第07章Linux用戶登錄與用戶管理

1、 要登入 Linux 系統(tǒng)一定要有賬號與密碼才行，不同的用戶應(yīng)該要擁有不同的權(quán)限。我們還可以透過 user/group 的特殊權(quán)限設(shè)定， 來規(guī)范出不同的用戶組開發(fā)項目。在 Linux 的環(huán)境下，我們可以通過很多方式來限制用戶能夠使用的系統(tǒng)資源， 還有特殊權(quán)限限制。 第六章 Linux用戶登錄與用戶管理 另外，還記得系統(tǒng)管理員的賬號root嗎？請問一下，除了 root 之外，是否可以有其它的系統(tǒng)管理員賬號？ 為什么要盡量避免使用數(shù)字型態(tài)的賬號？如何修改用戶相關(guān)的信息呢？這些我們都得要了解的。 1 Linux的賬號與用戶組 管理員的工作中，相當(dāng)重要的一環(huán)就是管理賬號。因為整個系統(tǒng)都是你在管理的，

2、并且所有的一般用戶的申請，都必須要透過你的協(xié)助才行！所以你就必須要了解一下如何管理好一個服務(wù)器主機的賬號。 在管理 Linux 主機的賬號時，我們必須先來了解一下 Linux 到底是如何辨別每一個用戶的。1.1 用戶標(biāo)識符： UID與GID 雖然我們登入 Linux 主機的時候，輸入的是我們的賬號，但是，其實 Linux 主機并不會直接認識你的賬號名稱的，他僅認識 ID 。 而你的 ID 與賬號的對應(yīng)就在 /etc/passwd 當(dāng)中。 每個登錄用戶至少會取得2個ID： ？ 和 ？ 那么文件如何判別它的所有者與用戶組呢？ 其實就是利用 UID 與 GID ,系統(tǒng)會依據(jù)passwd和group的

3、內(nèi)容，找到UID/GID對應(yīng)的賬號與組名再顯示出來。 測試：更改一般用戶的ID后，會發(fā)生什么情況？ 說明 UID 與賬號的對應(yīng)性， 在一部正常運作的 Linux 主機環(huán)境下，隨意修改系統(tǒng)上某些賬號的 UID 很可能會導(dǎo)致某些程序無法進行，這是因為系統(tǒng)上已經(jīng)有很多的數(shù)據(jù)在運行了，這將導(dǎo)致系統(tǒng)無法順利運作的結(jié)果， 因為權(quán)限的問題。1.2 用戶賬號 Linux系統(tǒng)上面的用戶如果需要登錄主機以取得shell的環(huán)境工作時，它需要如何進行呢？ 首先，利用tty1tty7的終端機提供的login接口，并輸入賬號與密碼后才能夠登錄。當(dāng)輸入賬號密碼后，系統(tǒng)會幫助你處理什么？ 1）先找尋/etc/passwd里面

4、是否有你輸入的賬號 2）核對密碼表 3）ok的話，則進入shell的控管的階段 通過上面的流程我們可以知道，與用戶賬號有關(guān)的2個非常重要的文件，一個是管理用戶UID/GID重要參數(shù)的/etc/passwd,一個則是專門管理密碼相關(guān)數(shù)據(jù)的/etc/shadow。 /etc/passwd 每一行都代表一個賬號， 有幾行就代表有幾個賬號在你的系統(tǒng)中！不過需要特別留意的是，很多賬號本來就是系統(tǒng)中必須要的，我們可以簡稱他為系統(tǒng)賬號， 例如 bin, daemon, adm, nobody 等等，這些賬號是系統(tǒng)正常運作時所需要的，請不要隨意刪掉。 打開passwd文件顯示如下信息： UID 限制： id范

5、圍0（系統(tǒng)管理員）；1499(系統(tǒng)賬號)；50065535(可登陸賬號） GID 與/etc/group有關(guān)，通過組名與GID對應(yīng)用戶主文件夾 可更改 shell/etc/shadow 由于每個程序都需要取得 UID 與 GID 來判斷權(quán)限的問題，因此各程序通過/etc/passwd來了解賬號的權(quán)限。所以， /etc/passwd 的權(quán)限必須要設(shè)定成為 ?這樣的權(quán)限。早期的密碼容易被try and error出來。 后來發(fā)展出將密碼移動到 /etc/shadow 這個文件分隔開來的技術(shù)， 而且還加入很多的密碼限制參數(shù)在 /etc/shadow 里頭。root: $6$an2tPoXL$FRKo

