- 用户标识符:UID与GID
- 每个登录的用户至少会取得两个ID,一个是用户ID(UserID,简称UID),一个是用户组ID(Group ID 简称 GID)
- vi /etc/passwd
- root:x:1:0:root:/root:/bin/bash
- bin:x:1:1:bin:/bin:/sbin/nologin
- daemon:x:2:2:daemon:/sbin:/sbin/nologin
- /etc/passwd 文件结构
- 每一行使用“:”分隔开 共有七个字段
- 1、账号名称
- 2、密码:早期密码放在这个字段上,后来考虑到安全性,将这个字段的数据该放到/etc/shadow中,这里用X进行替代
- 3、UID
- 0(系统管理员)
- 1~499(系统账户)
- 1~99 由distributions自行创建的系统账号
- 100~499 若用户有系统账号需求时,可以使用的账号UID
- 500~65535(可登陆账号)
- 4、GID
- 这个与/etc/group有关
- 5、用户信息说明
- 6、主文件夹
- 7、Shell
- 文件权限
- -rw-r--r--. 1 root root 846 5月 18 22:52 passwd
- /etc/shadow 文件结构
- head -n 4 /etc/shadow
- root:$6$i4u/hfm.TBQuisEr$oKGiha.4iHSs/1Lt1iE7fcqqrc3NnJnPZccrY40KIJaSIMUu1CtDg.DEgHkJYQpvtS01ZJJTX3kCW6gyLWO4M/::0:99999:7:::
- bin:*:17110:0:99999:7:::
- daemon:*:17110:0:99999:7:::
- adm:*:17110:0:99999:7:::
- 以“:”分隔,共有9个字段
- 1、账号名称
- 2、密码
- 在此字段前加!或*改变密码字段长度,就会让密码“暂时失效”了
- 3、最近更动密码的日期
- 日期时间是以1970年1月1日作为1而累加的日期,1971年1月1日则为366
- 4、密码不可被更动的天数(与第三个字段相比)
- 0表示密码可以随时改动。
- 20 那么当你设置密码之后,20天内无法修改这个密码
- 5、密码需要重新更改的天数(与第三个字段相比)
- 要在这个天数内重新设置你的密码,否则这个账号的密码将会变为过期特性。
- 99999(计算为273年)表示密码的更改没有强制之意
- 6、密码需要更改期限的警告天(与第5个字段相比)
- 当账号的密码有效期快到的时候,系统会依据这个字段设置发出“警告”
- 7、密码过期后的账号宽限时间(密码失效日)(与第五个字段相比)
- 8、账号失效日期
- 9、保留
- 最后一个字段保留的,看以后有没有新功能加入
- 修改密码处理
- 一般用户的密码忘记了,这个最容易解决,利用root的身份passwd命令来处理即可
- root忘记了密码,重新启动进入用户维护模式后,系统会自动给予root权限的bash接口,再以passwd修改密码即可,
- 或以live CD开机后挂载根目录去修改/etc/shadow,将里面的root的密码字段清空,再重新启动root将不用密码即可登录,登录后再以passwd命令设置root密码即可。
- 有效与初始化用户组:groups,newgrp
- 需要了解/etc/group与/etc/gshadow
- /etc/group 文件结构
- head -n 4 /etc/group
- root:x:0:
- bin:x:1:
- daemon:x:2:
- sys:x:3:
- 以冒号作为字段的分隔符,共有四列
- 1、用户组
- 2、用户组密码
- 密码已经移动到/etc/gshadow,这个字段只会存一个X
- 3、GID
- 4、此用户组支持的账号名称
- 我们知道一个账号可以加入多个用户组,多个用户在一个组,多个用户属于一个组用逗号隔开
- root:x:0:root,users
- 有效用户组与初始化用户组
- 在/etc/passwd里面第四列的GID是初始化用户组,
- 在/etc/group第四个字段中列出的用户,表示该用户属于该用户组
- 通过groups 打印出的第一个用户组为有效用户组,
- groups
- root
- 使用touch去创建一个新文件时,那么这个文件所的所属用户组为有效用户组
- newgrp:有效用户组的切换
- newgrp users
- /etc/gshadow 文件结构
- head -n 4 /etc/gshadow
- root:::
- bin:::
- daemon:::
- sys:::
- 以冒号作为字段的分隔符,共有四列
- 1、用户组名
- 2、密码列,同样,开头为!标识无合法密码,所以无用户组管理员
- 3、用户组管理员的账号
- 4、该用户组的所属账号
- 新增与删除用户:useradd,相关配置文件,passwd,usermod,userdel
- man useradd 查看使用方法
- useradd [-u UID] [-g 初始化用户组] [-G 次要用户组] [-m M] [-c 说明栏] [-d 主文件夹绝对路径] [-s shell] 用户账号名
- -u:后面接着的是UID,是一组数字。直接指定一个特定的UID给这个账号
- -g:后面接的那个用户组名就是我们上面提到的 initial group 初始化用户组。该用户组的GID会放置到/etc/passwd的第四个字段内
- -G:后面接的组名则是这个账号还可以加入的用户组,这个参数会修改 /etc/group内的相关数据
