linux用户和用户组管理详解

Linux 用户和用户组管理

Linux系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。

用户的账号一方面可以帮助系统管理员对使用系统的用户进行跟踪，并控制他们对系统资源的访问；另一方面也可以帮助用户组织文件，并为用户提供安全性保护。

每个用户账号都拥有一个惟一的用户名和各自的口令（也就是密码）。

要想管理用户/用户组，首先得创建这个用户/用户组吧，用户/用户组的管理工作主要涉及到用户/用户组账号的添加、修改和删除那么来一个管理用户/用户组命令的汇总吧。

管理用户命令的汇总（个人认为重要，常用，需要掌握的）
命令	说明
useradd	同adduser命令，执行此命令可以在系统中添加用户
userdel	删除用户及相关用户的配置或文件
passwd	为用户设置密码
chage	修改用户密码有效期限
id	查看用户的uid，gid及所归属的用户组
su	用户切换工具
sudo	sudo是通过另一个用户来执行命令（execute a command as another user）
viosudo	visudo配置sudo权限的编辑命令，（相当于直接vi编辑/etc/sudoers）
pwck	pwck是校验用户配置文件/etc/passwd和/etc/shadow文件内容是否合法或完整（很弱鸡）
finger	查看用户信息工具
管理用户组命令的汇总（个人认为重要，常用，需要掌握的）
groupadd	添加用户组
gpasswd	为用户组设置密码
newgrp	更改用户所属的有效用户组
groupdel	删除用户组
groupmod	1）g GID 为用户组指定新的组标识号 2）-o 与-g选项同时使用，用户组的新GID可以与系统已有用户组的GID相同 3）-n新用户组 将用户组的名字改为新名字

相信大家看过上面的汇总，也有所了然，那么我们来实践一把，添加新的用户账号使用useradd命令，

　　命令格式：useradd 选项 用户名

在实践前，我们先介绍一个useradd 的参数吧，

useradd参数选项	简单说明
-c comment<备注>	加上备注文字。备注文字会保存在passwd的备注栏位中
-d home_dir<登入目录>	指定用户登入时的启始目录
-e expre_date<有效期限>	账号的终止日期，格式：MM/DD/YY
-f  inactive_days<缓冲天数>	账号多少天后关闭该账户
-g initial_group<群组>	指定用户所属的群组
-G group，[...]<群组>	指定用户所属的附加群组
-m	自动建立用户的登入目录。
-M	不建立用户家目录，优先于/etc/login.defs文件的设定
-s<shell>	指定用户登入后所使用的shell。
-u<uid>	指定用户ID
useradd -D参数	简单说明
-b default_home	更改默认的创建用户HOME目录的位置
-e expiration_date	更改默认的新账户的过期日期
-f inactive_days	账号过期后几天停用
-g group	更改默认的组名称或GID
-s shell	更改默认的登录shell

/etc/default/useradd文件

/etc/default/useradd文件是在使用useradd添加用户时的一个需要条用的一个默认的配置文件，可以使用‘useradd -D’，我们先看一下它里面的内容吧

cat /etc/default/useradd

useradd -D 

useradd -D -s /bin/tsch <==修改默认的shell，为/bin/tsch

例子（1）

useradd –d /usr/user2 -m user2

此命令创建了一个用户user2，其中-d和-m选项用来为登录名user2产生一个主目录/usr/user2（/usr为默认的用户主目录所在的父目录）。

例子（2）

groupadd admin　　#创建一个admin用户组
groupadd admax　　#创建一个admax用户组
useradd -s /bin/sh -g root –G admin,admax user