6、HsqxM6XqP/DGhjOqysEK.hyJjznXVLZL/mxIKYJZvAEcDp7w60o3VcL0OI/6dRRxM7vZA2aUZHwGucTfl0 :16321:0:99999:7:賬號名稱 密碼最近更改密碼的日期密碼不可被更改的天數(shù)密碼需要重新更改的天數(shù)密碼需要更改期限前的警告天數(shù)密碼過期后的賬號寬限時間賬號失效日期保留1.3 有效與初始化用戶組：groups，newgrp 認識了賬號相關(guān)的兩個文件 /etc/passwd 與 /etc/shadow 之后，那么對于群組的配置文件在哪里？還有，在 /etc/passwd 的第四列的 GID 又是什么？ 此時就需要了解 /et

7、c/group 與 /etc/gshadow 。1.3.1 /etc/group文件結(jié)構(gòu) 這個文件就是在記錄 GID 與群組名稱的對應(yīng)。 賬號相關(guān)文件之間的UID/GID與密碼相關(guān)性示意圖1.3.2 有效用戶組(effective group)與初始化用戶組(initial group) GID 就是所謂的初始用戶組 ( initial group ) ，也就是說，當(dāng)使用者一登入系統(tǒng)，立刻就擁有這個群組的相關(guān)權(quán)限的意思。 在上例中，如果今天我要建立一個新的文件或者是新的目錄，請問一下，新文件的群組是 ubuntu 還是 users ？ 這就得要檢查一下當(dāng)時的有效群組了 (effective g

8、roup)。groups：有效與支持用戶組的查看 如果我以 ubuntu 這個用戶的身份登入后，該如何知道我所有支持的群組呢？ groupsnewgrp：有效用戶組的切換 如何更改有效用戶組？就是使用newgrp。不過使用該命令式有限制的，那就是你想要切換的用戶組必須是你已經(jīng)有支持的用戶組。 練習(xí)：新建一用戶，把users加入到該用戶組，并更改users為該用戶的有效用戶組。 所以，newgrp 這個指令可以變更目前用戶的有效群組， 而且是另外以一個 shell 來提供登入的。（示意圖） 新取得一個shell，要回到原來的環(huán)境，則輸入exit。1.3.3 /etc/gshadow 使用newg

9、rp 這個指令的用法前，需要了解/etc/gshadow 這個設(shè)置。 事實上，這個 /etc/gshadow 最大的功能是在于創(chuàng)建管理員。2 賬號管理 既然要管理賬號，當(dāng)然是由新增與移除用戶開始的。下面我們就分別來談一談如何新增、 移除與更改用戶的相關(guān)信息。2.1 新增與刪除用戶： useradd, 相關(guān)配置文件, passwd, usermod, userdeluseradd：新建用戶 # useradd -u UID -g 初始用戶組 -G 次要用戶組 -Mm -c 說明欄 -d 主文件夾絕對路徑 -s shell 用戶賬戶名參數(shù)：-u ：后面接的是 UID ，是一組數(shù)字。直接指定一個特定

10、的 UID 給這個賬號；-g ：后面接的那個群組名稱就是我們上面提到的 initial group，該 group ID (GID) 會被放置到 /etc/passwd 的第四個字段內(nèi)。-G ：后面接的群組名稱則是這個賬號還可以支持的群組。這個參數(shù)會修改 /etc/group 內(nèi)的相關(guān)資料。-M ：強制！不要建立用戶主文件夾-m ：強制！要建立用戶主文件夾-c ：這個就是 /etc/passwd 的第五欄的說明內(nèi)容，可以隨便我們設(shè)定-d ：指定某個目錄成為主文件夾，而不要使用默認值；-r ：建立一個系統(tǒng)的賬號，這個賬號的 UID 會有限制 /etc/login.defs)-s ：后面接一個 s

