4.用户和组
一、 用户
https://www.jianshu.com/p/83790e83fd87
为何要有用户?
资源分配、控制。为何要有用户组?
资源分享,协同合作
Linux 系统如何管理用户和用户组
用户使用 UID (十进制的数字)
组使用 GID(十进制的数字)
系统中的每个资源都会属于具体的用户和组。
资源包括:文件,目录,运行时的程序(进程), 一个服务等。
Linux 系统只认识 UID 和 GID
用户基本信息和密码信息
用户信息保存在 /etc/passwd
文件中
用户密码的信息保存在 /etc/shadow
文件中
/etc/passwd 文件内容
每行是一个用户,每行都是用 冒号分开用户的各个信息
image/etc/shadow 文件内容
每行是一个用户,每行都是用 冒号分开用户的各个信息, 共有 9 个字段。
shark 账户在 shadow
文件中是这样的:
shark:!!:18099:0:99999:7:::
这九个字段意义如下:
-
用户名
-
密码 这个密码是经过加密的,
!!
表示,创建了此用户但是还未给其设置密码。 -
最近修改密码的日期
这个数字单位是天数, 是 1970 年 1 月 1 日作为 1 而累加的日期。
计算某个日期的累积天数的语法:
echo $(( $(date --date="2019/07/21" +%s) / 86400+1))
命令意思:
2019/07/21 为你想要计算的日期,86400 为每一天的秒数, %s 为 1970/01/01 以来的累积总秒数。 由于 bash 仅支持整数,因此最终需要加上 1 补齐1970/01/01 当天
- 密码不可被更动的天数
这个帐号的密码在最近一次被修改后需要经过几天才可以再被修改!如果是
0
的话, 表示密码随时可以修改的意思。
- 密码需要重新修改的天数
指定在最近一次修改密码后, 在多少天数内需要再次的修改密码,可以强制用户修改密码。
- 距离密码要修改时的天数
假如是 5, 那就是临近修改密码的前 5 天内,都会提示用户更新密码。
- 密码过期后的帐号宽限时间
就是密码过期后,账户依然可以登了,并且打的到 bash, 但是当登录到系统时,系统会提示你立刻进行密码的更新,否则无法继续操作。
密码有效期 = 密码修改日(因为当天也算一天) + 密码需要修改的天数
- 帐号失效日期
也是从 1970/01/01 以来总天数。通常用在收费系统上。
- 保留
关于 UID
id 范围 | 该 ID 使用者特性 |
---|---|
0(系统管理员) | 当 UID 是 0 时,代表这个帐号是“系统管理员” root! 所以当你要让其他的帐号名称也具有 root 的权限时,将该帐号的 UID 改为 0 即可。 这也就是说,一部系统上面的系统管理员不见得只有 root 喔! 不过,很不建议有多个帐号的 UID 是 0 啦~容易让系统管理员混乱! |
1~999(系统帐号) | 保留给系统使用的 ID,其实除了 0 之外,其他的 UID 权限与特性并没有不一样。这个只是一个习惯。由于系统上面启动的服务希望使用较小的权限去运行,因此不希望使用 root 的身份去执行这些服务, 所以我们就得要提供这些运行中程序的拥有者帐号才行。这些系统帐号通常是不可登陆的, 可以看到这些用户都有 /sbin/nologin 这个特殊的 shell 存在。根据系统帐号的由来,通常这类帐号又约略被区分为两种:1200:由各发行版本厂商自行创建的系统帐号;201999:使用者这些 UID 去创建一些系统基本的账号。 |
1000~60000(可登陆帐号) | 给一般使用者用的。事实上,目前的 linux 核心 (3.10.x 版)已经可以支持到 4294967295 (2^32-1) 这么大的 UID 号码了! |
查看用户基本信息
// 查看当前用户
id
关于用户的编辑修改命令
useradd 添加用户
useradd [-u UID] [-g 初始群组] [-G 次要群组] [-mM] [-c 说明栏] [-d 家目录绝对路径] [-s shell] 新的用户名
-M :强制!不要创建使用者主文件夹!(系统帐号默认值)
