用户和用户组

今天搭建在自己的阿里云服务器上搭建git服务器,参考的博客上说最好有一个专门用户管理的git的用户,所以写一篇关于linux用户组的博客加深下印象。

用户相关操作

添加用户
adduser 选项 用户名
  -c comment 指定一段注释性描述。
  -d 目录 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。默认会自动在  /home目录下建立和用户名一样的专属目录
  -g 用户组 指定用户所属的用户组(初始组)。 默认会自动创建与用户名同名的用户组,初始组一个用户只能有一个
  -G 用户组,用户组 指定用户所属的附加组(可以多个)。
  -s Shell文件 指定用户的登录Shell。/bin/bash 是基本shell
  -u 用户号 指定用户的用户号,如果同时有-o选项,则可以重复使用其他用户的标识号。

id 用户名  -- 查看用户信息
[root@root ~]# id git
uid=1002(git) gid=1002(git) groups=1002(git)
uid 用户id, gid 初始组id, groups=附加组id

添加一个用户实质上就是在/etc/passwd 新增加一条记录,同时也会在/etc/shadow, /etc/group等文件中增加记录

添加用户如果不写选项,那么他会自动去使用默认配置,默认配置一般在两个文件中

1. /etc/default/useradd
[root@root ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

[root@root ~]#

GROUP  (已废弃) 以前默认加入100的组,现在会创建和用户名相同的初始组
HOME  用户默认家目录
INACTIVE  用户密码过期后的宽限时间,-1代表永不过期,0代表时效结束即刻过期
EXPIRE   帐号终止日期,不设置表示不启用  日期的指定格式为MM/DD/YY
SHELL 默认执行的shell脚本
SKEL  模板目录,添加新用户时创建家目录都是从这里配置的路径复制过去
CREATE_MAIL_SPOOL  是否给每个用户都创建邮箱,具体配置用下面的文件决定
2. /etc/login.defs
中文为个人注释
[root@root ~]# cat /etc/login.defs
# 创建邮箱路径
MAIL_DIR        /var/spool/mail
#MAIL_FILE      .mail

# Password aging controls:
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   99999    #密码有效期,单位为天
PASS_MIN_DAYS   0        #是否可修改密码,0-可修改,非0表示多少天后才可修改,修改密码后必须等待当前配置天数才可修改
PASS_MIN_LEN    5        # (已废弃)密码长度
PASS_WARN_AGE   7        # 密码失效前通知用户密码快要失效去修改密码的天数

#
# Min/max values for automatic uid selection in useradd
#
UID_MIN                  1000    # 添加用户初始uid
UID_MAX                 60000    # 添加用户最大uid
# System accounts
# 伪用户,lnuix内部系统创建的用于启动各项服务,为这些预留的范围
SYS_UID_MIN               201 
SYS_UID_MAX               999

#
# Min/max values for automatic gid selection in groupadd
# 添加用户组是自动gid选择的值
GID_MIN                  1000
GID_MAX                 60000
# System accounts
# lnuix内部系统添加用户组时自动gid选择的值
SYS_GID_MIN               201
SYS_GID_MAX               999

#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD    /usr/sbin/userdel_local

#
# If useradd should create home directories for users by default
# On RH systems, we do. This option is overridden with the -m flag on
# useradd command line.
# 
CREATE_HOME     yes  # 是否自动为用户创建主目录  默认创建

# The permission mask is initialized to this value. If not specified,
# the permission mask will be initialized to 022.
UMASK           077  # 权限掩码077   所以用户主目录默认权限为 700

# This enables userdel to remove user groups if no members exist.
#
USERGROUPS_ENAB yes # 在不存在成员的情况下删除用户组

# Use SHA512 to encrypt password.
ENCRYPT_METHOD SHA512  # 指定用户密码使用的加密算法

参考: 权限掩码

删除用户
userdel -r 用户名
  -r 删除用户关联文件
修改用户
usermod 选项 用户名
 选项值与useradd一样
用户密码管理

添加了用户以后,如果没有设置密码,那么这个用户是处于锁定状态无法正常使用。
如果是ROOT用户可以修改当前系统所有人的密码,所以可以选择用户名

对账户密码的操作:
passwd 选项 用户名
 -l 禁用账号
 -u 解锁账号
 -d 账号无口令
 --stdin 批量修改密码,可以使用管道符去设置密码

设置密码:
passwd 用户名

[root@root ~]#  echo '123456' | passwd --stdin user1

如果只是普通用户则只能设置自己的密码

普通用户需要设置比较复杂的密码,一般长度需要超过8位
passwd 

要求用户第一次登陆的时候必须要修改密码

change -d 0 用户名
切换用户
 - 的作用切换用户时,彻底改变用户的环境变量配置,不加 - 切换用户环境变量中还会有一些切换之前的用户配置
su - 用户名