11、hell ，預(yù)設(shè)是 /bin/bash-e ：接日期，可寫入shadow的第八字段，即賬號失效日的設(shè)定-f ：shadow第七字段，指定密碼是否會失效。0為立即失效，-1永遠不失效例1：新建一用戶yfl207-test1，查看其主文件夾的權(quán)限，并在用戶/組/密碼文件中查看關(guān)于該用戶的內(nèi)容 上述例子說明，當(dāng)我們使用“useradd 賬號”創(chuàng)建用戶時，系統(tǒng)會默認幫我們處理幾個項目：在passwd中創(chuàng)建一行與賬號相關(guān)的數(shù)據(jù)；在shadow中將此賬號相關(guān)參數(shù)填入，但尚未有密碼；在group里面加入一個與賬號一模一樣的組名；在home下面創(chuàng)建一個與賬號同名的目錄作為用戶主目錄，且權(quán)限為700。 最后，需

12、要使用“passwd 賬號”來給予密碼例2：假設(shè)我知道我的系統(tǒng)當(dāng)中有個群組名稱為 users ，且 UID 700 并不存在，請用user為初始用戶組，以及UID為700創(chuàng)建一個名為 yfl207-test2 的賬號。例3：創(chuàng)建一個系統(tǒng)賬號，名稱為yfl207-test3. 賬號管理是很復(fù)雜的，useradd 這個指令至少可能會更改到的地方有： /etc/passwd /etc/shadow /etc/group /etc/gshadow /home/username思考：在例1中為何 useradd yfl207-test1 他會主動在 /home/yfl207-test1 建立起主文件夾？

13、主文件夾內(nèi)有什么數(shù)據(jù)且來自哪里？ 為何預(yù)設(shè)使用的是 /bin/bash 這個 shell ？useradd參考文件默認用戶組默認主文件夾所在目錄密碼失效日期，第七列賬號失效日，第八列默認的shell用戶主文件夾的內(nèi)容數(shù)據(jù)參考目錄是否主動幫用戶創(chuàng)建郵件信箱 關(guān)于群組的建立機制： 當(dāng)我們直接使用 useradd 來新增賬號時，在預(yù)設(shè)的情況下，相關(guān)的信息都是參考 /etc/default/useradd 這個文件內(nèi)容的設(shè)定的。不過，對于使用者群組的建立機制中， 則有兩種不一樣的機制存在的： 私有用戶組機制：新建使用者時，若無指定 initial group ， 則系統(tǒng)會主動建立一個與賬號相同的群組名

14、稱，以該群組作為用戶的 initial group； 公共用戶組機制：新建使用者時，預(yù)設(shè)不會建立新群組，而以 /etc/default/useradd 內(nèi)的 GROUP 設(shè)定值作為用戶的 initial group 。passwd 使用 useradd 建立了賬號之后，在預(yù)設(shè)的情況下，該賬號是暫時被封鎖的， 也就是說，該賬號是無法登入的。 那該如何是好？#passwd -stdin #passwd -l -u -stdin -S -n -x -w -i 賬號參數(shù)：-stdin ：通過來自前一個管道的數(shù)據(jù)作為密碼輸入-l ：lock的意思，將shadow第2列最前面加上！使密碼失效-u ：unl

15、ock-S ：列出密碼相關(guān)參數(shù)，即shadow的大部分內(nèi)容-n ：shadow第4列 -x ： shadow第5列 -w ：shadow第6列 -i ： shadow第7列例4：請root給予yfl207-test2密碼。例5：用yfl207-test2登錄，修改自己的密碼。 理論上，你的密碼最好要符合如下的要求： 密碼不能與賬號相同； 密碼盡量不要選用字典里面會出現(xiàn)的字符串； 密碼需要超過 8 個字符； 密碼不要輸入個人信息； 密碼不要使用簡單的關(guān)系式； 密碼盡量使用大小寫字符、數(shù)字、特殊字符的組合 。 例6：使用-stdin新建用戶yfl207-test2密碼（abcdef）。 chage

