Linux 用戶管理命令

Linux用戶(user)和用戶組(group)管理概述作者：北南南北來自：LinuxSir.Org摘要：本文主要講述在Linux系統(tǒng)中用戶(user)和用戶組(group)管理相應(yīng)的概念；用戶(user)和用戶組(group)相關(guān)命令的列舉；其中也對單用戶多任務(wù)，多用戶多任務(wù)也做以解說，本文應(yīng)該說是比較基礎(chǔ)的文檔；+++++++++++++++++++++++++++++++++++++++++++++++++++++++++正文+++++++++++++++++++++++++++++++++++++++++++++++++++++++++一、理解Linux的單用戶多任務(wù)，多用戶多任務(wù)概念；Linux是一個多用戶、多任務(wù)的操作系統(tǒng)；我們應(yīng)該了解單用戶多任務(wù)和多用戶多任務(wù)的概念；1、Linux的單用戶多任務(wù)；單用戶多任務(wù)；比如我們以beinan登錄系統(tǒng)，進(jìn)入系統(tǒng)后，我要打開gedit來寫文檔，但在寫文檔的過程中，我感覺少點音樂，所以又打開xmms來點音樂；當(dāng)然聽點音樂還不行，MSN還得打開，想知道幾個弟兄現(xiàn)在正在做什么，這樣一樣，我在用beinan用戶登錄時，執(zhí)行了gedit、xmms以及msn等，當(dāng)然還有輸入法fcitx；這樣說來就有點簡單了，一個beinan用戶，為了完成工作，執(zhí)行了幾個任務(wù)；當(dāng)然beinan這個用戶，其它的人還能以遠(yuǎn)程登錄過來，也能做其它的工作。2、Linux的多用戶、多任務(wù)；有時可能是很多用戶同時用同一個系統(tǒng)，但并不所有的用戶都一定都要做同一件事，所以這就有多用戶多任務(wù)之說；舉個例子，比如LinuxSir.Org服務(wù)器，上面有FTP用戶、系統(tǒng)管理員、web用戶、常規(guī)普通用戶等，在同一時刻，可能有的弟兄正在訪問論壇；有的可能在上傳軟件包管理子站，比如luma或Yuking兄在管理他們的主頁系統(tǒng)和FTP；在與此同時，可能還會有系統(tǒng)管理員在維護(hù)系統(tǒng)；瀏覽主頁的用的是nobody用戶，大家都用同一個，而上傳軟件包用的是FTP用戶；管理員的對系統(tǒng)的維護(hù)或查看，可能用的是普通帳號或超級權(quán)限r(nóng)oot帳號；不同用戶所具有的權(quán)限也不同，要完成不同的任務(wù)得需要不同的用戶，也可以說不同的用戶，可能完成的工作也不一樣；值得注意的是：多用戶多任務(wù)并不是大家同時擠到一接在一臺機器的的鍵盤和顯示器前來操作機器，多用戶可能通過遠(yuǎn)程登錄來進(jìn)行，比如對服務(wù)器的遠(yuǎn)程控制，只要有用戶權(quán)限任何人都是可以上去操作或訪問的；3、用戶的角色區(qū)分;用戶在系統(tǒng)中是分角色的，在Linux系統(tǒng)中，由于角色不同，權(quán)限和所完成的任務(wù)也不同；值得注意的是用戶的角色是通過UID和識別的，特別是UID；在系統(tǒng)管理中，系統(tǒng)管理員一定要堅守UID唯一的特性;root用戶：系統(tǒng)唯一，是真實的，可以登錄系統(tǒng)，可以操作系統(tǒng)任何文件和命令，擁有最高權(quán)限；虛擬用戶：這類用戶也被稱之為偽用戶或假用戶，與真實用戶區(qū)分開來，這類用戶不具有登錄系統(tǒng)的能力，但卻是系統(tǒng)運行不可缺少的用戶，比如bin、daemon、adm、ftp、mail等；這類用戶都系統(tǒng)自身擁有的，而非后來添加的，當(dāng)然我們也可以添加虛擬用戶；普通真實用戶：這類用戶能登錄系統(tǒng)，但只能操作自己家目錄的內(nèi)容；權(quán)限有限；這類用戶都是系統(tǒng)管理員自行添加的；4、多用戶操作系統(tǒng)的安全；多用戶系統(tǒng)從事實來說對系統(tǒng)管理更為方便。從安全角度來說，多用戶管理的系統(tǒng)更為安全，比如beinan用戶下的某個文件不想讓其它用戶看到，只是設(shè)置一下文件的權(quán)限，只有beinan一個用戶可讀可寫可編輯就行了，這樣一來只有beinan一個用戶可以對其私有文件進(jìn)行操作，Linux在多用戶下表現(xiàn)最佳，Linux能很好的保護(hù)每個用戶的安全，但我們也得學(xué)會Linux才是，再安全的系統(tǒng)，如果沒有安全意識的管理員或管理技術(shù)，這樣的系統(tǒng)也不是安全的。從服務(wù)器角度來說，多用戶的下的系統(tǒng)安全性也是最為重要的，我們常用的Windows操作系統(tǒng)，它在系紡權(quán)限管理的能力只能說是一般般，根本沒有沒有辦法和Linux或Unix類系統(tǒng)相比；二、用戶（user）和用戶組（group）概念；1、用戶（user）的概念；通過前面對Linux多用戶的理解，我們明白Linux是真正意義上的多用戶操作系統(tǒng)，所以我們能在Linux系統(tǒng)中建若干用戶（user）。