使用者管理

一、使用者理解

使用者就是系統使用者的身份，在系統中使用者儲存為若干字元+若干個系統配置檔案。我們可以使用whoami命令來檢視當前使用者身份，但我們在切換使用者時不可以一直用su命令頻繁切換，這樣會導致之後操作中會出現報錯，我們要學會用exit命令來退出使用者進行切換。

1.使用者存在的意義

1. 安全
2. 使用者概念在系統中是系統安全機制的一部分

2.組存在的一意義

1. 共享 開放共享

3.使用者的檢視

1. 檢視當前使用者 whoami 檢視當前使用者

2. 系統中使用者的檢視 id 檢視指定使用者id資訊 id -u ##檢視使用者的uid 身份證號 id -g ##檢視使用者的gid 戶口本（組號）初始組 id -G ##檢視使用者所在的所有組的id 附加組 id -n ##顯示名字而不顯示id數字

4.使用者切換

1. su - 使用者名稱稱 su - 中 “-” 表示在使用者身份切換時同時切換當前使用者的環境 當無（-）時使用者身份切換時只能切換身份不能切換使用者環境。 su - 執行時高階使用者切換到低階使用者不需要密碼，低階使用者切換到高階需要密碼，平級使用者切換也需要密碼。 注意：每次su切換到其他使用者操作之後必須退出exit，然後再次切換到其他使用者。

二、使用者在系統中的儲存方式 /etc/passwd 使用者資訊檔案： 使用者名稱稱：密碼：uid：gid：說明：家目錄：預設shell

 (             -u   -g   -c     -d      -s                                 )
 

密碼不在/etc/passwd儲存 但密碼位保留用X代替和表示。

/etc/group 使用者組資訊檔案: 組的名字：組密碼：組id：組成員 /etc/shadow 認證資訊檔案: 使用者：密碼：最後一次密碼修改該時間：最短有效期：最長有效期：警告期：非活躍期：帳號到期日 /etc/skel/.* 預設開啟shell的配置，使用者的骨檔案

/home/username 使用者的家目錄 三、使用者管理命令

1. 使用者的刪除 userdel userdel student 刪除使用者但不刪除使用者的配置檔案 userdel -r student 刪除使用者並刪除使用者的配置檔案

2. 使用者建立 使用者資訊監控命令 watch -n 1 ‘tail -n 3 /etc/passwd /etc/group;ls -l /home’

3. useradd建立使用者時，讀取/etc/login.defs檔案內容確定規則 useradd -u 8888 westos ##指定使用者uid useradd -g 21 westos ##指定使用者初始組id，“21使用者組必須是存在的” useradd -G 21 westos ##指定使用者的附加組id “21使用者組必須存在” useradd -c “hello” westos ##指定使用者的說明 useradd -d /home/lee westos ##指定使用者的家目錄 useradd -s /bin/sh westos ##指定使用者的預設shell

4. groupadd ##建立使用者組 groupadd -g 888 ##建立使用者組並指定使用者組的id groupdel ##刪除使用者組

5. 更改使用者資訊 更改組資訊: groupmod -g 6666 linux ##更改組資訊

6. 更改使用者資訊 usermod usermod -l 新名稱 westos ##更改使用者的名稱 usermod -u 6666 westos ##更改使用者uid usermod -g 21 westos ##更改使用者的初始組 usermod -G 21 westos ##更改使用者的附加組 usermod -aG 72 westos ##新增使用者的附加組 usermod -G “” westos ##刪除使用者所有附加組的身份 usermod -c “hahahah” westos ##指定使用者說明文字 usermod -d /home/lee westos ##更改使用者家目錄的指向 usermod -md /home/lee westos ##更改使用者家目錄 usermod -s /bin/sh westos ##更改使用者的shell usermod -L westos ##凍結使用者 usermod -U westos ##解鎖使用者

四、 使用者認證資訊

1. /etc/shadow 記錄使用者認證資訊 此檔案一共有九列： 使用者名稱稱：使用者密碼：使用者密碼最後一次被更改的時間：使用者密碼最短有效期：使用者密碼最長有效期：密碼警告期限：使用者非活躍天數：使用者到期日：使用者自定義列，目前沒有啟用 “watch -n 1 'tail -n 3 /etc/shadow;passwd -S westos”監控命令並在最後一行顯示使用者密碼資訊。 passwd -S westos 檢視westos使用者密碼資訊

2. 使用者名稱稱 使用者密碼 passwd westos ##更改westos密碼 passwd -l westos ##在使用者密碼前加入“！！”鎖定使用者 passwd -u westos ##解鎖使用者密碼 usermod -L westos ##在使用者密碼前加入“！” usermod -U westos ##在密碼不為空時使用 passwd -d westos ##清空westos密碼 注意： 普通使用者改密碼時 1.必須知道當前原始密碼 2.密碼不能和帳號名稱相似 3.密碼不能是純數字或純字母 4.密碼不能是有序的字母和數字的組合

3. 使用者密碼最後一次被更改的時間 passwd -e westos 會改變使用者最後一次更改密碼時間為0.使用者在登陸時會被強制更改密碼 chage -d 0 westos 兩個命令功能類似

4. 使用者密碼最短有效期 passwd -n 1 westos westos使用者在1天之內不能修改密碼 chage -m 1 westos 兩個命令功能類似

5. 使用者密碼最長有效期 passwd -x 30 westos 設定westos在30天內必須改密碼 chage -M 40 westos

6. 密碼警告期限 passwd -w 2 westos密碼過期前兩天有警告輸出 chage -W 2 westos

7. 使用者非活躍天數 passwd -i 1 westos密碼過期後仍可登陸系統的天數 chage -I 1 westos

8. 使用者到期日 chage -E 2018-11-11 westos westos使用者在2018-11-11日會被凍結

9. 使用者自定義列，目前沒有啟用

五、使用者授權

(1)在系統中超級使用者可以下放普通使用者不能執行的操作給普通使用者

1. 權力下放檔案為:/etc/sudoers 此檔案可以用vim直接編輯，但是不提供語法檢測 也可以使用visudo編輯此檔案，visudo命令是提供語法檢測的 下放方式
2. 注意：權利下放之前我們普通使用者不可以建立使用者已及組，當然刪除也不行。 超級使用者執行visudo進入編輯/etc/sudoers模式，找到一百行，然後編輯。

   ## Allow westos to run useradd localhost
   westos  localhost=(root)   /usr/sbin/useradd

2. *visudo 100行左右 使用者 主機名稱=（得到的使用者身份） 命令 tom localhost=(root) /usr/sbin/useradd ##### tom使用者可以在localhost主機以root使用者身份執行useradd命令 tom localhost=（root） NOPASSSWD: /usr/sbin/userdd ##### tom使用者可以在localhost主機以root使用者身份免密執行useradd

3. 測試 su - tom sudo useradd hello