- -M:强制!不要创建用户主文件夹(系统账号默认值)
- -m:强制!要创建用户主文件夹(一般用户默认值)
- -c:这个就是/etc/passwd的第五列说明内容,可以随便设置
- -d:指定某个目录成为主文件夹,而不要使用默认值。务必使用绝对路径
- -r:创建一个系统账号,这个账号的UID会限制(参考 /etc/login.defs)
- -s:后面接一个shell,若没有指定则默认是/bin/bash
- -e:后面接一个日期,格式为“YYYY-MM-DD”,此选项可写入shadow第八字段,
- -f:后面接shadow的第七字段选项,指定密码是否会失效,0为立刻失效,-1为永远不失效
- useradd fuchenlin
- 其实系统已经帮我们规定好非常多的默认值,所以我们可以简单的使用“ useradd 账号”来创建用户即可。系统会帮我们处理几项
- 在/etc/passwd里面创建一行与账号相关的数据,包括UID/GID/主文件夹等
- 在/etc/shadow里面将此账号的密码相关参数填入,但是尚未有密码
- 在/etc/group里面加入一个与账号名称一模一样的组名
- 在/home下面创建一个与账号同名的目录作为用户主文件夹,且权限为700
- useradd -u 700 -g users fuchenlin1
- 指定用户的UID及初始化用户组
- useradd -r fuchenlin2
- 创建一个系统账号,不会创建主文件夹
- useradd 参考文件
- useradd -D
- GROUP=100
- HOME=/home
- INACTIVE=-1
- EXPIRE=
- SHELL=/bin/bash
- SKEL=/etc/skel
- CREATE_MAIL_SPOOL=yes
- 这个数据其实是由/etc/default/useradd调出来的
- GROUP=100 新建账号的初始化用户组使用GID为100,目前系统不参考这种设置
- HOME=/home 用户主文件夹的基准目录
- INACTIVE=-1 密码过期后是否会失效的设置
- EXPIRE=:账号的失效日期
- SHELL=/bin/bash 默认使用的shell程序文件名
- SKEL=/etc/skel 用户主文件夹参考基准目录
- CREATE_MALL_SPOOL=yes 创建用户的mailbox
- 除了这些基本的账号设置之外,可以看一下/etc/login.defs
- MAIL_DIR /var/spool/mail 用户默认邮件信箱放置目录
- PASS_MAX_DAYS 99999 /etc/shadow内的第5列,多久需要更改密码天数
- PASS_MIN_DAYS 0 /etc/shadow内的第4列,多久不可重新设置密码天数
- PASS_MIN_LEN 5 密码最短字符长度,已经被pam模块替代,失去效用
- PASS_WARN_AGE 7 /etc/shadow内的第六列,过期前会警告的天数
- UID_MIN 1000 用户最小的UID,意即小于1000的UID为系统保留
- UID_MAX 60000 用户能够使用的最大UID
- SYS_UID_MIN 201 系统用户最小的UID
- SYS_UID_MAX 999 系统用户最大的UID
- GID_MIN 1000 用户自定义用户组的最小GID,小于1000位系统保留
- GID_MAX 60000 用户自定义用户组的最大GID
- SYS_GID_MIN 201 系统用户用户组的最小GID
- SYS_GID_MAX 999 系统用户用户组的最大GID
- CREATE_HOME yes 是否主动创建用户主文件夹
- UMASK 077 用户主文件夹创建的umask 因此权限会是700
- USERGROUPS_ENAB yes 使用userdel删除时,是否会删除初始化用户组
- ENCRYPT_METHOD SHA512 密码通过sha512加密
- passwd 设置密码
- passwd [-l] [-u] [—stdin] [-S] [-n 日数] [-x 日数] [-w 日数] [-i 日期] 账号
- —stdin: 可以通过来自前一个管道的数据,作为密码输入
- -l :是Lock的意思,会将/etc/shadow第二列加上!使密码失效。
- -u:与-l相对,是Unlock的意思
- -S:列出密码相关参数,即shadow文件内的大部分信息
- -n:后面接天数,shadow的第4字段,多久不可修改密码天数
- -x:后面接天数,shadow的第5字段,多久密码必须改动
- -w:后面接天数,shadow的第6字段,密码过期前的警告天数
- -i:后面接日期,shadow的第7字段,密码失效日期
- passwd fuchenlin
- 通过root来设置即可,root可以设置各式各样的密码,系统几乎一定会接受
- passwd
- 用fuchenlin登录后,修改fuchenlin自己的密码
- 这个时候密码的格式就会受到系统的限制
- 要帮一般账号新建密码需要使用“passwd 账号的格式”,使用“passwd”表示修改自己的密码
- 使用standard input 新建用户密码
- echo “abc@123” | passwd —stdin fuchenlin
- passwd -S fuchenlin
- fuchenlin PS 2018-05-20 0 99999 7 -1 (密码已设置,使用 SHA512 算法。)
- 新建日期(2018-05-20)、最小天数(0)、更改天数(9999)、警告天数(7)、密码不会失效(-1)
- chage 更详细的密码相关
- chage [-ldEImMW] 账号