比如我們的同事想用我的計算機，但我不想讓他用我的用戶名登錄，因為我的用戶名下有不想讓別人看到的資料和信息（也就是隱私內(nèi)容）這時我就可以給他建一個新的用戶名，讓他用我所開的用戶名去折騰，這從計算機安全角度來說是符合操作規(guī)則的；當(dāng)然用戶（user）的概念理解還不僅僅于此，在Linux系統(tǒng)中還有一些用戶是用來完成特定任務(wù)的，比如nobody和ftp等，我們訪問LinuxSir.Org的網(wǎng)頁程序，就是nobody用戶；我們匿名訪問ftp時，會用到用戶ftp或nobody；如果您想了解Linux系統(tǒng)的一些帳號，請查看/etc/passwd；2、用戶組（group）的概念；用戶組（group）就是具有相同特征的用戶（user）的集合體；比如有時我們要讓多個用戶具有相同的權(quán)限，比如查看、修改某一文件或執(zhí)行某個命令，這時我們需要用戶組，我們把用戶都定義到同一用戶組，我們通過修改文件或目錄的權(quán)限，讓用戶組具有一定的操作權(quán)限，這樣用戶組下的用戶對該文件或目錄都具有相同的權(quán)限，這是我們通過定義組和修改文件的權(quán)限來實現(xiàn)的；舉例：我們?yōu)榱俗屢恍┯脩粲袡?quán)限查看某一文檔，比如是一個時間表，而編寫時間表的人要具有讀寫執(zhí)行的權(quán)限，我們想讓一些用戶知道這個時間表的內(nèi)容，而不讓他們修改，所以我們可以把這些用戶都劃到一個組，然后來修改這個文件的權(quán)限，讓用戶組可讀，這樣用戶組下面的每個用戶都是可讀的；用戶和用戶組的對應(yīng)關(guān)系是：一對一、多對一、一對多或多對多;一對一：某個用戶可以是某個組的唯一成員；多對一：多個用戶可以是某個唯一的組的成員，不歸屬其它用戶組；比如beinan和linuxsir兩個用戶只歸屬于beinan用戶組；一對多：某個用戶可以是多個用戶組的成員；比如beinan可以是root組成員，也可以是linuxsir用戶組成員，還可以是adm用戶組成員；多對多：多個用戶對應(yīng)多個用戶組，并且?guī)讉€用戶可以是歸屬相同的組；其實多對多的關(guān)系是前面三條的擴展；理解了上面的三條，這條也能理解；三、用戶（user）和用戶組（group）相關(guān)的配置文件、命令或目錄；1、與用戶（user）和用戶組（group）相關(guān)的配置文件；1）與用戶（user）相關(guān)的配置文件；/etc/passwd注：用戶（user）的配置文件;/etc/shadow注：用戶（user）影子口令文件；2）與用戶組（group）相關(guān)的配置文件；/etc/group注：用戶組（group）配置文件；/etc/gshadow注：用戶組（group）的影子文件；2、管理用戶（user）和用戶組（group）的相關(guān)工具或命令；1）管理用戶（user）的工具或命令；useradd注：添加用戶adduser注：添加用戶passwd注：為用戶設(shè)置密碼usermod注：修改用戶命令，可以通過usermod來修改登錄名、用戶的家目錄等等；pwcov注：同步用戶從/etc/passwd到/etc/shadowpwck注：pwck是校驗用戶配置文件/etc/passwd和/etc/shadow文件內(nèi)容是否合法或完整；pwunconv注：是pwcov的立逆向操作，是從/etc/shadow和/etc/passwd創(chuàng)建/etc/passwd，然后會刪除/etc/shadow文件；finger注：查看用戶信息工具id注：查看用戶的UID、GID及所歸屬的用戶組chfn注：更改用戶信息工具su注：用戶切換工具sudo注：sudo是通過另一個用戶來執(zhí)行命令（executeacommandasanotheruser）,su是用來切換用戶，然后通過切換到的用戶來完成相應(yīng)的任務(wù)，但sudo能后面直接執(zhí)行命令，比如sudo不需要root密碼就可以執(zhí)行root賦與的執(zhí)行只有root才能執(zhí)行相應(yīng)的命令；但得通過visudo來編輯/etc/sudoers來實現(xiàn)；visudo注：visodo是編輯/etc/sudoers的命令；也可以不用這個命令，直接用vi來編輯/etc/sudoers的效果是一樣的；sudoedit注：和sudo功能差不多；2）管理用戶組（group）的工具或命令；groupadd注：添加用戶組；groupdel注：刪除用戶組；groupmod注：修改用戶組信息groups注：顯示用戶所屬的用戶組grpckgrpconv注：通過/etc/group和/etc/gshadow的文件內(nèi)容來同步或創(chuàng)建/etc/gshadow，如果/etc/gshadow不存在則創(chuàng)建；grpunconv注：通過/etc/group和/etc/gshadow文件內(nèi)容來同步或創(chuàng)建/etc/group，然后刪除gshadow文件；3、/etc/skel目錄；/etc/skel目錄一般是存放用戶啟動文件的目錄，這個目錄是由root權(quán)限控制，當(dāng)我們添加用戶時，這個目錄下的文件自動復(fù)制到新添加的用戶的家目錄下；/etc/skel目錄下的文件都是隱藏文件，也就是類似.file格式的；我們可通過修改、添加、刪除/etc/skel目錄下的文件，來為用戶提供一個統(tǒng)一、標(biāo)準(zhǔn)的、默認(rèn)的用戶環(huán)境；[root@localhostbeinan]#ls-la/etc/skel/總用量92drwxr-xr-x3rootroot40968月1123:32.drwxr-xr-x115rootroot1228810月1413:44..