linux用户与组管理

普通用户的管理

     用户管理的基本任务包括添加新用户、删除用户、修改用户属性以及对现有用户的访问参数进行设置。与密切

相关的文件包含/etc/passwd、/etc/shadow以及/home目录下的文件。

添加新用户

     系统中一个合法的用户应该具有用户名、真实姓名、密码和登录环境等用户信息。与此相对应,添加一个新用

户通常需要系统完成以下几项操作。

1.设置用户名称及密码。

2.设置用户UID。系统在/etc/passwd文件中查找目前使用的大于或等于500的UID的最大编号,加1后赋予当前的

新用户,若目前还没有大于500的编号,则将500赋予该用户。

3.添加该新用户所属的用户组。每一个用户都会属于一个或多个用户组。系统在添加新用户时默认添加的用户组与

新用户名相同,同时会赋予该用户组一个GID,通常GID的编号与UID的编号相同。

4.创新以前用户名为名称的主目录。在大多数系统中,用户的主目录都被创建在同一个特定目录下,例如 /home

各用户对自己的主目录有完全的读、写执行权限,其他用户只能依据该目录的权限设置进行访问。

5.设定用的shell环境,默认是/bin/bash.

6.设定用户的失效时间,默认是99999天后

7.设定失效前发出警告的天数,默认是失效前7天。

    管理员可以通过useradd或adduser命令来添加一个新的用户。

# tail -1  /etc/passwd  #显示/etc/passwd文件最后一行内容

#tail -1 /etc/shadow  #显示/etc/shadow文件最后一行内容

解析/etc/passwd文件

      /etc/passwd文件存储着用户的相关信息,包含用户名、密码和主目录位置等。根用户对该文件有读和

写的权限,普通用户只有读权限。

/etc/passwd’:’分割成7个字段,每个字段的具体含义是:

1) 用户名(如第一行中的root就是用户名),代表用户账号的字符串用户名字符可以是大小写字母数字

减号(不能出现在首位)点以及下划线,其他字符不合法虽然用户名中可以出现点,但不建议使用,尤其

是首位为点时,另外减号也不建议使用,因为容易造成混淆

2)存放的就是该账号的口令,为什么是’x’呢?早期的unix系统口令确实是存放在这里,但基于安全因素,后来

就将其存放到/etc/shadow中了,在这里只用一个’x’代替

3)这个数字代表用户标识号,也叫做uid。系统识别用户身份就是通过这个数字来的,0就是root,也就是说你

可以修改test用户的uid0,那么系统会认为roottest为同一个账户通常uid的取值范围是0~655350是超级

用户(root)的标识号,1~499由系统保留,作为管理账号,普通用户的标识号从500开始,如果我们自定义建

立一个普通用户,你会看到该账户的标识号是大于或等于500

4)表示组标识号,也叫做gid。这个字段对应着/etc/group 中的一条记录,其实/etc/group/etc/passwd基本上

类似

5)注释说明,该字段没有实际意义,通常记录该用户的一些属性,例如姓名电话地址等等不过,当你

使finger的功能时就会显示这些信息的(稍后做介绍)

6)用户的家目录,当用户登录时就处在这个目录下。root的家目录是 /root,普通用户的家目录则为 /home/

username,这个字段是可以自定义的,比如你建立一个普通用户test1,要想让test1的家目录在/data目录下,只

修改/etc/passwd文件中test1那行中的该字段为/data即可

7shell,用户登录后要启动一个进程,用来将用户下达的指令传给内核,这就是shell。Linuxshell有很多种

sh, csh, ksh, tcsh, bash等,而Redhat/CentOSshell就是bash。查看/etc/passwd文件,该字段中除了/bin/bash