16、 除了使用passwd S 列出密碼相關(guān)參數(shù)外，還可以使用chage進行更加詳細的密碼參數(shù)顯示#chage -ldEImMw 賬號名參數(shù)：-stdin ：通過來自前一個管道的數(shù)據(jù)作為密碼輸入-l ：列出該賬號的詳細密碼參數(shù)-d ：接日期（最近一次更改密碼的日期，YYYY-MM-DD）-E ：接日期（賬號失效日，YYYY-MM-DD）-I ：接天數(shù)（密碼失效日期）-m ：接天數(shù)（密碼最短保留天數(shù)）-M ：接天數(shù)（密碼多久需要進行更改）-W ：接天數(shù)（密碼過期前警告日期）例7：列出yfl207-test2的詳細密碼參數(shù) chage有一個很不錯的功能，即讓用戶在第一次登錄時強制他們一定要更改密碼后才

17、能使用系統(tǒng)的資源。例8：新建一個名為yfl207-test4的賬號，該賬號第一次登錄后使用默認密碼，但必須要更改過密碼后使用新密碼才能夠登錄系統(tǒng)使用bash環(huán)境。usermod 在 useradd 的時候加入了錯誤的設(shè)定數(shù)據(jù)?；蛘呤牵谑褂?useradd 后，發(fā)現(xiàn)某些地方還可以進行細部修改。 此時，當(dāng)然我們可以直接到 /etc/passwd 或 /etc/shadow 去修改相對應(yīng)字段的數(shù)據(jù)， 不過，Linux 也有提供相關(guān)的指令讓大家來進行賬號相關(guān)數(shù)據(jù)的微調(diào)。usermod -cdegGlsuLU username參數(shù)：-c ：后面接賬號的說明，即 /etc/passwd 第五列的說明，可

18、以加入一些賬號的說明。-d ：后面接賬號的主文件夾，即修改 /etc/passwd 的第六列；-e ：后面接日期，格式是 YYYY-MM-DD 也就是在 /etc/shadow 內(nèi)的第八個字段數(shù)據(jù)。-g ：后面接 初始用戶組，修改 /etc/passwd 的第四個字段，亦即是 GID 的字段。-G ：后面接 次要用戶組，修改這個用戶能夠支持的用戶組，修改的是 /etc/group-l ：后面接賬號名稱。亦即是修改賬號名稱， /etc/passwd 的第一列-s ：后面接 Shell 的實際文件，例如 /bin/bash 或 /bin/csh 等等。usermod -cdegGlsuLU use

19、rname參數(shù)：-u ：后面接 UID 數(shù)字啦！即 /etc/passwd 第三列的數(shù)據(jù)；-L ：暫時將用戶的密碼凍結(jié)，讓他無法登入。其實僅改 /etc/shadow 的密碼欄。-U ：將 /etc/shadow 密碼列的 ! 拿掉，解凍。例9：修改用戶yfl207-test2的說明列，加上“ubuntus test”的說明，并查看；該用戶的密碼在2015-5-31失效，修改后查看； 開始在新建用戶yfl207-test3這個用戶時并沒有給予主文件夾，請新建他的主文件夾。（確認是否有主文件夾-建立-該主文件夾設(shè)置用戶和組-更改權(quán)限-查看）userdel 目的在刪除用戶的相關(guān)數(shù)據(jù)與他相關(guān)的數(shù)據(jù)有

20、： /etc/passwd /etc/shadow /etc/group /etc/gshadow /home/username /var/spool/mail/username # userdel -r username參數(shù)：-r ：連同用戶的主文件夾也一起刪除 通常我們要移除一個賬號的時候，你可以手動的將 /etc/passwd 與 /etc/shadow 里頭的該賬號取消即可。2.2 用戶功能 不論是 useradd、usermod、userdel ，都是系統(tǒng)管理員所能夠使用的指令， 如果我是一般身份使用者，那么我是否除了密碼之外，就無法更改其它的數(shù)據(jù)呢？finger finger 的中

21、文字面意義是：手指。這個 finger 可以查閱很多用戶相關(guān)的信息。 大部分都是/etc/passwd這個文件里面的信息。# finger -s username參數(shù)：-s ：僅列出用戶的賬號、全名、終端機代號與登錄時間等；-m：列出與后面接的賬號相同者，而不是利用部分對比。例10：列出ubuntu的用戶相關(guān)賬號屬性，同時新建自己的計劃文檔，并顯示目前系統(tǒng)上面要登錄的用戶與登錄時間。chfn 有點像change finger的意思，使用方法如下：chfn -foph 帳號名參數(shù)：-f ：后面接完整的大名；-o ：您辦公室的房間號碼；-p ：辦公室的電話號碼；-h ：家里的電話號碼！ 例11：u

