7.1用户配置文件

7.1.1用户信息文件 etc/passwd

1、用户管理简介

◆所以越是对服务器安全性要求高的服务器，越需要建立合理的用户权限等级制度和服务器操作规范。

◆在Linux中主要是通过用户配置文件来查看和修改用户信息

2、/etc/ passwd :用户基本信息文件（一共7个字段）（

more /etc/passwd）

如： root:x:0:0:root:/root:/bin/bash

◆第1字段：用户名称

◆第2字段：x密码标志,表示它是有密码的，存放在/etc/shadow中

◆第3字段：UID（用户ID）

0：超级用户

1-499：系统用户（伪用户）

500-65535：普通用户

◆第4字段：GID（用户初始组ID）

◆第5字段：用户说明

◆第6字段：家目录

普通用户：/home/用户名/

超级用户：/root

◆第7字段：登录之后的 Shell

3、初始组和附加组

◆初始组：就是指用户一登录就立刻拥有这个用户组的相关权限，每个用户的初始组只能有一个，一般就是和这个用户的用户名相同的组名作为这个用户的初始组。每个人必须有一个用户组且只能有一个

◆附加组：指用户可以加入多个其他的用户组，并拥有这些组的权限，附加组可以有多个

4、Shell是什么

◆Shell是 Linux的命令解释器。

◆在 etc/passwd当中，除了标准Shell是/ bin /bash之外（普通用户和超级用户都是这个，才可以正常登录），还可以写如/sbin/ nologin（伪用户-禁止登录）。

7.1.2用户配置文件-影子文件/etc/shadow

看通过命令：ll /etc/passwd 看权限 

ll /etc/shadow 看权限（在shadow中保护的是加密的密码串）

vim /etc/shadow

可以看到如下信息：

1 root:$6$e9Gr95N8uPZGB6D8$dDoz1ABUn2EaKPt3B75Yi.HvlO2.1IvjR    2/OI/CdJbSowAXcyQRoONQ1dUpJHlCQ8MVRyFBNw4c/B5ElCkB7m/:18384:0:99999:7:::

2 bin:*:17246:0:99999:7:::

····················································································

1、影子文件/etc/ shadow

◆第1字段：用户名

◆第2字段：加密密码

加密算法升级为SHA512散列加密算法

如果密码位是“!!”或“*”代表没有密码，不能登录

◆第3字段：密码最后一次修改日期

使用1970年1月1日作为标准时间，每过一天时间戳加1

◆第4字段：两次密码的修改间隔时间（和第3字段相比）

◆第5字段：密码有效期（和第3字段相比）

◆第6字段：密码修改到期前的警告天数（

和第5字段相比）

◆第7字段：密码过期后的宽限天数（和第5字段相比）

0：代表密码过期后立即失效（没写也是，到期后就会失效）

-1：则代表密码永远不会失效

◆第8字段：账号失效时间

要用时间戳表示

◆第9字段：保留

2、时间戳换算

◆把时间戳换算为日期

命令：date -d "1970-01-01 16066 days"

只要改掉里面的时间戳“16066”，就可以计算相应日期了

◆把日期换算为时间戳

echo $(($(date --date="2014/01/06" +%s)/86400+1))

