用戶(User)和用戶組(Group)配置文件詳解

用戶（User）和用戶組（Group）配置文件詳解作者：北南南北

來自：LinuxSir.Org

摘要：本文詳解用戶（User）和用戶組（Group）的配置文件，本文是《Linux用戶（User）和用戶組（Group）管理概述》文檔的關(guān)健部份的細化；通過本文，您至少能明白/etc/passwd/etc/group，以及什么是UID和GID等；其中對UID的重要性加以詳細的論述；最后，本文還以通過修改用戶及用戶組配置文件的辦法來實現(xiàn)管理用戶和用戶組，進而說明在Linux系統(tǒng)中，系統(tǒng)文件的重要性；+++++++++++++++++++++++++++++++++++++++++++++++++++++++++

正文

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++用戶（User）和用戶組（Group）的配置文件，是系統(tǒng)管理員最應(yīng)該了解和掌握的系統(tǒng)基礎(chǔ)文件之一，從另一方面來說，了解這些文件也是系統(tǒng)安全管理的重要組成部份；做為一個合格的系統(tǒng)管理員應(yīng)該對用戶和用戶組配置文件透徹了解才行；一、用戶（User）相關(guān)；談到用戶，就不得不談用戶管理，用戶配置文件，以及用戶查詢和管理的控制工具；用戶管理主要通過修改用戶配置文件完成；用戶管理控制工具最終目的也是為了修改用戶配置文件。什么是用戶查詢和管理控制工具呢？用戶查詢和控制工具是查詢、添加、修改和刪除用戶等系統(tǒng)管理工具，比如查詢用戶的id和finger命令，添加用戶的useradd或adduser、userdel用戶的刪除、設(shè)置密碼的passwd命令、修改用戶usermod等等；我們需要知道的是通過用戶查詢和控制工具所進行的動作的最終目的也是修改用戶配置文件；所以我們進行用戶管理的時候，直接修改用戶配置文件一樣可以達到用戶管理的目的；通過上面的解說，我們能實實在在的感覺到用戶（User）配置文件的重要性；其實用戶和用戶組在系統(tǒng)管理中是不可分割的，但為了說明問題，我們還是得把用戶（User）的配置文件單列出來解說，其中包括/etc/passwd和/etc/shadow文件；在這之中，你還能了解UID的重要性；通過本標題，您可以了解或掌握的內(nèi)容有：了解/etc/passwd和/etc/shadow；什么UID；與用戶相關(guān)的系統(tǒng)配置文件主要有/etc/passwd和/etc/shadow，其中/etc/shadow是用戶資訊的加密文件，比如用戶的密碼口令的加密保存等；/etc/passwd和/etc/shadow文件是互補的；我們可以通過對比兩個文件來差看他們的區(qū)別；1、關(guān)于/etc/passwd和UID；/etc/passwd是系統(tǒng)識別用戶的一個文件，做個不恰當?shù)谋扔鳎?etc/passwd是一個花名冊，系統(tǒng)所有的用戶都在這里有登錄記載；當我們以beinan這個賬號登錄時，系統(tǒng)首先會查閱/etc/passwd文件，看是否有beinan這個賬號，然后確定beinan的UID，通過UID來確認用戶和身份，如果存在則讀取/etc/shadow影子文件中所對應(yīng)的beinan的密碼；如果密碼核實無誤則登錄系統(tǒng)，讀取用戶的配置文件；1）/etc/passwd的內(nèi)容理解：在/etc/passwd中，每一行都表示的是一個用戶的信息；一行有7個段位；每個段位用:號分割，比如下面是我的系統(tǒng)中的/etc/passwd的兩行；beinan:x:500:500:beinansun:/home/beinan:/bin/bash

linuxsir:x:505:502:linuxsiropen,linuxsiroffice/home/linuxsir:/bin/bash

beinan:x:500:500:beinansun:/home/beinan:/bin/bash

linuxsir:x:501:502::/home/linuxsir:/bin/bash第一字段：用戶名（也被稱為登錄名）；在上面的例子中，我們看到這兩個用戶的用戶名分別是beinan和linuxsir；

第二字段：口令；在例子中我們看到的是一個x，其實密碼已被映射到/etc/shadow文件中；

第三字段：UID；請參看本文的UID的解說；

第四字段：GID；請參看本文的GID的解說；

第五字段：用戶名全稱，這是可選的，可以不設(shè)置，在beinan這個用戶中，用戶的全稱是beinansun；而linuxsir這個用戶是沒有設(shè)置全稱；

