán)限命令的最佳方式，因?yàn)檫@樣既不用維護(hù)系統(tǒng)管理員，也不需要知道系統(tǒng)管理員口令，只要輸入自己的用戶(hù)口令，就能獲得臨時(shí)的root權(quán)限。輸入“sudocommand”，并按回車(chē)鍵。注：提示輸入口令時(shí)，須輸入用戶(hù)口令，而不是root用戶(hù)口令。3.6?常用的賬戶(hù)管理命令2.切換用戶(hù)身份使用su命令可以更改UID和GI