还有/sbin/nologin比较多,它表示不允许该账号登录如果你想建立一个账号不让他登录,那么就可以把该字

段改成/sbin/nologin,默认是/bin/bash

解析/etc/shadow文件

          由于普通用户可以读取/etc/shadow文件,因此密码直接保护直接保存在该文件中是极不安全的,很可能

被别有用心的人获取并翻译。目前的操作系统在密码保护方面大多采用了ShadowPasswords及MD5口令保护

功能。

再来看看/etc/shadow这个文件,和/etc/passwd类似,用”:”分割成9个字段

1)用户名,跟/etc/passwd对应

2)用户密码,这个才是该账号的真正的密码,不过这个密码已经加密过了,但是有些黑客还是能够解密的

以为了安全,该文件属性设置为600,只允许root读写

3)上次更改密码的日期,这个数字是这样计算得来的,距离197011日到上次更改密码的日期,例如上次更

改密码的日期为201211日,则这个值就是365*2012-1970+1=15331。

4)要过多少天才可以更改密码,默认是0,即不限制

5)密码多少天后到期即在多少天内必须更改密码,例如这里设置成30,则30天内必须更改一次密码,否则将

不能登录系统,默认是99999,可以理解为永远不需要改

6)密码到期前的警告期限,若这个值设置成7,则表示当7天后密码过期时,系统就发出警告告诉用户,提醒用

户他的密码将在7天后到期

7)账号失效期限你可以这样理解,如果设置这个值为3,则表示:密码已经到期,然而用户并没有在到期前修

改密码,那么再过3天,则这个账号就失效了,即锁定了

8)账号的生命周期,跟第三段一样,是按距离197011日多少天算的它表示的含义是,账号在这个日期前可

以使用,到期后账号作废

9)作为保留用的,没有什么意义

 修改用户的账号

修改用户的账号包含更改用户的用户名、密码、主目录、所属用户组和登录Shell等信息。

修改用户基本信息

修改用户的基本信息可以使用username命令,其命令格式为:

userrmod [-c comment]

-c   comment:更新用户的注释信息

-d  home_dir:更新用户的登录目录。如果指定了-m选项,则旧目录中的内容会复制到新

的目录中。如果新目录不存在则自动创建。

-e  expire_date:更新用户账户停用日期。其日期格式为MM/DD/YY。

-f   inactive_time:设定账号失效到永久停用的天数,当值为0时账号到期后立刻被停用。

而当值为-1是则关闭此功能。默认值为-1.

-g  initial_group:更新用户的初始登录用户组,即第一用户组。用户组名必须已经存在,默

认值为users。

-G group[....]:更新用户所属的用户组。通常一个用户可以属于多个用户组,成为多个用户组

的成员。每个用户组名之间必须用“,”分隔,如果用户当前所在的用户当前所在的用户组不在

此项中,则会从当前用户组删除此用户。

-l long_name:变更用户登录时的名称为longin_name.

-s  shell:指定用户新的登录shell。如果此项为空,则系统将选用默认的shell。

-u  uid:更新用户的UID值。该值修改后,用户目录树下所有的文件、目录的用户UID值会

自动改变,但放在用户主目录处的文件和目录的UID值则需要用户手动更新。

此命令将用户的登录目录改为/home/student2,登录Shell改为ksh,所在的组改为users和student。

修改用户密码

      指定和修改用户密码的命令是passwd。根用户不仅可以修改自己的密码,还可以修改其他用户的密码

普通用户则只能修改自己的密码。passwd命令的格式:   passwd  [.....]

-k:表示只有密码过期才需要用户重新设定密码

-l:通过在用户的密码字段前加前缀“!”,对用户进行锁定。锁定的用户无法登录系统该命令只有根用户有

权使用。

-u:该参数与-l相反,是对锁定的用户进行解锁操作。该操作会删除密码字段前的“!”。使用-f参数,才能

强制解锁。

-d:快速删除用户的密码。该命令只对根用户有。

-n:设定最短的密码有效期。

-x:设定最长的密码有效期。

-w:设定密码过期前,发出警报的提前天使。

-i:设定密码过期到账号停用的天数。

-S:显示指定用户的当前密码状态。

--stdin:表示从标准输入重新读入密码,该标准输入也可以为一管道

posted on 2016-04-12 21:51  ZQ园林  阅读(330)  评论(0编辑  收藏  举报