第六字段：用戶的家目錄所在位置；beinan這個用戶是/home/beinan，而linuxsir這個用戶是/home/linuxsir；

第七字段：用戶所用SHELL的類型，beinan和linuxsir都用的是bash；所以設(shè)置為/bin/bash；2）關(guān)于UID的理解：UID是用戶的ID值，在系統(tǒng)中每個用戶的UID的值是唯一的，更確切的說每個用戶都要對應(yīng)一個唯一的UID，系統(tǒng)管理員應(yīng)該確保這一規(guī)則。系統(tǒng)用戶的UID的值從0開始，是一個正整數(shù)，至于最大值可以在/etc/login.defs可以查到，一般Linux發(fā)行版約定為60000；在Linux中，root的UID是0，擁有系統(tǒng)最高權(quán)限；UID在系統(tǒng)唯一特性，做為系統(tǒng)管理員應(yīng)該確保這一標準，UID的唯一性關(guān)系到系統(tǒng)的安全，應(yīng)該值得我們關(guān)注！比如我在/etc/passwd中把beinan的UID改為0后，你設(shè)想會發(fā)生什么呢？beinan這個用戶會被確認為root用戶。beinan這個帳號可以進行所有root的操作；UID是確認用戶權(quán)限的標識，用戶登錄系統(tǒng)所處的角色是通過UID來實現(xiàn)的，而非用戶名，切記；把幾個用戶共用一個UID是危險的，比如我們上面所談到的，把普通用戶的UID改為0，和root共用一個UID，這事實上就造成了系統(tǒng)管理權(quán)限的混亂。如果我們想用root權(quán)限，可以通過su或sudo來實現(xiàn)；切不可隨意讓一個用戶和root分享同一個UID；UID是唯一性，只是要求管理員所做的，其實我們修改/etc/passwd文件，可以修改任何用戶的UID的值為0，一般情況下，每個Linux的發(fā)行版都會預留一定的UID和GID給系統(tǒng)虛擬用戶占用，虛擬用戶一般是系統(tǒng)安裝時就有的，是為了完成系統(tǒng)任務(wù)所必須的用戶，但虛擬用戶是不能登錄系統(tǒng)的，比如ftp、nobody、adm、rpm、bin、shutdown等；在Fedora系統(tǒng)會把前499個UID和GID預留出來，我們添加新用戶時的UID從500開始的，GID也是從500開始，至于其它系統(tǒng)，有的系統(tǒng)可能會把前999UID和GID預留出來；以各個系統(tǒng)中/etc/login.defs中的UID_MIN的最小值為準；Fedora系統(tǒng)login.defs的UID_MIN是500，而UID_MAX值為60000，也就是說我們通過adduser默認添加的用戶的UID的值是500到60000之間；而Slackware通過adduser不指定UID來添加用戶，默認UID是從1000開始；2、關(guān)于/etc/shadow；1）/etc/shadow概說；/etc/shadow文件是/etc/passwd的影子文件，這個文件并不由/etc/passwd而產(chǎn)生的，這兩個文件是應(yīng)該是對應(yīng)互補的；shadow內(nèi)容包括用戶及被加密的密碼以及其它/etc/passwd不能包括的信息，比如用戶的有效期限等；這個文件只有root權(quán)限可以讀取和操作，權(quán)限如下：-r--------1rootroot1.5K10月1609:49/etc/shadow/etc/shadow的權(quán)限不能隨便改為其它用戶可讀，這樣做是危險的。如果您發(fā)現(xiàn)這個文件的權(quán)限變成了其它用戶組或用戶可讀了，要進行檢查，以防系統(tǒng)安全問題的發(fā)生；如果我們以普通用戶查看這個文件時，應(yīng)該什么也查看不到，提示是權(quán)限不夠：[beinan@localhost~]$more/etc/shadow

/etc/shadow:權(quán)限不夠2）/etc/shadow的內(nèi)容分析；/etc/shadow文件的內(nèi)容包括9個段位，每個段位之間用:號分割；我們以如下的例子說明；beinan:$1$VE.Mq2Xf$2c9Qi7EQ9JP8GKF8gH7PB1:13072:0:99999:7:::

linuxsir:$1$IPDvUhXP$8R6J/VtPXvLyXxhLWPrnt/:13072:0:99999:7::13108:第一字段：用戶名（也被稱為登錄名），在/etc/shadow中，用戶名和/etc/passwd是相同的，這樣就把passwd和shadow中用的用戶記錄聯(lián)系在一起；這個字段是非空的；

第二字段：密碼（已被加密），如果是有些用戶在這段是x，表示這個用戶不能登錄到系統(tǒng)；這個字段是非空的；

第三字段：上次修改口令的時間；這個時間是從1970年01月01日算起到最近一次修改口令的時間間隔（天數(shù)），您可以通過passwd來修改用戶的密碼，然后查看/etc/shadow中此字段的變化；

第四字段：兩次修改口令間隔最少的天數(shù)；如果設(shè)置為0,則禁用此功能；也就是說用戶必須經(jīng)過多少天才能修改其口令；此項功能用處不是太大；默認值是通過/etc/login.defs文件定義中獲取，PASS_MIN_DAYS中有定義；