用户组相关操作

每一个用户都会有一个初始组,也可以没有附加组或者多个附加组。用户组的管理操作有添加、删除,实际上就是对 /etc/group 文件进行修改

添加用户组
groupadd 组名
删除用户组
删除初始组的时候必须要把所有初始用户删除后才可以删除
groupdel 组名
用户组- 添加/删除用户
gpasswd 选项 用户名 组名
  -a 用户名   把用户加入用户组
  -d 用户名   把用户从用户组删除

gpasswd -a user1 group1
gpasswd -d user1 group1
切换用户组
newgrp 组名    -- 所切换组名必须是当前用户的初始组或附加组

相关系统文件

1. /etc/passwd

该文件中的单个用户的示例 如:root:x:0:0:root:/root:/bin/bash,根据:隔开有七个字段,分别代表

用户名:口令:用户标识号:组标识号:注释性描述:用户主目录:命令解释程序(shell)

(1)用户名:用于区分不同的用户。在同一系统中注册名是惟一的。在很多系统上,该字段被限制在8个字符(字母或数字)的长度之内;并且要注意,通常在Linux系统中对字母大小写是敏感的。这与MSDOS/Windows是不一样的。

(2)口令(passwd):系统用口令来验证用户的合法性。超级用户root或某些高级用户可以使用系统命令passwd来更改系统中所有用户的口令,普通用户也可以在登录系统后使用passwd命令来更改自己的口令。

    现在的Unix/Linux系统中,口令不再直接保存在passwd文件中,通常将passwd文件中的口令字段使用一个“x”来代替,将/etc /shadow作为真正的口令文件,用于保存包括个人口令在内的数据。当然shadow文件是不能被普通用户读取的,只有超级用户才有权读取。

    此外,需要注意的是,如果passwd字段中的第一个字符是“*”的话,那么,就表示该账号被查封了,系统不允许持有该账号的用户登录。

(3)用户标识号(UID):UID是一个数值,是Linux系统中惟一的用户标识,用于区别不同的用户。在系统内部管理进程和文件保护时使用 UID字段。在Linux系统中,注册名和UID都可以用于标识用户,只不过对于系统来说UID更为重要;而对于用户来说注册名使用起来更方便。在某些特 定目的下,系统中可以存在多个拥有不同注册名、但UID相同的用户,事实上,这些使用不同注册名的用户实际上是同一个用户。

(4)组标识号(GID):这是当前用户的缺省工作组标识。具有相似属性的多个用户可以被分配到同一个组内,每个组都有自己的组名,且以自己的组标 识号相区分。像UID一样,用户的组标识号也存放在passwd文件中。在现代的Unix/Linux中,每个用户可以同时属于多个组。除了在 passwd文件中指定其归属的基本组之外,还在/etc/group文件中指明一个组所包含用户。

(5)注释性描述:包含有关用户的一些信息,如用户的真实姓名、办公室地址、联系电话等。在Linux系统中,mail和finger等程序利用这些信息来标识系统的用户。

(6)用户主目录(home_directory):该字段定义了个人用户的主目录,当用户登录后,他的Shell将把该目录作为用户的工作目录。 在Unix/Linux系统中,超级用户root的工作目录为/root;而其它个人用户在/home目录下均有自己独立的工作环境,系统在该目录下为每 个用户配置了自己的主目录。个人用户的文件都放置在各自的主目录下。

(7)命令解释程序(Shell):Shell是当用户登录系统时运行的程序名称,通常是一个Shell程序的全路径名

2. /etc/shadow
用户名:加密密码:最后一次修改时间:最小修改时间间隔:密码有效期:密码需要变更前的警告天数:密码过期后的宽限时间:账号失效时间:保留字段