-m :强制!要创建使用者主文件夹!(一般帐号默认值)
-r :创建一个系统的帐号,这个帐号的 UID 会有限制 (参考 /etc/login.defs)
-s :后面接一个 shell ,若没有指定则默认是 /bin/bash,指定的 shell 必须存在于系统中
-e :后面接一个日期,格式为“YYYY-MM-DD”此项目可写入 shadow 第八字段,
亦即帐号失效日的设置项;
-u 后面跟一个数字,就是用户的 ID 好,假如指定的 UID 已经存在,需要配合 -o 参数。
在新建一个用户时,CentOS 这些默认值主要会帮我们处理几个项目:
- 在
/etc/passwd
里面创建一行与帐号相关的数据,包括创建 UID/GID/主文件夹等; - 在
/etc/shadow
里面将此帐号的密码相关参数填入,但是尚未有密码; - 在
/etc/group
里面加入一个与帐号名称一模一样的群组名称; - 在
/home
下面创建一个与帐号同名的目录作为使用者主文件夹,且权限为700
示例:
- 新增一个普通用户,自动创建家目录和组
useradd shark
- 新增一个系统用户
useradd -r shark1
- 新增一个系统用户, 且指定 shell 为
/sbin/nologin
useradd -r -s /sbin/nologin shark2
useradd 的默认值
➜ ~ useradd -D
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
设置用户密码
// root 功能:
passwd [-l] [-u] [--sdtin] [-S] [-n 日数] [-x 日数] [-w 日数] [-i 天数] 账号
//所有人均可使用来修改自己的密码
passwd [--sdtin]
选项:
--stdin :可以通过来自前一个管道的数据,作为密码的输入,对shell script比较有帮助。
-l :lock 帐号,是密码暂时性失效
-u :解锁
-S :查看帐号密码的相关参数
-n :密码不可修改的天数
-x :密码强制修改天数
-w :密码过期前的警告天数
-i :修改或指定密码失效天数
- 普通用户修改自己的密码
password
- root 身份设置/修改 其他用户的密码
password shark
修改用户信息 usermod
root 用户执行
usermod [-cdegGlsuLU] username
选项与参数:
-c :后面接帐号的说明,即 /etc/passwd 第五栏的说明栏,可以加入一些帐号的说明。
-d :后面接帐号的主文件夹,即修改 /etc/passwd 的第六栏;
-e :后面接日期,格式是 YYYY-MM-DD 也就是在 /etc/shadow 内的第八个字段数据啦!
-f :后面接天数,为 shadow 的第七字段。
-g :后面接初始群组,修改 /etc/passwd 的第四个字段,亦即是 GID 的字段!
-G :后面接次要群组,修改这个使用者能够支持的群组,修改的是 /etc/group
-a :与 -G 合用,可“增加次要群组的支持”而非“设置”喔!
-l :后面接帐号名称。亦即是修改帐号名称, /etc/passwd 的第一栏!
-s :后面接 Shell 的实际文件,例如 /bin/bash 或 /bin/csh 等等。
-u :后面接 UID 数字啦!即 /etc/passwd 第三栏的数据;
-L :暂时将使用者的密码冻结,让他无法登陆。其实仅改 /etc/shadow 的密码栏。
-U :将 /etc/shadow 密码栏的 `!` 去除,就是解除锁定!
- 把用户
shark
添加到wheel
组中
usermod -a -G wheel shark
命令 添加 组 组名 用户名
删除用户 userdel
这个功能就太简单了,目的在删除使用者的相关数据,而使用者的数据有:
使用者帐号/密码相关参数:/etc/passwd, /etc/shadow
使用者群组相关参数:/etc/group, /etc/gshadow
使用者个人文件数据: /home/username, /var/spool/mail/username..
整个指令的语法非常简单:
命令语法
userdel [-r] username
选项与参数:
-r :连同使用者的主文件夹也一起删除
- 用
root
身份删除普通用户
用户的家目录和邮箱等不会被删除
userdel shark
- 用
root
身份删除普通用户,并且不保留被删除用户的家目录等数据。
userdel -r shark1
二、组
初始组(initial group):
就是在创建用户的时候,默认会创建一个和用户名同名的组。后期也可以修改。
初始组的 GID 会出现在/etc/passwd
中,用户的存放 GID 的位置,用户已登录到系统中就会拥有此组的权限。
有效组(effective group):
当前环境下,用户所拥有有效组的权限,新创建的文档的属组将会是这个用的有效组。
Linux 系统中的组信息存放在 /tec/group
文件中,可以分为四个部分
-
组名
-
组密码
-
组 ID
-
组内成员
组内的多个成员用英文逗号隔开,期间不能有空格。
UID 范围及意义,和 UID 几乎相同。 0 是管理员用户的初始组
关于组的命令
groups 查看用户都加入了哪些组
- 查看当前用户的组
[shark@e9818e4ea8b3 ~]$ groups
shark wheel
处于第一个位置的是 此用户的 有效组
- 查看其他用户的组
[shark@e9818e4ea8b3 ~]$ groups shark1
shark1 : shark1
用户 组
groupadd 新增组
goupadd [-g gid] [-r] group_name
选项:
-g :指定gid ,单独添加组,建议指定1000以上的gid,便于管理。
-r :建立系统组
groupdel 删除组
groupdel group_name
注意:当你要删除一个组时,需要确保系统中没有任何一个用户把此组作为初始组 initial group
gpasswd 修改组成员
自修,提示使用 gpasswd --help
作业练习
- 建立用户:nginx 默认没有家目录,不可本地登录系统
2.建立用户:super 默认将其加入到 wheel 组
3.建立用户:mysql 用户 指定目录: /opt/mysql/
4.创建用户:prod 用户 设置其1天内不可修改密码,密码有效期3天,提前1天通知他,密码失效期6天,用户失效期7天
4.建立组:devops 并指定组成员:
建立组:baoma 指定组成员: x3 x5 x6
用户身份切换
su
切换为其他用户,这需要提供其他用户的密码
su - [-c] [用户名]
选项与参数:
- :单纯使用 - 如“ su - ”代表使用 login-shell 的变量文件读取方式来登陆系统;
若用户名没有加上去,则代表切换为 root 的身份。
sudo
sudo
是用于使用普通用户的身份去执行 root
用户身份才有权执行的命令操作。
必要条件
-
需要把普通用户设置为 sudo 用户
-
使用 sudo 的时候需要提供
root
的用户名。
语法
sudo [-b] [-u 新使用者帐号]
选项与参数:
-b :将后续的指令放到背景中让系统自行执行,而不与目前的 shell 产生影响
-u :后面可以接欲切换的使用者,若无此项则代表切换身份为 root 。
- 使用 sshd 用户,在
/tmp
目录下创建一个普通文件,并观察文件相关属性
sudo -u sshd touch /tmp/sshd.file
多个命令用分号隔开
sudo 的执行是这样的流程
-
当使用者执行 sudo 时,系统于 /etc/sudoers 文件中搜寻该使用者是否有执行 sudo 的权限;
-
若使用者具有可执行 sudo 的权限后,便让使用者“输入使用者自己的密码”来确认;
-
若密码输入成功,便开始进行 sudo 后续接的指令(但 root 执行 sudo 时,不需要输入密码);
-
若欲切换的身份与执行者身份相同,那也不需要输入密码。
visudo 将普通用户设置为 sudo 用户
建议使用 visudo 编辑 /etc/sudoers
文件,比较安全。
设置语法格式:
设置单一用户
root ALL=(ALL) ALL
设置一个组
%wheel ALL=(ALL) ALL
各个部分的意思
-
“使用者帐号”:系统的哪个帐号可以使用 sudo 这个指令的意思;
-
“登陆者的来源主机名称”:当这个帐号由哪部主机连线到本 Linux 主机,意思是这个帐号可能是由哪一部网络主机连线过来的,信任的来源的意思。默认值 root 可来自任何一部网络主机
-
“(可切换的身份)”:这个帐号可以切换成什么身份来下达后续的指令,默认 root 可以切换成任何人;
-
“可下达的指令”:可用该身份下达什么指令?这个指令请务必使用绝对路径撰写。 默认 root 可以切换任何身份且进行任何指令之意。
免密码
之前的设置都需要,输入自己的密码,有时候这在写一些自动化的工具时,并不合适,因为提示用户输入自己的密码,会导致交互的操作。
sudo 时,不输入任何密码
%wheel ALL=(ALL) NOPASSWD: ALL
指定切换身份和使用的命令
shark ALL=(root) /usr/bin/passwd
限制使用某些命令
shark ALL=(root) !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
允许 shark 用户以 root 身份修改其他用户的密码,但是不允许修改 root 的密码
用户别名和命令别名
有时候可以让多个用户共同具有某些 sudo 用户的权限,就可以把这些用户设置为一个用户别名
User_Alias ADMPW = shark1, shark2
Cmnd_Alias ADMPWCOM = !/usr/bin/passwd, /usr/bin/passwd [A-Za-z]*, !/usr/bin/passwd root
ADMPW ALL=(root) ADMPWCOM
sudo 和 su
让普通用户切换为 root 身份,并且不需要输入 root 的密码。
User_Alias ADMINS = shark1, shark2
ADMINS ALL=(root) /bin/su -