第五字段：兩次修改口令間隔最多的天數(shù)；這個能增強管理員管理用戶口令的時效性，應(yīng)該說在增強了系統(tǒng)的安全性；如果是系統(tǒng)默認值，是在添加用戶時由/etc/login.defs文件定義中獲取，在PASS_MAX_DAYS中定義；

第六字段：提前多少天警告用戶口令將過期；當用戶登錄系統(tǒng)后，系統(tǒng)登錄程序提醒用戶口令將要作廢；如果是系統(tǒng)默認值，是在添加用戶時由/etc/login.defs文件定義中獲取，在PASS_WARN_AGE中定義；

第七字段：在口令過期之后多少天禁用此用戶；此字段表示用戶口令作廢多少天后，系統(tǒng)會禁用此用戶，也就是說系統(tǒng)會不能再讓此用戶登錄，也不會提示用戶過期，是完全禁用；

第八字段：用戶過期日期；此字段指定了用戶作廢的天數(shù)（從1970年的1月1日開始的天數(shù)），如果這個字段的值為空，帳號永久可用；

第九字段：保留字段，目前為空，以備將來Linux發(fā)展之用；如果更為詳細的，請用manshadow來查看幫助，您會得到更為詳盡的資料；我們再根據(jù)實例分析：beinan:$1$VE.Mq2Xf$2c9Qi7EQ9JP8GKF8gH7PB1:13072:0:99999:7:::

linuxsir:$1$IPDvUhXP$8R6J/VtPXvLyXxhLWPrnt/:13072:0:99999:7::13108:第一字段：用戶名（也被稱之為登錄名），在例子中有峽谷兩條記錄，也表示有兩個用戶beinan和linuxsir

第二字段：被加密的密碼，如果有的用戶在此字段中是x，表示這個用戶不能登錄系統(tǒng)，也可以看作是虛擬用戶，不過虛擬用戶和真實用戶都是相對的，系統(tǒng)管理員隨時可以對任何用戶操作；

第三字段：表示上次更改口令的天數(shù)（距1970年01月01日），上面的例子能說明beinan和linuxsir這兩個用戶，是在同一天更改了用戶密碼，當然是通過passwd命令來更改的，更改密碼的時間距1970年01月01日的天數(shù)為13072；

第四字段：禁用兩次口令修改之間最小天數(shù)的功能，設(shè)置為0

第五字段：兩次修改口令間隔最多的天數(shù)，在例子中都是99999天；這個值如果在添加用戶時沒有指定的話，是通過/etc/login.defs來獲取默認值，PASS_MAX_DAYS99999；您可以查看/etc/login.defs來查看，具體的值；

第六字段：提前多少天警告用戶口令將過期；當用戶登錄系統(tǒng)后，系統(tǒng)登錄程序提醒用戶口令將要作廢；如果是系統(tǒng)默認值，是在添加用戶時由/etc/login.defs文件定義中獲取，在PASS_WARN_AGE中定義；在例子中的值是7，表示在用戶口令將過期的前7天警告用戶更改期口令；

第七字段：在口令過期之后多少天禁用此用戶；此字段表示用戶口令作廢多少天后，系統(tǒng)會禁用此用戶，也就是說系統(tǒng)會不能再讓此用戶登錄，也不會提示用戶過期，是完全禁用；在例子中，此字段兩個用戶的都是空的，表示禁用這個功能；

第八字段：用戶過期日期；此字段指定了用戶作廢的天數(shù)（從1970年的1月1日開始的天數(shù)），如果這個字段的值為空，帳號永久可用；在例子中，我們看到beinan這個用戶在此字段是空的，表示此用戶永久可用；而linuxsir這個用戶表示在距1970年01月01日后13108天后過期，算起來也就是2005年11月21號過期；哈哈，如果有興趣的的弟兄，自己來算算，大體還是差不多的;)；

第九字段：保留字段，目前為空，以備將來Linux發(fā)展之用；二、關(guān)于用戶組；具有某種共同特征的用戶集合起來就是用戶組（Group）。用戶組（Group）配置文件主要有/etc/group和/etc/gshadow，其中/etc/gshadow是/etc/group的加密信息文件；在本標題下，您還能了解到什么是GID；1、/etc/group解說；/etc/group文件是用戶組的配置文件，內(nèi)容包括用戶和用戶組，并且能顯示出用戶是歸屬哪個用戶組或哪幾個用戶組，因為一個用戶可以歸屬一個或多個不同的用戶組；同一用戶組的用戶之間具有相似的特征。比如我們把某一用戶加入到root用戶組，那么這個用戶就可以瀏覽root用戶家目錄的文件，如果root用戶把某個文件的讀寫執(zhí)行權(quán)限開放，root用戶組的所有用戶都可以修改此文件，如果是可執(zhí)行的文件（比如腳本），root用戶組的用戶也是可以執(zhí)行的；用戶組的特性在系統(tǒng)管理中為系統(tǒng)管理員提供了極大的方便，但安全性也是值得關(guān)注的，如某個用戶下有對系統(tǒng)管理有最重要的內(nèi)容，最好讓用戶擁有獨立的用戶組，或者是把用戶下的文件的權(quán)限設(shè)置為完全私有；另外root用戶組一般不要輕易把普通用戶加入進去，2、/etc/group內(nèi)容具體分析/etc/group的內(nèi)容包括用戶組（Group）、用戶組口令、GID及該用戶組所包含的用戶（User），每個用戶組一條記錄；格式如下：

group_name:passwd:GID:user_list在/etc/group中的每條記錄分四個字段：第一字段：用戶組名稱；

第二字段：用戶組密碼；

第三字段：GID

第四字段：用戶列表，每個用戶之間用,號分割；本字段可以為空；如果字段為空表示用戶組為GID的用戶名；我們舉個例子：root:x:0:root,linuxsir注：用戶組root，x是密碼段，表示沒有設(shè)置密碼，GID是0,root用戶組下包括root、linuxsir以及GID為0的其它用戶（可以通過/etc/passwd查看）；；

beinan:x:500:linuxsir注：用戶組beinan，x是密碼段，表示沒有設(shè)置密碼，GID是500,beinan用戶組下包括linuxsir用戶及GID為500的用戶（可以通過/etc/passwd查看）；

linuxsir:x:502:linuxsir注：用戶組linuxsir，x是密碼段，表示沒有設(shè)置密碼，GID是502,linuxsir用戶組下包用戶linuxsir及GID為502的用戶（可以通過/etc/passwd查看）；

helloer:x:503:注：用戶組helloer，x是密碼段，表示沒有設(shè)置密碼，GID是503,helloer用戶組下包括GID為503的用戶，可以通過/etc/passwd查看；而/etc/passwd對應(yīng)的相關(guān)的記錄為：root:x:0:0:root:/root:/bin/bash

beinan:x:500:500:beinansun:/home/beinan:/bin/bash

linuxsir:x:505:502:linuxsiropen,linuxsiroffice/home/linuxsir:/bin/bash

helloer:x:502:503::/home/helloer:/bin/bash由此可以看出helloer用戶組包括helloer用戶；所以我們查看一個用戶組所擁有的用戶，可以通過對比/etc/passwd和/etc/group來得到；2、關(guān)于GID；GID和UID類似，是一個正整數(shù)或0，GID從0開始，GID為0的組讓系統(tǒng)付予給root用戶組；系統(tǒng)會預留一些較靠前的GID給系統(tǒng)虛擬用戶（也被稱為偽裝用戶）之用；每個系統(tǒng)預留的GID都有所不同，比如Fedora預留了500個，我們添加新用戶組時，用戶組是從500開始的；而Slackware是把前100個GID預留，新添加的用戶組是從100開始；查看系統(tǒng)添加用戶組默認的GID范圍應(yīng)該查看/etc/login.defs中的GID_MIN和GID_MAX值；我們可以對照/etc/passwd和/etc/group兩個文件；我們會發(fā)現(xiàn)有默認用戶組之說；我們在/etc/passwd中的每條用戶記錄會發(fā)現(xiàn)用戶默認的GID；在/etc/group中，我們也會發(fā)現(xiàn)每個用戶組下有多少個用戶；在創(chuàng)建目錄和文件時，會使用默認的用戶組；我們還是舉個例子；比如我把linuxsir加為root用戶組，在/etc/passwd和/etc/group中的記錄相關(guān)記錄為：

linuxsir用戶在/etc/passwd中的記錄；我們在這條記錄中看到，linuxsir用戶默認的GID為502；而502的GID在/etc/group中查到是linuxsir用戶組；linuxsir:x:505:502:linuxsiropen,linuxsiroffice/home/linuxsir:/bin/bashlinuxsir用戶在/etc/group中的相關(guān)記錄；在這里，我們看到linuxsir用戶組的GID為502，而linuxsir用戶歸屬為root、beinan用戶組；root:x:0:root,linuxsir

beinan:x:500:linuxsir

linuxsir:x:502:linuxsir我們用linuxsir來創(chuàng)建一個目錄，以觀察linuxsir用戶創(chuàng)建目錄的權(quán)限歸屬；[linuxsir@localhost~]$mkdirtestdir

[linuxsir@localhost~]$ls-lh

總用量4.0K

drwxrwxr-x2linuxsirlinuxsir4.0K10月1711:42testdir通過我們用linuxsir來創(chuàng)建目錄時發(fā)現(xiàn)，testdir的權(quán)限歸屬仍然是linuxsir用戶和linuxsir用戶組的；而沒有歸屬root和beinan用戶組，明白了吧；但值得注意的是，判斷用戶的訪問權(quán)限時，默認的GID并不是最重要的，只要一個目錄讓同組用戶可以訪問的權(quán)限，那么同組用戶就可以擁有該目錄的訪問權(quán)，在這時用戶的默認GID并不是最重要的；3、/etc/gshadow解說；/etc/gshadow是/etc/group的加密資訊文件，比如用戶組（Group）管理密碼就是存放在這個文件。/etc/gshadow和/etc/group是互補的兩個文件；對于大型服務(wù)器，針對很多用戶和組，定制一些關(guān)系結(jié)構(gòu)比較復雜的權(quán)限模型，設(shè)置用戶組密碼是極有必要的。比如我們不想讓一些非用戶組成員永久擁有用戶組的權(quán)限和特性，這時我們可以通過密碼驗證的方式來讓某些用戶臨時擁有一些用戶組特性，這時就要用到用戶組密碼；/etc/gshadow格式如下，每個用戶組獨占一行；groupname:password:admin,admin,...:member,member,...第一字段：用戶組

第二字段：用戶組密碼，這個段可以是空的或!，如果是空的或有!，表示沒有密碼；

第三字段：用戶組管理者，這個字段也可為空，如果有多個用戶組管理者，用,號分割；

第四字段：組成員，如果有多個成員，用,號分割；舉例：beinan:!::linuxsir

linuxsir:oUS/q7NH75RhQ::linuxsir第一字段：這個例子中，有兩個用戶組beinan用linuxsir

第二字段：用戶組的密碼，beinan用戶組無密碼；linuxsir用戶組有已經(jīng)，已經(jīng)加密；

第三字段：用戶組管理者，兩者都為空；

第四字段：beinan用戶組所擁有的成員是linuxsir，然后還要對照一下/etc/group和/etc/passwd查看是否還有其它用戶，一般默認添加的用戶，有時同時也會創(chuàng)建用戶組和用戶名同名稱；linuxsir用戶組有成員linuxisir；如何設(shè)置用戶組的密碼？我們可以通過gpasswd來實現(xiàn)；不過一般的情況下，沒有必要設(shè)置用戶組的密碼；不過自己實踐一下也有必要；下面是一個為linuxsir用戶組設(shè)置密碼的例子；gpasswd的用法：gpasswd用戶組root@localhost~]#gpasswdlinuxsir

正在修改linuxsir組的密碼

新密碼：

請重新輸入新密碼：用戶組之間的切換，應(yīng)該用newgrp，這個有點象用戶之間切換的su；我先舉個例子：[beinan@localhost~]$newgrplinuxsir

密碼：

[beinan@localhost~]$mkdirlingroup

[beinan@localhost~]$ls-ldlingroup/

drwxr-xr-x2beinanlinuxsir409610月1815:56lingroup/

[beinan@localhost~]$newgrpbeinan

[beinan@localhost~]$mkdirbeinangrouptest

[beinan@localhost~]$ls-ldbeinangrouptest

drwxrwxr-x2beinanbeinan409610月1815:56beinangrouptest說明：我是以beinan用戶組切換到linuxsir用戶組，并且建了一個目錄，然后再切換回beinan用戶組，又建了一個目錄，請觀察兩個目錄屬用戶組的不同；還是自己體會吧；三、通過用戶和用戶組配置文件來查詢或管理用戶；1、用戶和用戶組查詢的方法；1）通過查看用戶（User）和用戶組的配置文件的辦法來查看用戶信息我們已經(jīng)用戶（User）和用戶組（Group）的配置文件已經(jīng)有個基本的了解，通過查看用戶（User）和用戶組的配置文件，我們就能做到對系統(tǒng)用戶的了解，當然您也可以通過id或finger等工具來進行用戶的查詢等任務(wù)。對于文件的查看，我們可以通過more或cat來查看，比如more/etc/passwd或cat/etc/passwd；其它工具也一樣，能對文本查看就行，比如less也好比如我們可以通過more、cat、less命令對/etc/passwd的查看，雖然命令不同，但達到的目的是一樣的，都是得到/etc/passwd的內(nèi)容；[root@localhost~]#more/etc/passwd

[root@localhost~]#cat/etc/passwd

[root@localhost~]#less/etc/passwd2）通過id和finger工具來獲取用戶信息；除了直接查看用戶（User）和用戶組（Group）配置文件的辦法除外，我們還有id和finger工具可用，我們一樣通過命令行的操作，來完成對用戶的查詢；id和finger，是兩個各有測重的工具，id工具更測重用戶、用戶所歸屬的用戶組、UID和GID的查看；而finger測重用戶資訊的查詢，比如用戶名（登錄名）、電話、家目錄、登錄SHELL類型、真實姓名、空閑時間等等；id命令用法；id選項用戶名比如：我想查詢beinan和linuxsir用戶的UID、GID以及歸屬用戶組的情況：[root@localhost~]#idbeinan

uid=500(beinan)gid=500(beinan)groups=500(beinan)注：beinan的UID是500，默認用戶組是beinan，默認用戶組的GID是500,歸屬于beinan用戶組；[root@localhost~]#idlinuxsir

uid=505(linuxsir)gid=502(linuxsir)groups=502(linuxsir),0(root),500(beinan)注：linuxsir的UID是505,默認用戶組是linuxsir，默認用戶組的GID是502，歸屬于linuxsir（GID為502）、root（GID為0），beinan（GID為500）；關(guān)于id的詳細用法，我會在專門用戶查詢的文章來介紹；您可以通過manid來查看用法，用起來還是比較簡單的；finger的用法finger選項用戶名1用戶名2...詳細用法請參看manfinger；關(guān)于更為詳細用法，我會在專門用戶查詢的文章來介紹；如果finger不加任何參數(shù)和用戶，會顯示出當前在線用戶，和w命令類似；對比一下；不過各有測重；[root@localhost~]#w

14:02:42up1:03,3users,loadaverage:0.04,0.15,0.18

USERTTYFROMLOGIN@IDLEJCPUPCPUWHAT

linuxsirtty1-13:3922:510.01s0.01s-bash

beinantty2-13:538:4811.62s0.00s/bin/sh/usr/X1

beinanpts/0:0.013:570.00s0.14s1.08sgnome-terminal[root@localhost~]#finger

LoginNameTtyIdleLoginTimeOfficeOfficePhone

beinanbeinansuntty28Oct1813:53

beinanbeinansunpts/0Oct1813:57(:0.0)

linuxsirlinuxsiropentty122Oct1813:39linuxsiro+1-389-866-771如果我們在finger后面加上用戶名，就可以看到用戶更為詳細的信息，可以一次查看多個用戶，用空格分開，比如下面的例子中，我們一次查詢兩個用戶beinan和linuxsir的信息；[root@localhost~]#fingerbeinanlinuxsir

Login:beinan注：用戶名（也是登錄名）Name:beinansun（用戶名全稱）

Directory:/home/beinan注：家目錄Shell:/bin/bash注：所用SHELL類型

OnsinceTueOct1813:53(CST)ontty210minutes55secondsidle注：空閑時間；

OnsinceTueOct1813:57(CST)onpts/0from:0.0

Nomail.

NoPlan.Login:linuxsirName:linuxsiropen

Directory:/home/linuxsirShell:/bin/bash

Office:linuxsiroffice,+1-389-866-7715

OnsinceTueOct1813:39(CST)ontty124minutes58secondsidle

Nomail.

NoPlan.3）用戶組查詢的辦法；我們可以通過用戶來查詢所歸屬的組，用groups來查詢；比如我查詢beinan和linuxsir所歸屬的組，我們可以用groups來查詢；[root@localhost~]#groupsbeinanlinuxsir

beinan:beinan

linuxsir:linuxsirrootbeinan注：這是通過groups同時查看了用戶beinan和linuxsir所歸屬的組；2、通過修改用戶（User）和用戶組（Group）配置文件的辦法來添加；由于我們已經(jīng)在前面說過，可以通過修改配置文件的辦法來管理用戶，所以此主題應(yīng)該包括此內(nèi)容；當然通過用戶及用戶組管理工具（比如adduser、userdel、usermod、userinfo、groupadd、groupdel、groupmod等）也是可以的，通過管理工具對用戶的管理我們將要在專門一篇文章中介紹；通過修改用戶（User）和用戶組（Group）配置文件的方法管理用戶之用戶的添加流程；我們先以添加用戶為例，對用戶的刪除和修改都比較簡單；1）修改/etc/passwd，添加用戶記錄；我們按/etc/passwd的格式的約定來添加新的用戶記錄；當然您要讓一個用戶失效，可以刪除您想要刪除的用戶記錄；值得注意的是，不能讓UID重復；比如我想添加lanhaitun這個用戶，我發(fā)現(xiàn)UID508沒有用戶用，并且我想把其用戶組也設(shè)置為lanhaitun，用戶組的GID也設(shè)置為508,如果GID沒有占用的話；我們要打開/etc/passwd，在最下面加一行；lanhaitun:x:508:508::/home/lanhaitun:/bin/bash然后執(zhí)行pwconv，讓/etc/passwd和/etc/shadow同步，您可以查看/etc/shadow的內(nèi)容是否同步；[root@localhostbeinan]#pwconv2）修改/etc/group首先，我們得查看是否有l(wèi)anhaitun用戶組，以及GID508是否被其它用戶組占用；[root@localhost~]#more/etc/group|greplanhaitun