-rw-r--r--1rootroot245月1100:15.bash_logout-rw-r--r--1rootroot1915月1100:15.bash_profile-rw-r--r--1rootroot1245月1100:15.bashrc-rw-r--r--1rootroot56192005-03-08.canna-rw-r--r--1rootroot4385月1815:23.emacs-rw-r--r--1rootroot1205月2305:18.gtkrcdrwxr-xr-x3rootroot40968月1123:16.kde-rw-r--r--1rootroot6582005-01-17.zshrc/etc/skel目錄下的文件，一般是我們用useradd和adduser命令添加用戶（user）時，系統(tǒng)自動復(fù)制到新添加用戶（user）的家目錄下；如果我們通過修改/etc/passwd來添加用戶時，我們可以自己創(chuàng)建用戶的家目錄，然后把/etc/skel下的文件復(fù)制到用戶的家目錄下，然后要用chown來改變新用戶家目錄的屬主；

4、/etc/login.defs配置文件;/etc/login.defs文件是當(dāng)創(chuàng)建用戶時的一些規(guī)劃，比如創(chuàng)建用戶時，是否需要家目錄，UID和GID的范圍;用戶的期限等等，這個文件是可以通過root來定義的；比如Fedora的/etc/logins.defs文件內(nèi)容;*REQUIRED*Directorywheremailboxesreside,_or_nameoffile,relativetothehomedirectory.Ifyou_do_defineboth,MAIL_DIRtakesprecedence.QMAIL_DIRisforQmail#QMAIL_DIRMaildirMAILDIRQMAIL_DIRisforQmail#QMAIL_DIRMaildirMAILDIR/var/spool/mail注：創(chuàng)建用戶時，要在目錄/var/spool/mail中創(chuàng)建一個用戶mail文件;#MAILFILE.mail#MAILFILE.mail##PASS_MAX_DAYS#PASS_MIN_DAYS#PASS_MIN_LEN##PASS_WARN_AGE#Passwordagingcontrols:MaximumMinimumMinimum#Min/maxvaluesforautomaticuidselectioninuseraddUIDMIN500##PASS_MAX_DAYS#PASS_MIN_DAYS#PASS_MIN_LEN##PASS_WARN_AGE#Passwordagingcontrols:MaximumMinimumMinimum#Min/maxvaluesforautomaticuidselectioninuseraddUIDMIN500UIDMAX60000注：最小UID為500，也就是說添加用戶時，UID是從500開始的;注：最大UID為60000；#Min/maxvaluesforautomaticgidselectioningroupaddGIDMIN500注：GID是從500開始;numberofdaysallowedbetweenpasswordchanges.acceptablepasswordlength.Numberofdayswarninggivenbeforeapasswordexpires.PASS_MAX_DAYS99999注：用戶的密碼不過期最多的天數(shù);PASS_MIN_DAYS0注：密碼修改之間最小的天數(shù)；PASS_MIN_LEN5注：密碼最小長度；PASS_WARN_AGE7注：60000GIDMAX#Ifdefined,thiscommandisrunwhenremovingauser.60000Itshouldremoveanyat/cron/printjobsetc.ownedbytheusertoberemoved(passedasthefirstargument).##USERDEL_CMD/usr/sbin/userdel_local#IfuseraddshouldcreatehomedirectoriesforusersbydefaultOnRHsystems,wedo.ThisoptionisORedwiththe-mflagonuseraddcommandline.#CREATE_HOMEyes注：是否創(chuàng)用戶家目錄，要求創(chuàng)建；5、/etc/default/useradd文件；通過useradd添加用戶時的規(guī)則文件；useradddefaultsfileGROUP=100