表示：把当前的是时间2014-1-6号 加 %s换算成秒（与1970-1-1相比过去了多少秒），之后除以一天的秒数86400，之后加1，就可以得到时间戳

7.1.3用户配置文件组信息文件 etc/group和组密码文件/etc/gshadow

1、组信息文件 /etc/group

◆第一字段：组名

◆第二字段：组密码标志

◆第三字段：GID

◆第四字段：组中附加用户

2、组密码文件 /etc/gshadow（不推荐使用）

第一字段：组名

第二字段：组密码

第三字段：组管理员用户名

第四字段：组中附加用户

7.2用户管理相关文件

普通用户是$，超级用户是#

1、用户的家目录

◆普通用户：home/用户名/，所有者和所属组都是此用户，权限是700

命令：ll /home/

可以看到有哪些普通用户

如： home/usr1/ 是usr1的家目录

◆超级用户：/root/，所有者和所属组都是root用户，权限是550

命令：ll -d /root

可以看到超级用户有哪些

将普通用户变为超级用户：

vim /etc/passwd

然后把usr1的UID改为root用户所在的组ID ，即改为0

如：usr1:x:0:502::/home/usr1:/bin/bash

登录usr1，就可以看到提示符变为#，但是其家目录（pwd）还是在/home/usr1下，只是改变了

2、用户的邮箱：/var/spool/mail/用户名/

先 cd /val/spool/mail/

然后ls，可以看有哪些用户有mail目录

最后用 more 用户名

就可以查看该用户收到的邮件了

3、用户模板目录

◆/etc/skel/

添加用户时自动创建的一些隐藏文件，是从这个目录拷贝来的。

7.3用户管理命令

7.3.1用户添加命令useradd

1、 useradd命令格式

[root@localhost ~]# useradd [选项] 用户名

如：useradd -g root usr1

新建一个用户usr1并且加入root组

选项：

-u  UID：手工指定用户的UID号

-d  家目录：手工指定用户的家目录

-c  用户说明：手工指定用户的说明

-g  组名：手工指定用户的初始组

-G  组名：指定用户的附加组（可以多个），用逗号做分隔符

-s shell：手工指定用户的登录 shell  默认是bin/bash

2、添加默认用户[root@localhost ~]# useradd sc

[root@localhost ~]# grep sc/etc/passwd

[root@localhost ~]# grep sc /etc/shadow

root @localhost】# grep sc/etc/group

[root@localhost ~]# grep sc /etc/gshadow

[root@localhost ~]# ll -d /home/用户名  ：看到家目录

[root@localhost ~]# ll /var/spool/mail/用户名 ：邮箱

3、指定选项添加用户

useradd -u 550 -G root, bin -d/home/lamp1 \

-c "test user" -s /bin/bash sc

其他没写的值，是在下面两个默认文件中的

4、用户默认值文件

vim /etc/default/useradd

GROUP=100    #用户默认组

HOME=/home  #用户家目录

INACTIVE=-1  #密码过期宽限天数（ shadow文件7字段）

EXPIRE=    #密码失数时间（8）

SHELL= /bin/bash #默认 shell

SKEL= /etc/skel #模板目录

CREATE_MAIL_SPOOL=yes  #是否建立邮箱

◆/etc/ login.defs

PASS_MAX_DAYS 99999#密码有效期（5）

PASS_MIN DAYS 0 #密码修改间隔（4）

PASS_MIN_LEN 5 #密码最小5位（PAM）

PASS_WARN_AGE 7#密码到期警告（6）

UID_MIN 500#最小和最大UID范国

GID_MAX 60000

ENCRYPT_METHOD SHA512#加密模式

7.3.2修改用户密码 passwd

1）# passwd [选项] 用户名

注意：passwd 直接回车表示修改当前用户的密码。普通用户想要修改密码就是要用这个方法

选项：

-S 查询用户密码的密码状态。仅root用户可用。

-l  暂时锁定用户。仅root用户可用

如：passwd -l usr2 ：锁定之后，这个用户就无法登陆了

-u 解锁用户。仅root用户可用

--stdin可以通过管道符输出的数据作为用户的密码。

如：echo "124" | passwd --stdin lamp

表示lamp用户用“124”作为密码

2）查看密码状态

passwd -S lamp

结果：lamp PS 2013-01-06 0 99999 7 -1