[root@localhost~]#more/etc/group|grep508通過查看，我們發(fā)現(xiàn)沒有被占用；所以我們要添加lanhaitun的記錄到/etc/grouplanhaitun:x:508:其次，是運行g(shù)rpconv來同步/etc/group和/etc/gshadow內(nèi)容，您可以通過查看/etc/gshadow的內(nèi)容變化確認是不是添加組成功了；[root@localhostbeinan]#grpconv3）創(chuàng)建用戶的家目錄，并把用戶啟動文件也復制過去；創(chuàng)建用戶的家目錄，我們要以/etc/passwd中添加的新用戶的記錄為準，我們在/etc/passwd中添加新用戶lanhaitun，她的家目錄是處于/home/lanhaitun；另外我們還需要把/etc/skel目錄下的.*隱藏文件復制過去；[root@localhost~]#cp-R/etc/skel//home/lanhaitun

[root@localhost~]#ls-la/home/lanhaitun/

總用量48

drwxr-xr-x3rootroot409610月1814:53.

drwxr-xr-x10rootroot409610月1814:53..

-rw-r--r--1rootroot2410月1814:53.bash_logout

-rw-r--r--1rootroot19110月1814:53.bash_profile

-rw-r--r--1rootroot12410月1814:53.bashrc

-rw-r--r--1rootroot561910月1814:53.canna

-rw-r--r--1rootroot43810月1814:53.emacs

-rw-r--r--1rootroot12010月1814:53.gtkrc

drwxr-xr-x3rootroot409610月1814:53.kde

-rw-r--r--1rootroot65810月1814:53.zshrc4）改變新增用戶家目錄的屬主和權(quán)限；我們發(fā)現(xiàn)新增用戶的家目錄的屬主目前是root，并且家目錄下的隱藏文件也是root權(quán)限；[root@localhost~]#ls-ld/home/lanhaitun/

drwxr-xr-x3rootroot409610月1814:53/home/lanhaitun/所以我們要通過chown命令來改變/home/lanhaitun目錄歸屬為lanhaitun用戶；[root@localhost~]#chown-Rlanhaitun:lanhaitun/home/lanhaitun查看是否已經(jīng)更換了屬主為lanhaitun用戶所有；[root@localhost~]#ls-ld/home/lanhaitun/

drwxr-xr-x3lanhaitunlanhaitun409610月1814:53/home/lanhaitun/

[root@localhost~]#ls-la/home/lanhaitun/

總用量48

drwxr-xr-x3lanhaitunlanhaitun409610月1814:53.

drwxr-xr-x10rootroot409610月1814:53..

-rw-r--r--1lanhaitunlanhaitun2410月1814:53.bash_logout

-rw-r--r--1lanhaitunlanhaitun19110月1814:53.bash_profile

-rw-r--r--1lanhaitunlanhaitun12410月1814:53.bashrc

-rw-r--r--1lanhaitunlanhaitun561910月1814:53.canna

-rw-r--r--1lanhaitunlanhaitun43810月1814:53.emacs

-rw-r--r--1lanhaitunlanhaitun12010月1814:53.gtkrc

drwxr-xr-x3lanhaitunlanhaitun409610月1814:53.kde

-rw-r--r--1lanhaitunlanhaitun65810月1814:53.zshrc看來已經(jīng)實現(xiàn)了；但這樣還是不夠的，因為/home/lanhaitun/的目錄權(quán)限可能會過于公開；drwxr-xr-x3lanhaitunlanhaitun409610月1814:53/home/lanhaitun/我們看到/home/lanhaitun/目錄的權(quán)限為drwxr-xr-x，也就是同組用戶和其它用戶組所能查看，為了保密，我們有理由把新增用戶家目錄的權(quán)限設(shè)置為只有其自己可讀可寫可執(zhí)行；于是......[root@localhost~]#chmod700/home/lanhaitun/

[root@localhost~]#ls-ld/home/lanhaitun/

drwx------3lanhaitunlanhaitun409610月1814:53/home/lanhaitun/我們用其它用戶，當然得把具有超級權(quán)限的root用戶除外；比如我以beinan用戶來查看lanhaitun的家目錄會得到如下信息；[beinan@localhost~]$ls-la/home/lanhaitun/

ls:/home/lanhaitun/:權(quán)限不夠如此看來，lanhaitun用戶的家目錄是安全的;)5）設(shè)置新增用戶的密碼；以上各步驟都就序了，我們得為新增用戶設(shè)置密碼了；要通過passwd命令來生成；這個沒有辦法通過修改文件解決；passwd的用法：passwd用戶[root@localhost~]#passwdlanhaitun

Changingpasswordforuserlanhaitun.

