使用者和組的管理

前言

本篇文章主要講Linux系統下使用者和組的概念，還有新增使用者和組，修改使用者和組的基本操作，會涉及不少與之相關的配置檔案與命令的介紹，幾乎所有

正文

首先，簡單提下概念，使用者是作業系統的使用者，也是系統程序的所有者，也就是說其實作業系統是給一堆人使用的，就拿大家都熟悉的Windows作業系統來說，我們一般只看得見自己一個使用者，或是後來又建立的來賓使用者，其實還有許多不需要登陸的系統使用者，如下圖

他們的作用很明顯，執行不同的程序，來提供相應的服務，支援程式的執行。

然後使用者組的話，就是一堆使用者的集合。是為了方便管理某一堆使用者的許可權。舉個例子來理解吧，假設我在跟一個團隊工作。我寫了段程式碼，別人也寫了段程式碼，那現在要一起除錯了，結果我的程式碼檔案建立者是我，其他人沒許可權執行，另一段程式碼檔案建立者是另一個人，也沒給其他人許可權，那還要一個個檔案改許可權麼，所以一個組就能避免這個問題。

使用者的操作

相關配置檔案有/etc/passwd、/etc/shadow、/etc/default/useradd、/etc/login.defs ，下面結合具體命令一塊講下

1. useradd、usermod和userdel命令，他們分別用來新增、修改、刪除使用者，首先看下新增使用者的例子

useradd 使用者名稱 -m -p 密碼 -s SHELL型別 -u UID號 -g GID號或組名

簡單說下：-m是建立家目錄，-p後面跟密碼，建立使用者的時候就設好了密碼，-s選擇使用者使用的SHELL型別，-u設定使用者ID號，-g設定主組的ID，-G後面跟要加的附加組名或組ID

• UID的話可以用id命令後面跟使用者名稱檢視，簡單方便可以先掌握了，如下所示，是檢視root的id

id root

2. 然後可以用下面的命令檢視使用者是否建立成功

cat /etc/passwd

它會輸出passwd檔案內容，建立成功的話，輸出的最後一行有你剛創的使用者名稱，如下圖是我剛建立的使用者test4

所以 /etc/passwd 檔案也知道了，他是存放使用者資訊的，它的格式如下

　　　　使用者名稱：密碼：使用者id：主組id：使用者詳細資訊：家目錄：shell型別
3. 根據上面檔案格式，可以發現使用者資訊那欄我們還不知道怎麼改，最直接的可以在passwd檔案裡改，格式如下

再介紹一個命令吧，除了直接用cat /etc/paswd檢視使用者資訊，其實還可以用finger命令，如下圖所示

是不是更直觀，當然還有getent passwd等價於cat /etc/passwd，vipw等價於vi /etc/passwd，這兩個也可以瞭解下

4. 好的，建立使用者完了，但之前設的密碼太簡單了現在要修改了怎麼辦，可以用usermod解決大部分問題，如下所示

usermod 使用者名稱 -p 新密碼

用法跟useradd相似，可選項也都差不多，所以不多提了，介紹另一個可以改使用者密碼的命令passwd，用法如下

passwd 使用者名稱

• 他有比較常用的幾個選項我說下：-l 鎖定使用者密碼，-u 解鎖使用者密碼，-f 迫使使用者下次登陸時改密（對新建使用者聽常用），-d 去掉使用者的密碼。鎖定的話就是密碼不起作用了，也就是使用者登陸不了了。同樣 -d 去掉了密碼也登陸不了了。這些效果可以自行嘗試。

那怎麼看密碼是不是改了呢，用下面的命令可以檢視

cat /etc/shadow

下圖是結果，不過看到的是經過SHA512演算法加密後的密碼，但確實是改了。
如果鎖定的話密碼會是兩個！！

所以 /etc/shadow 目錄就是存放使用者密碼相關資訊的地方，當然改這個檔案也能得到改密碼的目的，用vim編輯檔案內容即可，當然涉及密碼只有root使用者才有檢視修改這個檔案的許可權，他的檔案格式如下：
　　　　使用者名稱：密碼：最後一次更新密碼的時間：最短可以隔幾天改一次密碼（改密碼間隔時間）：隔多少天必須改密碼（密碼過期）：提前多少天提醒密碼過期：過渡期（密碼過期後還能撐幾天）：賬戶過期時間（不同於密碼過期，賬號過期就沒有這個帳號了，更別說密碼了）：這裡是預留給以後用的，現在沒什麼用
這個檔案會比之前的passwd更重要也更有用，大家多留意下

5. 既然對密碼有這麼多的配置，那麼就有專門的命令可以設定，chage命令，專門負責密碼期限的相關設定，用法如下

•  -d 設定最後更新密碼的時間，-E 設定賬號過期時間，-I 設定過渡期，-l 顯示期限資訊，-m 改密最短間隔，-M 密碼過期時間，-W 提前多少天警告
• 這裡注意一點，時間都是相對於1970.1.1的時間（也就是跟1970.1.1相距多少天了）

6. 最後就是刪除使用者的操作了，同樣在passwd檔案裡可以改，把他那欄資訊都刪了就行，但是同時得在shadow檔案裡也把他刪了，這種方法有弊端，你可以進到/home目錄下可以發現使用者的家目錄還在，所以還得刪除使用者的家目錄下。當然可以用userdel命令刪除使用者就比較方便，如下所示

userdel -rf 使用者名稱

• 加個 -r 選項就可以刪除家目錄，-f 是強制執行，就有可能刪除他的時候他的程式正在執行，那麼刪除程式檔案就會報錯。這個Windows經常能遇到吧，現在Linux可以強行解決這類問題，很暴力攔都攔不住。

7. 下面講下還沒提過的 /etc/login.defs檔案吧，它是控制新建預設使用者的配置檔案。預設使用者的話，useradd 後面跟使用者名稱加 -D 選項就能建立，那它又是怎麼配置預設使用者的呢，那就直接看下它的內容

這就是它的檔案內容，雖然每個變數設定前都有說明，不過我還是簡單講下吧，沒理解再看檔案裡的說明吧

• MAIL_DIR：使用者郵件地址，所以之前改檔案刪使用者的時候還得看下使用者郵件存放目錄。好了我剛看了下確實沒刪掉，所以改檔案來修改使用者可以，刪使用者就不推薦使用了
• PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN、PASS_WARN_AGE：密碼過期時間、改密最短間隔時間、密碼最短長度、密碼過期提前幾天警告
• UID_MIN、UID_MAX：使用者預設建立id的最小值和最大值，GID_MIN和GID_MAX同理
• CREAT_HOME：yes說明預設建立使用者後會同時建立它的家目錄
• UMASK：使用者建立檔案、目錄的預設許可權的掩碼，這個屬於許可權問題後面再講
• USERGROUPS_ENAB：yes也就是刪除使用者的時候把僅有他的組也刪了（主組），先不用瞭解
• ENCRYPT_METHOD：密碼加密方式，是SHA512加密方式

8. 現在就只有 /etc/default/useradd 檔案了，它的作用跟上面login.defs檔案差不多，不過兩者既有聯絡也有區別（等下會結合起來細講），login.defs 檔案針對的是使用者，而現在講的這個檔案針對的是 useradd 命令，看它的路徑就明白，是useradd的預設配置，看下他的檔案內容

好像看不出太多，那就用之前學過的whatis配合man命令檢視他的幫助吧，來看下結果，我直接把相關部分截出來了

 現在這個檔案的內容可以理解了，順便可以看下他跟login.defs檔案的關係了：

• GROUP：使用者預設組，對應第二幅圖 useradd 的 -g 選項來看，說的是如果login.defs檔案裡的USERGROUPS_ENAB變數是no的話那麼這個檔案裡的GROUP就生效了
• HOME：使用者預設家目錄，對應上圖 -b 選項來看，是不是
• INACTIVE：-1，就是不啟用密碼的過渡期
• EXPIRE：賬號過期時間，沒填就不會過期
• SHELL：預設使用者使用的shell型別
• SKEL：這是預設使用者目錄裡的內容，下面會簡單講下他
• CREAT_MAIL_SPOOL：yes就是預設建立郵件目錄，所以不需要建立郵件目錄的話可以在這裡填no哎呀，又得填個坑了，/etc/skel目錄，直接看下它裡面有哪些檔案吧，再看下你的家目錄你就明白一切了，相當於在建立家目錄時會複製skel的內容，所以用處還挺大的，說實話。