此命令新建了一个用户user，该用户的登录Shell是 /bin/sh，它属于root用户组，同时又属于admin和admax用组，其中root用户组是其主组。

增加用户账号就是在/etc/passwd文件中为新用户增加一条记录，同时更新其他系统文件如/etc/shadow, /etc/group等。

Linux提供了集成的系统管理工具userconf，它可以用来对用户账号进行统一管理。

删除帐号

如果一个用户的账号不再使用，可以从系统中删除。删除用户账号就是要将/etc/passwd等系统文件中的该用户记录删除，必要时还删除用户的主目录。

删除一个已有的用户账号使用userdel命令，其格式如下：

userdel 选项 用户名

常用的选项是 -r，它的作用是把用户的主目录一起删除。

userdel -r user

此命令删除用户user在系统文件中（主要是/etc/passwd, /etc/shadow, /etc/group等）的记录，同时删除用户的主目录。

修改帐号

修改用户账号就是根据实际情况更改用户的有关属性，如用户号、主目录、用户组、登录Shell等。

修改已有用户的信息使用usermod命令

usermod 选项 用户名

常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等，这些选项的意义与useradd命令中的选项一样，可以为用户指定新的资源值。

另外，有些系统可以使用选项：-l 新用户名

这个选项指定一个新的账号，即将原来的用户名改为新的用户名。

usermod -s /bin/ksh -d /home/z –g proxy user

此命令将用户user的登录Shell修改为ksh，主目录改为/home/z，用户组改为proxy。

用户密码的管理

用户账号刚创建时没有密码，但是被系统锁定，无法使用，必须为其指密码后才可以使用，即使是指定空口令。

指定和修改用户密码的Shell命令是passwd，超级用户可以为自己和其他用户指定密码，普通用户只能用它修改自己的密码。

passwd 选项 用户名

常用的选项
-l	锁定不可以更改密码
-u	解锁可以更改密码
-d	使账户不需要密码登陆
-f	强迫用户下次登录时修改口令
如果默认用户名，则修改当前用户的密码

 1）"用户名"是代表用户账号的字符串

通常长度不超过8个字符，并且由大小写字母和/或数字组成。登录名中不能有冒号(:)，因为冒号在这里是分隔符。

为了兼容起见，登录名中最好不要包含点字符(.)，并且不使用连字符(-)和加号(+)打头。

2）“口令”一些系统中，存放着加密后的用户口令字

虽然这个字段存放的只是用户口令的加密串，不是明文，但是由于/etc/passwd文件对所有用户都可读，所以这仍是一个安全隐患。因此，现在许多Linux 系统（如SVR4）都使用了shadow技术，把真正的加密后的用户口令字存放到/etc/shadow文件中，而在/etc/passwd文件的口令字段中只存放一个特殊的字符，例如“x”或者“*”。

3）“用户标识号”是一个整数，系统内部用它来标识用户

一般情况下它与用户名是一一对应的。如果几个用户名对应的用户标识号是一样的，系统内部将把它们视为同一个用户，但是它们可以有不同的口令、不同的主目录以及不同的登录Shell等。

通常用户标识号的取值范围是0～65 535。0是超级用户root的标识号，1～99由系统保留，作为管理账号，普通用户的标识号从100开始。在Linux系统中，这个界限是500。

4）“组标识号”字段记录的是用户所属的用户组

它对应着/etc/group文件中的一条记录。

5)“注释性描述”字段记录着用户的一些个人情况

例如用户的真实姓名、电话、地址等，这个字段并没有什么实际的用途。在不同的Linux 系统中，这个字段的格式并没有统一。在许多Linux系统中，这个字段存放的是一段任意的注释性描述文字，用做finger命令的输出。

6)“主目录”，也就是用户的起始工作目录

它是用户在登录到系统之后所处的目录。在大多数系统中，各用户的主目录都被组织在同一个特定的目录下，而用户主目录的名称就是该用户的登录名。各用户对自己的主目录有读、写、执行（搜索）权限，其他用户对此目录的访问权限则根据具体情况设置。

7)用户登录后，要启动一个进程，负责将用户的操作传给内核，这个进程是用户登录到系统后运行的命令解释器或某个特定的程序，即Shell

Shell是用户与Linux系统之间的接口。Linux的Shell有许多种，每种都有不同的特点。常用的有sh(Bourne Shell), csh(C Shell), ksh(Korn Shell), tcsh(TENEX/TOPS-20 type C Shell), bash(Bourne Again Shell)等。

系统管理员可以根据系统情况和用户习惯为用户指定某个Shell。如果不指定Shell，那么系统使用sh为默认的登录Shell，即这个字段的值为/bin/sh。

用户的登录Shell也可以指定为某个特定的程序（此程序不是一个命令解释器）。

利用这一特点，我们可以限制用户只能运行指定的应用程序，在该应用程序运行结束后，用户就自动退出了系统。有些Linux 系统要求只有那些在系统中登记了的程序才能出现在这个字段中。

8)系统中有一类用户称为伪用户（psuedo users）

这些用户在/etc/passwd文件中也占有一条记录，但是不能登录（nologin），因为它们的登录Shell为空。它们的存在主要是方便系统管理，满足相应的系统进程对文件属主的要求。

常见的伪用户如下所示：

伪 用 户 含 义
bin 拥有可执行的用户命令文件
sys 拥有系统文件
adm 拥有帐户文件
uucp UUCP使用
lp lp或lpd子系统使用
nobody NFS使用

工作中肯定会有需求，添加批量用户

添加批量用户我们不可能还使用useradd一个一个地添加，必然要找一种简便的创建大量用户的方法，Linux系统提供了创建大量用户的工具，可供使用，

方法一：

 1）先编辑一个文本用户文件

每一列按照/etc/passwd密码文件的格式书写，要注意每个用户的用户名、UID、宿主目录都不可以相同，其中密码栏可以留做空白或输入x号。一个范例文件user.txt内容如下：

user001 ：： 600 ： 100 ：user： /home/user001 :/bin/bash
user002 ：： 601 ： 100 ：user： /home/user002 :/bin/bash
user003 ：： 602 ： 100 ：user： /home/user003 :/bin/bash
user004 ：： 603 ： 100 ：user： /home/user004 :/bin/bash
user005 ：： 604 ： 100 ：user： /home/user005 :/bin/bash
user006 ：： 605 ： 100 ：user： /home/user006 :/bin/bash
user007 ：： 606 ： 100 ：user： /home/user007 :/bin/bash
user008 ：： 607 ： 100 ：user： /home/user008 :/bin/bash
user009 ：： 608 ： 100 ：user： /home/user009 :/bin/bash

2）以root身份执行命令 /usr/sbin/newusers，从刚创建的用户文件user.txt中导入数据，创建用户

# newusers < user.txt

然后可以执行命令 vipw 或 vi /etc/passwd 检查 /etc/passwd 文件是否已经出现这些用户的数据，并且用户的宿主目录是否已经创建。

3）执行命令/usr/sbin/pwunconv

将 /etc/shadow 产生的 shadow 密码解码，然后回写到 /etc/passwd 中，并将/etc/shadow的shadow密码栏删掉。这是为了方便下一步的密码转换工作，即先取消 shadow password 功能。

# pwunconv

 4）编辑每个用户的密码对照文件

user01 ：： 01（密码）
user02 ：： 02（密码）
user03 ：： 03（密码）
user04 ：： 04（密码）
user05 ：： 05（密码）

5）以root的身份执行/usr/bin/passwd文件

创建用户密码，chpasswd 会将经过 /usr/bin/passwd 命令编码过的密码写入 /etc/passwd 的密码栏。

# chpasswd < passwd.txt

6）确定密码经编码写入/etc/passwd的密码栏后

执行命令 /usr/sbin/pwconv 将密码编码为 shadow password，并将结果写入 /etc/shadow。

# pwconv

方法二：利用脚本批量添加，脚本如下：

#!    /bin/bash
#
#    batch add users with file called user.list
#
for username in $(more users.list)
do
if [ -n $username]
then
   useradd -m $username
   echo
   echo  $username""|passwd --stdin $username
   echo
   echo  "User $username's password is changed!"
else
   echo "The username is null"
fi
done
~

其中user.list文件内容是：

king

one

two

由脚本得知，用户的初始密码为“用户名+123”；可以根据需求自行更改。

以上总结，都是鹦鹉学舌，还望大佬指教，参考博文Alexia。