22、buntu自己更改一下自己的相關(guān)信息，并查看更改后的信息內(nèi)容。chsh 有點像change shell的意思，使用方法如下：chsh -ls參數(shù)：-l ：列出目前系統(tǒng)上面可用的 shell ，其實就是 /etc/shells 的內(nèi)容！-s ：設(shè)定修改自己的 Shell 。例12：用ubuntu身份列出系統(tǒng)上所有合法的shell，并且制定rbash為自己的bash。 從上面可以看出chfn與chsh都能更改passwd這個系統(tǒng)文件，那么它們的權(quán)限是什么？id 該命令可以查詢某人或自己的相關(guān) UID/GID 等等的信息。# id username2.3 新增與刪除用戶組 了解了賬號的新增、刪除、更

23、動與查詢后，我們再來關(guān)于群組的相關(guān)內(nèi)容。 基本上，群組的內(nèi)容都與這兩個文件有關(guān)： /etc/group和 /etc/gshadow。群組的內(nèi)容其實很簡單，都是上面兩個文件的新增、修改與移除而已， 不過，如果再加上有效群組的概念，那么 newgrp 與 gpasswd 則不可不知。groupadd#groupadd -g gid -r參數(shù)：-g ：后面接某個特定的 GID ，用來直接給予某個 GID ；-r ：建立系統(tǒng)用戶組。與 /etc/login.defs 內(nèi)的 GID_MIN 有關(guān)。例13：新建一群組，名稱為xxy，查看新群組的GID。groupmod 跟 usermod 類似的，這個指令

24、僅是在進行 group 相關(guān)參數(shù)的修改。# groupmod -g gid -n group_name參數(shù)：-g ：修改既有的 GID 數(shù)字；-n ：修改既有的組名例14：將剛才新建的xxy組名改成myxxy，GID為222。groupdel # groupdel groupname例15：分別刪除myxxy和ubuntu這2個用戶組問： 為什么myxxy可以刪除，但是ubuntu卻不能刪除？答： 有某個賬號 (/etc/passwd) 的 initial group 使用該用戶組。 如果要刪除 某個用戶組，則必須確認 /etc/passwd 內(nèi)的賬號沒有任何人使用該用戶組作為 initial

25、 group 才行。gpasswd:用戶組管理員功能 如果系統(tǒng)管理員太忙了，導(dǎo)致某些賬號想要加入某個項目時找不到人幫忙，這個時候可以新建“用戶組管理員”。什么是用戶組管理員？ 讓某個用戶組具有一個管理員，這個用戶組管理員可以管理哪些賬號可以加入/移除該用戶組；要如何新建一個用戶組管理員？關(guān)于系統(tǒng)管理員(root)做的動作：# gpasswd groupname# gpasswd -A user1,. -M user3,user4. groupname# gpasswd -rR groupname參數(shù)： ：若沒有任何參數(shù)時，表示給予 groupname 一個密碼(/etc/gshadow)；-A

26、 ：將 groupname 的主控權(quán)交由后面的用戶管理(該用戶組的管理員)；-M ：將某些賬號加入這個用戶組當(dāng)中；-r ：將 groupname 的密碼移除；-R ：讓 groupname 的密碼欄失效，所以 newgrp 就不能使用了。關(guān)于用戶組管理員(Group administrator)做的操作$ gpasswd -ad user groupname參數(shù)：-a ：將某位用戶加入到 groupname 這個用戶組當(dāng)中！-d ：將某位用戶者移除出 groupname 這個用戶組當(dāng)中。例16：新建一用戶組，名稱為testgroup，且用戶組交由ubuntu管理。例17：以ubuntu身份登錄