好了使用者就介紹到這了，下面介紹組了

使用者組的操作

組的話，也有新增，修改和刪除等操作，對應groupadd、groupmod、groupdel三個命令，相關配置檔案有這些/etc/group、/etc/gshadow，下面來看下

1. groupadd命令，建立一個新的組，用法如下

groupadd 組名 -g GID組號 -p 密碼

• -g 選項用來指定組號，-p 選項用來設組的密碼，一般 -g 選項會比較常用，而 -p瞭解以下即可

2. 好了建立完一個組有怎麼檢視呢，在 /etc/group 這檔案裡，它裡面有組的資訊，同樣除了cat能檢視，getent group也能實現檢視，後面getent我就不多提了，只是多個方法，沒必要掌握。結果如下圖所示

testgrp就是我新建的組，至於這個檔案的內容還是挺簡單的，格式如下：

　　　　組名：密碼（顯示為x，安全起見）：組號GID：組裡面的使用者

3. 好了組建完了，現在要怎麼修改組呢，有多多個命令可以改，不過各有千秋。

• 首先groupmod命令，他能修改組的外在，但改不了它的內在——組成員。它的用法如下

groupmod 組名 -n 新組名 -g 新ID -p 新密碼

• 其次是gpasswd命令，它就可以修改組成員，去掉組的密碼，不過改組名id就做不到了，它的用法如下

gpasswd -a 使用者名稱 組名

　　-r 選項可以去掉組的密碼，這個就瞭解這兩個些即可，具體可以查幫助前篇筆記講過

• 最後就是groupmems命令，他是管理組內使用者的首選命令，可以檢視修改組成員，用法如下

groupmems -a 使用者 -g 組

刪除使用者的話用 groupmems -d 使用者 -g 組 可實現，groupmems -l -g 組 可以檢視該組的成員。這個命令掌握這三個用法差不多了

4. 最後又是怎麼刪除的問題了，groupdel命令，用法如下

groupdel 組名

5. 就還剩 /etc/gshadow 這個檔案沒講，這個檔案存放的是安全組資訊，所謂安全就是隻有root使用者能看，看下他的檔案格式吧

 　　　　組名：密碼：管理員：組員

6. 最後瞭解一下吧，就是加密演算法函式crypt（），密碼就是靠這個函式加密的，用下面這個命令可以檢視幫助

man 3 crypt

這是我擷取的重要部分，下面id號對應一類加密演算法，這樣密碼是哪種加密演算法加密的就不用看login.defs檔案了，看shadow的時候密碼開頭$1就是MD5演算法，ok，這個理解就行，其他就先不講了

 總結

使用者和組的資訊檔案：/etc/passwd       /etc/shadow    /etc/group    /etc/gshadow
相關的預設配置檔案：/etc/login.defs    /etc/skel         /etc/default/useradd   

使用者：useradd   usermod   userdel   passwd     chage    chfn  
組：groupadd  groupmod  groupdel  groupmems  gpasswd    
檢視：getent    vipw     vigr     pwck    grpck    finger    id 

pwck和grpck，分別是檢查passwd檔案和group檔案格式的，可以自行體驗

• 我之所以會把這些檔案格式講得那麼清楚是它在批量操作的時候特別有用，如下面這個例子

newusers f1

newusers命令批量建立使用者使用的，f1就是我按passwd檔案格式輸入的要建立的使用者的資訊，如下圖所示

可以看下passwd檔案，沒問題。再看下登陸介面，能登陸麼，密碼x輸入沒問題，好了這就是批量操作

 對使用者和組的管理介紹到此為止，希望對讀者有