(1)用户名:同 /etc/passwd 文件的用户名有相同的含义。

(2)加密密码:这里保存的是真正加密的密码。目前 Linux 的密码采用的是 SHA512 散列加密算法,原来采用的是 MD5 或 DES 加密算法。SHA512 散列加密算法的加密等级更高,也更加安全。
注意,这串密码产生的乱码不能手工修改,如果手工修改,系统将无法识别密码,导致密码失效。很多软件透过这个功能,在密码串前加上 "!"、"*" 或 "x" 使密码暂时失效。
    所有伪用户的密码都是 "!!" 或 "*",代表没有密码是不能登录的。当然,新创建的用户如果不设定密码,那么它的密码项也是 "!!",代表这个用户没有密码,不能登录。

(3)最后一次修改时间:此字段表示最后一次修改密码的时间,可是,为什么 root 用户显示的是 18450呢?
    这是因为,Linux 计算日期的时间是以 1970 年 1 月 1 日作为 1 不断累加得到的时间,到 1971 年 1 月 1 日,则为 366 天。这里显示 15775 天,也就是说,此 root 账号在 1970 年 1 月 1 日之后的第 18450天修改的 root 用户密码。

那么,到底 18450代表的是哪一天呢?可以使用如下命令进行换算:
[root@localhost ~]# date -d "1970-01-01 18450 days"
Tue Jul 7 00:00:00 CST 2020
可以看到,通过以上命令,即可将其换算为我们习惯的系统日期。

(4)最小修改时间间隔:最小修改间隔时间,也就是说,该字段规定了从第 3 字段(最后一次修改密码的日期)起,多长时间之内不能修改密码。如果是 0,则密码可以随时修改;如果是 10,则代表密码修改后 10 天之内不能再次修改密码。
此字段是为了针对某些人频繁更改账户密码而设计的。

(5)密码有效期:经常变更密码是个好习惯,为了强制要求用户变更密码,这个字段可以指定距离第 3 字段(最后一次更改密码)多长时间内需要再次变更密码,否则该账户密码进行过期阶段。
该字段的默认值为 99999,也就是 273 年,可认为是永久生效。如果改为 90,则表示密码被修改 90 天之后必须再次修改,否则该用户即将过期。管理服务器时,通过这个字段强制用户定期修改密码。

(6)密码需要变更前的警告天数:与第 5 字段相比较,当账户密码有效期快到时,系统会发出警告信息给此账户,提醒用户 "再过 n 天你的密码就要过期了,请尽快重新设置你的密码!"。

(7)密码过期后的宽限天数:也称为“口令失效日”,简单理解就是,在密码过期后,用户如果还是没有修改密码,则在此字段规定的宽限天数内,用户还是可以登录系统的;如果过了宽限天数,系统将不再让此账户登陆,也不会提示账户过期,是完全禁用。

比如说,此字段规定的宽限天数是 10,则代表密码过期 10 天后失效;如果是 0,则代表密码过期后立即失效;如果是 -1,则代表密码永远不会失效。

(8)账号失效时间:同第 3 个字段一样,使用自 1970 年 1 月 1 日以来的总天数作为账户的失效时间。该字段表示,账号在此字段规定的时间之外,不论你的密码是否过期,都将无法使用!
该字段通常被使用在具有收费服务的系统中。

(9)保留:这个字段目前没有使用,等待新功能的加入。

3. /etc/group
组名:口令:组标识号:组内用户列表

(1)组名:组名是用户组的名称,由字母或数字构成。与/etc/passwd中的登录名一样,组名不应重复。

(2)口令:口令字段存放的是用户组加密后的口令字。一般Linux系统的用户组都没有口令,即这个字段一般为空,或者是*。

(3)组标识号: 组标识号与用户标识号类似,也是一个整数,被系统内部用来标识组。别称GID.

(4)组内用户列表:是属于这个组的所有用户的列表,不同用户之间用逗号(,)分隔。这个用户组可能是用户的主组,也可能是附加组。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,793评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,567评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,342评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,825评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,814评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,680评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,033评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,687评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,175评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,668评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,775评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,419评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,020评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,206评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,092评论 2 351
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,510评论 2 343