linux 基础（7）账号和群组的管理

了解账号和群组的基本信息

账号使用

如何查看 linux 计算机上有哪些账号呢？账号的信息储存在/etc/passwd中，打开就可以看到：

less /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
...
lighthouse:x:1000:1000::/home/lighthouse:/bin/bash
...

每一行代表一个账号的相关信息，用冒号分隔。除了安装时注册的个人账号和 root，还有 bin, daemon, adm, nobody 等各种系统账号，一般不需要管他。

第一列是账号名称，第二列是一个“x”，在老版本用来储存密码，现在密码移动到了/etc/shadow中，这一列就不再使用。

第三列代表这个用户的 UID。在 linux 中，用户名只是给人看的，机器储存用户数据都使用 UID。比如你修改了自己的 UID，而你的文件里储存的所有者还是原来的 UID，此时你的文件就不在属于你了。root 的 UID 是 0。普通用户的 UID 一般从 1000 开始。

第四列代表用户所属主要群组的群组 GID。第五列是该账号的文字说明（给人看的）。

第六列代表这个用户的主文件夹。第七列代表该用户登录后取得的 shell 是哪个。其中有个特殊的/sbin/nologin，代表没有 shell，所以这些用户即使输入了账号密码也无法登陆。

接下来再看看管理密码的/etc/shadow。

root:$1$GEIBZMzb$PEV.S1LMYYkII.YBGBOvL/:19370:0:99999:7:::
bin:*:17834:0:99999:7:::
daemon:*:17834:0:99999:7:::
adm:*:17834:0:99999:7:::
lp:*:17834:0:99999:7:::
sync:*:17834:0:99999:7:::

在这个文件中，第一列仍然是用户名，第二列就是密码了。不过这个密码是哈希加密过的，即使能看到，你也不能反推原文（不同distribution 和版本的加密算法有所不同）。如果一般用户忘记了密码，可以让 root 进行重置；如果忘记了 root 的密码，就只能使用单人维护模式登录重置了，但你并不能知道原来的密码。

之后几列都和密码过期提示有关，第三列代表最近更改密码的日期（Unix纪日法），第四列是密码更改的冷却时间，第五列表示密码强制更改的时间，第六列代表密码强制更改的时间的提醒时间。第七列代表密码过期的宽限时间。当密码时间到期时，再登陆会要求强制修改密码才能使用，如果宽限时间也到期，那这个密码就失效，再也不能登录了。99999天是273年，相当于永不过期。

第八列是账号失效日期，账号失效日期以后这个账号将被停用。

群组使用

群组记录在/etc/groups里

root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
...

第一列代表群组名称，第二列代表群组密码（仍然用 x 代替），第三列代表这个群组的 GID，第四列代表这个群组的成员。

一个群组包含多个用户，一个用户也可以加入多个群组，在/etc/passwd里，每个用户只记录了一个 GID，这个就是用户的初始组（initial group），默认和用户名相同，只有你一个人。而/etc/groups中这个群组第四列也不需要记录这个成员。

有效群组（effective group）则表示当前使用哪一个群组工作，它控制你新创建的文件属于哪个群组。使用groups命令可以查看你属于那些群组，其中第一个就是当前的有效群组。切换有效群组使用newgrp命令，这个命令会打开一个新shell，其中你的有效群组可以变更为其他群组。

账号和群组的增删改查

增加和删除用户

各种指令可以用来创建新用户，需要 root 才能操作。useradd可以添加新用户。passwd可以给用户赋予密码

useradd test # 添加账号test

useradd 会写入/etc/passwd，shadow，group并创建主文件夹。在大部分 distribution 中，新用户默认会创建一个只有自己的群组作为初始群组。

useradd的参数可以配置用户的所有信息，包括 UID GID，主文件夹，shell等。

刚创建的账号暂时不可登录，用passwd可以给用户赋予密码。

passwd test
# 接下来键盘输入密码，或者使用--stdin接受管线输入

用户一般只能修改自己的密码，先输入旧密码，在输入新密码，PAM验证模块会保证你的密码强度（限制密码长度，限制密码和账号相同，限制常见单词）。root无需旧密码就可以修改，且没有任何限制。

usermod用于编辑已存在的用户配置，参数和添加用户基本相同。

usermod [-cdegGlsuLU] test
-c: 账号说明
-d: 主文件夹
-L: 冻结密码
...

userdel可以删掉一个用户。移除 passwd, shadow, group里的信息，清除主文件夹。

userdel test

输入id查看一个用户的信息。

id root
uid=0(root) gid=0(root) groups=0(root)

增加和删除群组

和用户类似，相应的命令可以添加，编辑，删除群组

groupadd tgroup
groupmod -n tgroupnew
groupdel tgroupnew

使用 su 和 sudo 切换账号

su 和 sudo 用来切换成其他账号身份执行命令。

su # 切换为 root(non-login)
su - # 切换为 root(login)
su test # 切换为 test(non-login)
su - test # 切换为 test(login)

接下来 su 需要对应用户的密码。sudo 则只需要自己的密码

sudo cat /etc/shadow # 以 root 身份执行命令
# 输入自己的密码

sudo -u www touch default # 以 www 身份创建文件
sudo -i # 登录 root 用户

sudo又不用输入root密码，有了 sudo，岂不是就跟root没区别了？实际上，sudo 的相关信息储存在/etc/sudoer中。这里写明了“哪些用户可以用sudo，用sudo可以做哪些指令，哪些指令需要密码确认”。

sudo vim /etc/sudoers
root    ALL=(ALL)       ALL

## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL

lighthouse ALL=(ALL) NOPASSWD: ALL

#代表注释，横排则代表一条信息。在我这里 root 可以随机执行sudo做任何事，lighthouse 也可以随意使用sudo，且不需要密码。%wheel代表 wheel 群组，这个群组的成员也可以随意执行sudo。有大量的信息被注释掉了备用，如果需要可以取消注释。