NewUNIXpassword:注：輸入您的密碼

RetypenewUNIXpassword:再輸入一次

passwd:allauthenticationtokensupdatedsuccessfully.注：設(shè)置密碼成功6）測試添增用戶是否成功；您可以用新增用戶登錄測試，也可以通過su來切換用戶測試；[beinan@localhost~]$sulanhaitun

Password:

[lanhaitun@localhostbeinan]$cd~

[lanhaitun@localhost~]$pwd

/home/lanhaitun[lanhaitun@localhost~]$ls-la

總用量52

drwx------3lanhaitunlanhaitun409610月1815:15.

drwxr-xr-x10rootroot409610月1814:53..

-rw-r--r--1lanhaitunlanhaitun2410月1814:53.bash_logout

-rw-r--r--1lanhaitunlanhaitun19110月1814:53.bash_profile

-rw-r--r--1lanhaitunlanhaitun12410月1814:53.bashrc

-rw-r--r--1lanhaitunlanhaitun561910月1814:53.canna

-rw-r--r--1lanhaitunlanhaitun43810月1814:53.emacs

-rw-r--r--1lanhaitunlanhaitun12010月1814:53.gtkrc

drwxr-xr-x3lanhaitunlanhaitun409610月1814:53.kde

-rw-------1lanhaitunlanhaitun6610月1815:15.xauthOhEoTk

-rw-r--r--1lanhaitunlanhaitun65810月1814:53.zshrc

[lanhaitun@localhost~]$mkdirtestdir

[lanhaitun@localhost~]$ls-lh

總用量4.0K

drwxrwxr-x2lanhaitunlanhaitun4.0K10月1815:16testdir通過上面一系列動作，我們會發(fā)現(xiàn)所創(chuàng)建的lanhaitun用戶已經(jīng)成功；2、通過修改用戶（User）和用戶組（Group）配置文件的辦法來修改用戶或用戶組；我們可以修改/etc/passwd和/etc/group來達到修改用戶和用戶所歸屬的組，這個過程和添加新用戶時差不多；比如我想修改lanhaitun的用戶名全稱、公司以及電話等信息；我們可以修改/etc/passwd實現(xiàn)；1）修改用戶信息；lanhaitun:x:508:508::/home/lanhaitun:/bin/bash注：這是初始記錄；我們可以修改為lanhaitun:x:508:508:lanhaitunwu,OfficeDalian/home/lanhaitun:/bin/bash當然我們還可以修改用戶的bash類型，家目錄等，當然如果修改家目錄，還得進行建家目錄、屬主和權(quán)限的操作，這和前面添加用戶的辦法在程序上有些是相同的；修改完成后，我們要進行pwconv同步，通過finger來查看用戶的信息等；[root@localhostlanhaitun]#pwconv

[root@localhostlanhaitun]#fingerlanhaitun

Login:lanhaitunName:lanhaitunwu

Directory:/home/lanhaitunShell:/bin/bash

Office:OfficeDalian,+1-300-000-0000

Neverloggedin.

Nomail.

NoPlan.2）修改用戶所歸屬的組，可以通過/etc/group修改實現(xiàn)；當然修改用戶和用戶組，不僅能通過修改配置文件來實現(xiàn)，還能過過usermod及chfn來實現(xiàn)；我將在以后的文檔中寫一寫，也比較簡單；您可以通過man來查看用法；在這里我們先講一講如何通過修改配置文件來達到目的；如果我們想把lanhaitun這個用戶歸屬到root用戶組，所以我們還能修改/etc/group的辦法來達到目的；找到/etc/group中的root開頭的一行，按其規(guī)劃加入lanhaitun；root:x:0:root,lanhaitun如果不明白，看前面/etc/group的解釋，謝謝；然后執(zhí)行g(shù)rpconv命令來同步/etc/group和/etc/gshadow兩個文件的內(nèi)容；[root@localhost~]#grpconv查看lanhaitun歸屬組的信息；[root@localhost~]#idlanhaitun

uid=508(lanhaitun)gid=508(lanhaitun)groups=508(lanhaitun),0(root)3）刪除用戶及用戶組的辦法；這個比較簡單，我們可以通過刪除/etc/passwd和/etc/group相應(yīng)的用戶和用戶組記錄就能達到目的，也能過過userdel和groupdel來實現(xiàn)對用戶及用戶組的刪除；如果是通過修改用戶和用戶組配置文件的辦法來刪除用戶，就是刪除相應(yīng)的記錄就行了，如果不想保留其家目錄，刪除就是了。[root@localhost~]#userdellanhaitun

[root@localhost~]#userdel-rlanhaitun注：可以用userdel來刪除lanhaitun用戶，我們看到第二個例子中多了一個參數(shù)-r，第一個例子是說只刪除lanhaitun用戶，其家目錄和mail等仍會保存；加上-r參數(shù)，是