27、系統(tǒng)，并且讓他加入ubuntu，yfl207-test1成為testgroup成員。2.4 賬號管理實例 賬號管理有時候我們需要考慮到一臺主機上面可能有多個賬號在協(xié)同工作。實例1：賬號名稱賬號全名支援次要用戶組是否可以登錄主機密碼myuser11st usermygroup1可以passwordmyuser22nd usermygroup1可以passwordmyuser33rd user無額外支持不可以password實例2 假設(shè)系統(tǒng)中的用戶pro1、pro2和pro3是同一項目開發(fā)人員，你想要讓這三個用戶在同一目錄下面工作，但這三個用戶還是擁有自己的主文件夾與基本的私有用戶組。假設(shè)你想要讓

28、這個項目計劃在/srv/projetca目錄下開發(fā)，如何實現(xiàn)。實例3 加入實例1中的myuser1是projetca的項目經(jīng)理，他需要查看這個項目的內(nèi)容，但是他不可以修改項目目錄內(nèi)的任何數(shù)據(jù)，如何實現(xiàn)？3 用戶身份切換 在 Linux 系統(tǒng)當(dāng)中還要作身份的變換？這是為什么？可能有下面幾個原因： 使用一般賬號：系統(tǒng)平日操作的好習(xí)慣 用較低權(quán)限啟動系統(tǒng)服務(wù) 軟件本身的限制 由于上述考慮，所有我們都是使用一般賬號登陸系統(tǒng)，等有需要進行系統(tǒng)維護或軟件更新時才轉(zhuǎn)為root的身份來操作。 一般用戶轉(zhuǎn)變身份稱為root有2種方式：以“su ”直接將身份變成root（需要root的密碼）以“sudo命令”執(zhí)行

29、root的命令串3.1 su su是最簡單的身份切換命令，它可以進行任何身份的切換。方法如下：# su -lm -c 命令 username參數(shù)：- ：如果執(zhí)行 su - 時，表示該使用者想要變換身份成為 root ，且使用 root 的環(huán)境設(shè)定參數(shù)文件，如 /root/.bash_profile 等等。-l ：后面可以接用戶賬號，例如 su -l ubuntu ，這個 -l 好處是，可使用欲變換身份者他的所有相關(guān)環(huán)境設(shè)定。-m ：-m 與 -p 是一樣的，表示使用目前的環(huán)境設(shè)定，而不重新讀取新使用者的設(shè)定。-c ：僅進行一次指令，所以 -c 后面可以加上指令。 在su的用法中，有沒有加上“-

30、”差別很大，因為涉及l(fā)ogin-shell與non-login shell的變量讀取方法。例18：假設(shè)你原來是ubuntu身份，想要使用non-login shell的方式變成root。 通過上例大家可以發(fā)現(xiàn)：如果使用 su 沒有加上 - 的話，那么很多原本使用者的相關(guān)設(shè)定會繼續(xù)存在；這也會造成后來的 root 身份在執(zhí)行時的困擾，最常見的就是 PATH 這個變量的問題！例19：使用login shell的方式切換為root的身份并查看變量。例20：ubuntu想要執(zhí)行“head n 5 /etc/shadow”一次，且已知root密碼。 在su的用法中，有沒有加上“-”差別很大，因為涉及l(fā)o

31、gin-shell與non-login shell的變量讀取方法。例18：假設(shè)你原來是ubuntu身份，想要使用non-login shell的方式變成root。 通過上例大家可以發(fā)現(xiàn)：如果使用 su 沒有加上 - 的話，那么很多原本使用者的相關(guān)設(shè)定會繼續(xù)存在；這也會造成后來的 root 身份在執(zhí)行時的困擾，最常見的就是 PATH 這個變量的問題！例19：使用login shell的方式切換為root的身份并查看變量例20：ubuntu想要執(zhí)行“head n 5 /etc/passwd”一次，且已知root密碼。su也有其缺點：多人管理，需要知道root密碼，容易泄露3.2 sudo 相對于su需要了解切換用戶的密碼，sudo的執(zhí)行僅需要自己的密碼即可。甚至可以設(shè)置不需要密碼即可執(zhí)行sudo。 僅有/etc/sudoers內(nèi)的用戶才能夠執(zhí)行sudo命令。sudo命令的用法# sudo -b -u 新用戶賬號 參數(shù)：-b ：將后續(xù)的命令讓