用户名密码设定时间（201301-06）密码修改间隔时间（0）

密码有效期（99999) 警告时间（7）密码不失效（-1）

7.3.3修改用户信息 usermod

与useradd的区别是：useradd是增加新用户的同时，可以修改其默认信息。usermod是修改已经存在的用户的信息

[root@localhost ~]#usermod [选项] 用户名

选项：

-u UID： 修改用户的UID号

-c 用户说明： 修改用户的说明信息

-G 组名： 修改用户的附加组

-L： 临时锁定用户（Lock）

-U： 解锁用户锁定（Unlock）

 [root@localhost ~]# usermod -c "test user" lamp

修改用户的说明

 [root@localhost ~]# usermod -G root lamp

把lamp用户加入root组

 [root@localhost ~]# usermod -L lamp

锁定用户

 [root@localhost ~]# usermod -U lamp

解锁用户

修改用户密码状态 chage

[root@localhost ~]#chage [选项] 用户名

选项：

-l： 列出用户的详细密码状态

-d 日期： 修改密码最后一次更改日期（shadow3字段）

-m 天数：  两次密码修改间隔（4字段）

-M 天数： 密码有效期（5字段）

-W 天数： 密码过期前警告天数（6字段）

-I 天数： 密码过后宽限天数（7字段）

-E 日期： 账号失效时间（8字段）

如：[root@localhost ~]# chage -d 0 lamp 

这个命令其实是把密码修改日期归0了（shadow第3字段）#这样就强制用户一登陆就要修改密码

7.3.4删除用户 userdel

1、删除用户userdel

[root@localhost ~]# userdel [-r] 用户名

选项： 

-r 删除用户的同时删除用户家目录 

如：userdel -r liming

手工删除用户

 [root@localhost ~]# vi /etc/passwd

 [root@localhost ~]# vi /etc/shadow

 [root@localhost ~]# vi /etc/group

 [root@localhost ~]# vi /etc/gshadow

 [root@localhost ~]# rm -rf /var/spool/mail/lamp

 [root@localhost ~]# rm -rf /home/lamp/

（删除每一个目录中，该用户相关的信息，所在的行）

2、查看用户ID

[root@localhost ~]# id 用户名

3、切换用户身份su （whoami 命令可以查看当前用户是谁）

[root@localhost ~]# su [选项] 用户名

选项： 

-  ： 选项只使用“-”代表连带用户的环境变量一起切换  (env命令查看当前环境变量)

-c 命令： 仅执行一次命令，而不切换用户身份  。暂时调用root身份，执行root才能执行的一些命令

[lamp@localhost ~]$ su  –  root

#切换成root  (一定要加“-”，这样切换用户时，才能连同操作环境一起切换。exit退回前一个用户）

[lamp@localhost ~]$ su - root -c "useradd user3"

#不切换成root，但是执行useradd命令添加user1用户

7.4、用户组管理命令 more /etc/group

1、添加用户组

[root@localhost ~]# groupadd [选项] 组名

选项：

-g GID  指定组ID

2、修改用户组

[root@localhost ~]# groupmod [选项] 组名

选项：

-g GID  修改组ID

-n 新组名 修改组名

例：[root@localhost ~]# groupmod -n testgrp group1

#把组名group1 修改为testgrp

3、删除用户组

[root@localhost ~]# groupdel [选项] 组名

tips:删除组的时候，组内不允许有初始用户存在。

$ groupadd lol

$ useradd -g lol timo

（添加一个新用户timo，把它初始组改为lol）

$ useradd -G lol yasuo

添加一个新用户yasuo，把它附加组改为lol

因为timo是初始组是lol。删除lol会导致timo没有初始组。所以不可删。需要先删除用户。

而yasuo是附加组。可删。

4、把用户添加入组或从组中删除

[root@localhost ~]# gpasswd [选项] 组名

选项：（gpasswd操作的是附加组）

-a 用户名： 把用户加入组

-d 用户名： 把用户从组中删除

如：gpasswd -a liming root

把用户liming加入root组

（可以在 /etc/group文件下看到 liming已经加入root组）