- -l:列出该账号的详细密码参数
- -d:后面接日期,修改shadow的第三个字段(最近一次更改密码的日期)格式 YYYY-MM-DD
- -E:后面接日期,修改shadow的第八字段(账号失效日),格式YYYY-MM-DD
- -I:后面接天数,修改shadow的第七字段(密码失效日期)。
- -m:后面接天数,修改shadow的第四字段(密码最短保留天数)
- -M:后面接天数,修改shadow的第五字段(密码多久需要进行更改)
- -W:后面接天数,修改shadow的第六字段(密码过期前警告日期)
- 用户在地刺登录时强制他们一定要更改密码后才能够使用系统资源,
- useradd agetest
- echo “agetest” | passwd —stdin agetest
- chage -d 0 agetest
- usermod 修改用户信息
- usermod [-cdegGlsuLu] username
- -c:这个就是/etc/passwd的第五列说明内容,可以随便设置
- -d:指定某个目录成为主文件夹,而不要使用默认值。务必使用绝对路径
- -e:后面接一个日期,格式为“YYYY-MM-DD”,此选项可写入shadow第八字段,
- -f:后面接shadow的第七字段选项,指定密码是否会失效,0为立刻失效,-1为永远不失效
- -g:后面接的那个用户组名就是我们上面提到的 initial group 初始化用户组。该用户组的GID会放置到/etc/passwd的第四个字段内
- -G:后面接的组名则是这个账号还可以加入的用户组,这个参数会修改 /etc/group内的相关数据
- -a:与-G合用增加次要用户组的支持而非设置
- -l:后面接账号名称、即修改账号名称,/etc/passwd的第一列
- -s:后面接一个shell,若没有指定则默认是/bin/bash
- -u:后面接着的是UID,是一组数字。直接指定一个特定的UID给这个账号
- -L :是Lock的意思,会将/etc/shadow第二列加上!使密码失效。
- -U:与-l相对,是Unlock的意思
- userdel 删除用户数据
- userdel [-r] username
- -r:连同用户的主文件夹也一期删除
- 用户功能
- finger 查阅用户相关系统
- finger [-s] username
- -s:仅累出用户的账号,全名,终端机代号与登录时间等
- -m:列出与后面接的账号相同者,而不是利用部分对比
- chfn 增加用户的具体信息
- chfn [-foph] 账号名
- -f:后面接完整的大名;
- -o:你办公室的房间号码
- -p:办公室的电话号码
- -h:家里的电话号码
- chsh 调整shell 是change shell的简写
- chsh [-ls]
- -l:列出目前系统上可用的shell
- -s:设置修改自己的shell
- id 可以查询某人或者自己的相关UID/GID等信息
- 新增与删除用户组
- groupadd 新增用户组
- groupadd [-g gid] [-r] 用户组名
- -g:后面接某个特定的GID,用来直接给予某个GID
- -r:新建系统用户组
- groupmod 修改用户组
- groupmod [-g gid] [-n group_name] 用户组名
- -g :修改既有的GID数字
- -n:修改既有的组名
- groupdel 删除用户组
- groupdel [groupname]
- 有某个账号的初始用户组使用该用户组,则不能删除
- gpasswd 用户组管理员功能
- 用户身份切换
- su 可以进行任何身份的切换
- su [-lm] [-c 命令] [username]
- -:单纯使用- 如“su -” 代表使用login-shell的变量文件读取方式来登录系统;若用户名没有加上,则代表切换为root的身份
- -l:与-类似,但后面需要加欲切换的用户账号
- -m:-m与-p是一样的,标识使用目前的环境设置,而不读取新用户的配置文件
- -c:仅进行一次命令,所有-c后面可以加上命令
- sudo 执行仅需要自己的密码即可
- sudo [-b] [-u 新用户账号]
- -b:将后续的命令让系统自动执行,而不与目前的shell产生影响
- -u:后面可以接欲切换的用户,若无此项则代表切换身份为root
- suod的执行流程
- 当用户执行suod时,系统于/etc/sudoers文件中查找该用户是否有执行sudo的权限
- 若用户具有可执行sudo的权限后,便让用户输入用户自己的密码来确认
- 若密码输入成功,便开始进行sudo后续接的命令
- 若欲切换的身份与执行身份相同,那也不需要输入密码
- visudo 与 /etc/sudoers
- 使用visudo去修改/etc/sudoers
- visudo
- root ALL=(ALL) ALL
- 用户张, 登录这的来源主机名=(可切换的身份) 可执行的命令
- 利用用户组以免密码的功能处理visudo
- %whell ALL=(ALL) ALL
- 在最左边加上%代表后面接的是一个用户组的意识
- %whell ALL=(ALL) NOPASSWD:ALL
- NOPASSWD 是免除密码输入的意思
- 有限的命令操作
- myuser1 ALL=(root) /usr/binpasswd
- 只能够进行密码修改操作
Linux用户管理
最新推荐文章于 2024-07-23 11:29:58 发布
扫一扫
6565
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
