Linux 基本使用者和組命令

  1有關使用者的命令

(1).新增使用者

    Useradd  + 使用者名稱

   (2).檢視使用者是否存在

       id + 使用者名稱

   (3).刪除使用者

        sudo userdel  使用者名稱  只會刪除使用者本身

       sudo userdel -r +使用者名稱  將 linux 下的使用者徹底刪除乾淨(包括使用者的家目錄/home/username 和郵件池/var/mail/username)

   (4).使用者切換

       su+使用者名稱

注:從超級使用者切換到其他普通使用者是不需要輸入密碼的,而普通使用者切換到其他使用者

時需要輸入密碼進行驗證,成功後會切換使用者。

例

[[email protected] Desktop]# sudo userdel -r haha

[[email protected] Desktop]# id haha

id: haha: no such user

[[email protected] Desktop]# useradd haha

[[email protected] Desktop]# id haha

uid=1001(haha) gid=1001(haha) groups=1001(haha)

[[email protected] Desktop]# sudo userdel -r haha

[[email protected] Desktop]# id haha

id: haha: no such user

[[email protected] Desktop]# su westos

[[email protected] Desktop]$

2.linux使用者包括普通使用者和root使用者，普通使用者不能建立新的使用者，需要root使用者授權。

(1).授權方法1：編輯vim /etc/sudoers  

     root   ALL=(ALL)    ALL    允許使用者執行所有命

    使用者名稱  登入者主機名=可切換的身份(sudo -v執行後，預設的執行指令的身份）   可下達的指令

授權方法2：visudo（和上一種本質一樣），但是visudo在退出檔案時，系統會檢查/etc/sudoers語法是否正確

例

 [[email protected] Desktop]# visudo

      root ALL=(ALL) ALL    找到該行

      haha ALL=(ALL) ALL   新增這行，則haha使用者通過sudo擁有所有許可權

      haha    ALL=(root) !/usr/bin/pass wd.!/USR/BIN/passwd root

 允許haha'使用者通過sudo來修改其他所有使用者的密碼，但不能修改root的密碼

  (2)。visudo 利用群組授權

      將多個使用者放在一個組裡，一起授權

 方法1：在visudo中編輯（別名）

 例

  [[email protected] Desktop]# visudo

      User_Alias  ADMINS = 使用者名稱1，使用者名稱2

      ADMINS   server=(root)  NOPASSWD:ALL   使用sudo不需要密碼

方法2：命令列中新增使用者到群組

例

編輯vi /etc/group

     test:x:10:  增加test組

   [[email protected] Desktop]# usermod -a -G  test

將test加入到root的組中，對test群組授權，任何加入test這個群組中的使用著，就能夠使用sudo切換任何身份來操作任何命令

編輯visudo

%test ALL =(ALL)  ALL

%代表後面接一個群組，格式和單使用者授權一樣

(3).刪除組

groupdel  組名

3.usermod 命令詳解

-d            <登入目錄>修改使用者登入時的目錄。

-e            <有效期限>修改帳號的有效期限。

-f             <緩衝天數>修改在密碼過期後多少天即關閉該帳號。

-g            <群組>修改使用者所屬的群組。

-G            <群組>修改使用者所屬的附加群組。

-L              鎖定使用者密碼,使密碼無效。

-s            <shell>修改使用者登入後所使用的 shell。

-u            <uid>修改使用者 ID。

-U            解除密碼鎖定。

4. 與 linux 使用者和組相關的檔案

在 linux 作業系統中,對使用者的管理是以檔案形式存在的。與使用者相關的主要包括以

下幾個檔案:

/etc/passwd               儲存使用者的資訊

/etc/group                 儲存這組相關的資訊  

/etc/shadow               使用者密碼資訊

/etc/gshadow             組的密碼資訊

/home/username         普通使用者的家目錄

(1)/etc/passwd

這個檔案裡記錄了 linux 系統的帳號資訊,每一行代表著一個帳號。如下所示:

root:x:0:0:root:/root:/bin/bash

每一行包括有 7 個部分,他們之間由:分隔。解釋如下:

1):使用者名稱

2):密碼(已經加密)

3):UID 使用者標識

4):GID 組標識。

5):使用者全名或本地帳號

6):開始目錄

7):登入使用的 Shell,就是對登入命令進行解析的工具。

(2)/etc/group

/etc/group 檔案中存放著使用者組資訊,一共有四列。中間也是用:分隔。

Group_name:Password:Group_ID:User_list

1)Group_name: 使用者組名稱

2)Password:使用者組密碼,和 passwd 檔案一樣,如果口令欄位為 x 的話,表示

有一個/etc/gshadow 用於存放組口令。但一般來說,組口令很少用到,因此不必

太在意這個欄位。即使該欄位為空,也不需要擔心安全問題。

3)Group_ID:使用者組 ID,簡稱 GID。GID 用於標識一個組,和 UID 一樣,應

保證 GID 的唯一性。

4)User_list:使用者組列表,每個使用者用逗號分隔。本欄位可以為空,如果欄位

為空表示使用者組為 GID 的使用者名稱。如果一個使用者屬於/etc/passwd 中所指定的某個組,

但沒有出現在/etc/group 檔案相應的組中,那麼應該以/etc/passwd 檔案中的設定為準。

(5)shadow

為了增強系統的安全性,Linux 系統還可以為使用者提供 MD5 和 Shadow 安全密

碼服務。如果在安裝 Linux 時在相關配置的選項上選中了 MD5 和 Shadow 服務,

那麼將看到的/etc/passwd 檔案裡的 passwd 項上無論是什麼使用者,都是一個“x”,這就

表示這些使用者都登入不了;系統其實是把真正的密碼資料放在了/etc/shadow 檔案裡。

為保證系統使用者的安全性,/etc/shadow 檔案許可權應設定為‘-rw-------’或‘-r--------’,即只

能以 root 使用者來瀏覽。

與 passwd 檔案格式類似,shadow 檔案由多條記錄組成,每條記錄佔一行,記錄一

個使用者賬號的金鑰資訊。每行記錄由 9 個欄位組成,欄位間用冒號隔開,各個欄位用途

如下:

1)賬號名稱:

第一個欄位是賬號,必須與/etc/passwd 相同。

2)密碼:

這個欄位才是真正的密碼,該密碼經過編碼。假如此欄位為空,則表示該賬號不需

要密碼就可以登入。如果密碼欄的第一個字元為‘*’或者是‘!’,表示這個賬號不能用來

登入。可以使用這個方法來開啟或關閉一個賬戶的登入許可權。另外‘!!’兩個歎號表示

這個賬號目前沒有密碼,也不能用於登入,通常為一些系統賬號。

3)最近更改密碼的日期:

這個欄位記錄了‘更改密碼那一天’的日期。該欄位使用 1970 年以來的總日數設

定。

4)密碼不可被更改的天數:

第四個欄位記錄了這個賬號的密碼需要經過多少天才允許被更改,如果是 0,則表

示密碼可隨時改動。

5)密碼需要重新更改的天數:

該欄位表示擁護必須在這個時間內重新設定密碼,否者這個賬號將暫時失效。如果該

欄位的值為 99999,表示沒有要求使用者指定天數內重新更改密碼。

6)密碼需要更改期限前的警告期限:

當賬號的密碼失效期快到的時候,就是上面‘必須變更密碼’的那個時間,系統會根

據這個欄位的設定,發出‘警告’資訊,提醒使用者再過 n 天后密碼失效。

7)密碼過期的恕限時間:

4西部開源技術中心

如果使用者過了警告期限仍沒有重新設定密碼,緻密碼失效,仍可以使用這個失效密

碼在 n 天內登入系統。若再這個期間仍沒更改密碼,則賬號失效。

8)賬號失效日期:

這個賬號在此欄位規定的日期之後,將無法再使用。該欄位與第 3 個欄位一樣,

使用 1970 年以來的總日數設定。

9)保留:

最後一個欄位是保留的,看以後有沒有新功能加入。

(4)/home/username

使用者的家目錄,包括登陸 shell 的預讀資訊、桌面、文件等相關目錄。

5.當我們使用 useradd 時,系統會參考以下幾個檔案和目錄中的內容:

/etc/default/useradd   該檔案中我們對新增使用者時會指定相應的預設值

/etc/login.defs         該檔案設定使用者帳號限制(優先順序低於 shadow)

/etc/skel/*      linux 使用者的骨架檔案(如果沒有這些,shell 提示會顯得非常空洞)。6.使用者的郵件檔案

對使用者所傳送的郵件都儲存在/var/mail 目錄下:

/var/mail/username

7使用 sudo

sudo 是 Unix/Linux 平臺上的一個非常有用的工具,它允許系統管理員分配給普通使用者一些合理的“權利”,讓他們執行一些只有超級使用者或其他特許使用者才能完成的任務,,這樣以來,就不僅減少了 root 使用者的登陸次數和管理時間,也提高了系統安全性。

配置 sudo 的方法有以下兩種:

(1) 直接編輯/etc/sudoers

(2) 在超級使用者的身份下鍵入 visudo(普通使用者的許可權不夠)

我們建議使用第二種方法來配置 sudo,主要考慮以下原因:

(1) visudo 避免了兩個使用者同時修改 sudo 的配置檔案。如下圖所示,我們在一個控制檯鍵入 visudo 後進入 sudo 的配置檔案,在另外一個控制檯再次鍵入 visudo 修改時會提示/etc/sudoers 比較繁忙。

(2) 二是 visudo 命令能夠進行有效的語法檢測,當命令執行完成後如果/etc/sudoers 檔案編輯有語法錯誤的時候它會進行報錯。當錯誤地修改了 visudo 時,它會丟擲錯誤的行號,並且讓使用者選擇接下來需要做的處理,鍵入‘e’按鈕可以再次的進行編輯,這次編輯不管修改是否合法都不會再給出提示;鍵入‘x’則是不儲存使用者的修改,直接退出 visudo;鍵入‘Q’是儲存並退出。不過不管是 e還是 Q 的修改,如果/etc/sudoers 的語法是有問題的話,sudo 命令是不會生效的。直到錯誤被更正。

sudo 配置例項:

(1) 讓普通使用者具有超級使用者的所有許可權(普通使用者==root):

解釋:

haha和 root 是授權的使用者名稱

第一個 ALL:網路中的主機

第二個 ALL:目標使用者,以誰的身份去執行命令

第三個 ALL:指該授權使用者可以執行的命令

簡稱為“3W1C”原則:

Who where whom command

當我們切換到普通使用者 zhangchi,並且建立新的使用者的時候,系統給出了警告提示,畢竟 sudo 命令是相當於一種信託一樣的機制。需要有足夠的責任感。在鍵入完 haha的密碼之後就執行了 sudo 之後的命令.在密碼驗證完成之後,該使用者會獲得一個 5 分鐘的時間券。在此時間段內執行 sudo 命

令不需要輸入密碼。

(2) 多個使用者的設定(非同一個組群)

1.對於不同需求的使用者:可以按照上面的方法依次增加多行,每行對應一個使用者。

2.對於相同需求的多個使用者採用定義使用者別名。如下所示:

User_Alias UUU=user1,user2......

注意:User_Alias 後的名稱必須要大寫,否則在退出編輯時系統會報錯。

(3) 多個命令定義為一個命令別名

可以把同一型別的操作定義成一個命令組,每次可以把這個命令組賦予使用者,方便了

visudo 的書寫。

Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dh

client, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial,

/sbin/iwconfig,sbin/mii-tool

haha ALL = (root)  NETWORKING

(4)讓一個組群的使用者擁有指定命令

## Allows members of the users group to mount and unmount the

## cdrom as root

%haha ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom