第10章linux用户管理

第10章用户管理本章学习目标用户管理是系统管理的重要内容之一。本章要熟悉掌握Linux系统的用户管理概念、方式、命令以及图形化管理等。主要内容理解用户帐户概念理解超级用户root了解Linux用户管理方式及其组织形式学会使用常用用户管理命令学会使用“用户管理器来管理用户”10.1用户账户用户账户：用户名Username用户IDUID组IDGID口令password全名fullname主目录homedirectory登陆shell10.2root账户命令说明suroot普通用户使用这个命令后将作为超级用户登录到根用户帐户；超级用户使用[CTRL]-[D]键可以回到他原来的登录状态passwdoptionsfilename修改命令参数指定的登录名的口令字initstate改变系统的运行状态lilooptionsConfigfile重新安装Linux操作系统的加载程序shutdownoptionstime关闭系统，类似于按下（CTRL-ALT-DEL）重启组合键date设置系统的日期和时间系统管理员，超级用户。常用操作命令：10.3管理用户和组群设置新帐户的文件、配置文件和子目录/home用户自己的登录子目录所在的位置/etc/skel为登录shell保存着缺省的初始化文件，比如：.bash-profile和.cshrc等/etc/shells保存着登录shell，比如BASH和TCSH等/etc/passwd为用户保存着它的口令信息/etc/group保存着用户所属的用户组信息/etc/shadow/etc/gshadow10.3.1/etc/passwd文件“口令文件”每一个设置项占用一行的位置，由分号分隔为几个组成部分：Username用户的登录名Password用户帐户的加密口令字UserID由系统分配的唯一的编号groupID用来确定用户所属用户组的编号Comment关于该用户任意的资料，比如该用户的全名等homedirectory用户的登录子目录loginshell用户登录上机后运行的shell；此处出现的是缺省的shell，大多数情况下是/bin/bash10.3.1/etc/passwd文件10.3.2/etc/shadow文件由于普通用户可以读取/etc/passwd文件，因此密码直接保存在该文件中是极不安全的，很可能会被别有用心的人获取并破译。目前的操作系统在密码保护方面大多采用了ShadowPasswords及MD5口令保护功能。ShadowPasswords技术，即影子密码，是将加密的口令放在了另一个文件/etc/shadow中，并且对/etc/shadow文件设置严格的权限，只有根用户可以读取该文件。10.3.2/etc/shadow文件10.3.3/etc/login.defs文件/etc/login.defs文件中存储的是用户的缺省设置。useradd命令和【UserManager】窗口都是通过读取该文件来获得新账户的默认值。可以使用带“-D”选项的useradd命令修改这些值，也可以直接手工编辑该文件。10.3.3/etc/login.defs文件10.3.4/etc/group文件用户组文件位于/etc/group，其中存放用户组的账号信息。用户组的添加、删除、和修改实际上就是对该文件的的更新。10.3.5/etc/gshadow文件用户组密码的保护机制与用户密码的保护机制一样采用了ShadowPassword技术。加密后的用户组密码信息保存在了/etc/gshadow文件中。gshadow文件只有root用户可以读取，文件中每行定义一个用户组的信息，行中各字段用“:”分隔。10.4命令行配置创建新用户useradd设置和修改用户口令passwd修改用户信息usermod新建组群groupadd删除用户userdel删除组群groupdel用户间切换su查看当前在线用户who10.4命令行配置命令说明adduserusername添加一个新用户，使用初始化文件建立一个口令文件的数据项和登录子目录；使用passwd命令为用户建立一个口令useraddusernameoptions向系统添加新用户usermodusernameoptions修改用户的设置值userdel–rusername从系统里删除用户用户管理组命令说明groupadd建立一个新用户组groupdel清除一个用户组groupmodoptions修改一个用户组用户和用户组管理用命令：10.4.1增加用户useradd格式：#useraddusername-guser-group-name-uuser-ID选项描述-ccomment用户的注释。-dhome-dir用来取代默认的/home/username主目录。-edate禁用账号的日期，格式为：YYYY-MM-DD-fdays口令过期后，账号禁用前的天数（若指定了0，账号在口令过期后会被立刻禁用。若指定了-1，口令过期后，账号将不会被禁用）。-ggroup-name用户默认组群的组群名或组群号码（该组群在指定前必须存在）。-Ggroup-list用户是其中成员的额外组群名或组群号码（默认以外的）列表，用逗号分隔（组群在指定前必须存在）。-m若主目录不存在则创建它。-M不要创建主目录。-n不要为用户创建用户私人组群。-r创建一个UID小于500的不带主目录的系统账号。-ppassword使用crypt加密的口令。-s用户的登录shell，默认为/bin/bash。-uuid用户的UID，它必须是独特的，且大于499。10.4.1创建新用户useradd格式：#useradd[选项]用户名10.4.2设置和修改用户口令passwd格式：#passwd[用户名]不采用类似windows的密码回显新建用户需给该用户设置口令，否则无法使用该用户名登录。10.4.2设置和修改用户口令passwd10.4.2设置和修改用户口令passwd10.4.3修改用户信息usermod格式：#usermod[选项][用户名]常用选项意义-d更新使用者新的登录目录-e设置使用者帐号停止日期，日期格式为MM/DD/YY-f帐号过期几日后永久停权。当值为0时帐号则立刻被停权。而当值为-1时则关闭此功能。预设值为-1-g更新使用者新的起始登入群组-G定义使用者为一堆groups的成员。每个群组使用??区格开来，不可以夹杂空白字-l变更用户登录时的名称，同时使用者目录名也会跟着更动成新的名称-s指定新登入shel-u用户ID值，必须为唯一的ID值用户目录树下所有的文档目录其userID会自动改变。放在用户目录外的文档则要自行手动更动10.4.3修改用户信息usermod10.4.4删除用户userdel当不允许用户再次登录本系统时，可以将该用户从系统中删除。准备删除的用户如果已经登录，则必须退出系统才能删除。与添加用户的操作相反，删除用户时系统需要修改/etc/passwd、/etc/shadow、/etc/group文件中的对应条目，还需删除用户的主目录及所属文件。userdel格式：#userdel[选项]用户名-r：将用户目录下的文档一并删除。在其他位置上的文档也将一一找出并删除。允许移除正在线上的用户帐号，必须先杀掉用户在系统上运行的程序才能进行帐号删除。10.4.4用户临时禁用如果不想删除用户，只是临时禁止该用户登录系统，可以通过对/etc/password或/etc/shadow文件的修改来实现。例如，可以直接修改/etc/password文件中希望禁用的用户记录行，在该用户行的行首添加“#”。也可以修改/etc/shadow文件中的密码字段，在希望禁用的用户所对应密码字段前添加“*”或“!”。如果想重新启用该账户，只需恢复上面所做的操作。10.4.5批量添加用户newusers有时需要一次性创建大量用户账号，例如新学期开学或成立新的部门。如果仍采用useradd命令逐一创建不仅浪费时间而且在录入期间也很可能产生错误。通常在此情况下利用脚本程序可以完成批量用户的添加和修改。10.4.5批量添加用户newusers10.4.6新建组群groupadd格式：#groupadd[选项][用户组名]-g：GID值。除非使用-o参数不然该值必须是唯一，不可相同，数值不可为负。GID值预设为最小不得小于500而逐次增加。0~499传统上是保留给系统帐号使用。-f：新增一个已经存在的群组帐号，系统会出现错误讯息然后结束groupadd。选项描述-ggid组群的GID，它必须是独特的，且大于499。-r创建小于500的系统组群。-f若组群已存在，退出并显示错误（组群不会被改变）。如果指定了-g和-f选项，而组群已存在，-g选项就会被忽略。10.4.6新建组群groupadd10.4.7修改组群groupmod修改用户组属性的命令是groupmod，其命令格式如下：groupmod[-gGID[-o]][-nnewgroupname]groupgroupmod命令会参照命令行上指定的选项对用户组属性进行修改。10.4.8删除用户组groupdel在创建用户账号时，系统会自动创建该账号所属的用户组。但在删除用户账号时，用户组不会自动删除。如果希望删除的用户组中仍有用户登录系统，则无法删除该用户组。必须等该用户组的所有用户退出系统才能正常删除。groupdel格式：#groupdel组名如果有任何一个组内的用户在线上的话就不能移除该用户组，需要先移出该用户，然后再删除该用户组。10.4.9用户间切换su格式：#su[用户名]常用来变成根用户或超级用户，如果发出不带用户名的su命令，则系统提示输入根口令，输入之后则可切换为根用户。根用户登录，可以用su命令成为系统上任何用户而不需要口令。切换完成之后就可以用exit命令返回到原用户10.4.10创建用户共享目录10.4.11口令老化格式：#chage[选项]username选项描述-mdays指定用户必须改变口令所间隔的最少天数。如果值为0,，口令就不会过期。-Mdays指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期，用户在使用该账号前就必须改变口令。-ddays指定自从1970年1月1日起，口令被改变的天数。-Idays指定口令过期后，账号被锁前不活跃的天数。如果值为0，账号在口令过期后就不会被锁。-Edate指定账号被锁的日期，日期格式为YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。-Wdays指定口令过期前要警告用户的天数。10.4.12管理账号的常用命令账号管理的常用命令如下：id命令：用于显示用户当前的uid、gid和用户所属的组列表。whoami命令：用于显示当前用户的名称。groups命令：用于显示指定用户所属的用户组。如果未指定用户则显示当前用户所属的组newgrp命令：登陆到新的用户组中。finger命令：用于查找并显示用户信息。who命令：显示当前登录用户的用户名、登录终端、登录时间以及登录地址。w命令：用于显示当前登录的所有用户的信息。cnfn命令：修改用户的基本信息。执行该命令系统会进入交互式，依次询问用户的真实姓名、办公室住址、办公电话和家庭电话。write命令：使用write命令，可以将信息实时传递给登录的用户或终端。添加新用户和组群•添加新用户：–低于500的用户ID保留给系统用户•添加新组群：–低于500的组群ID保留给系统组群10.5用户管理器配置10.5用户管理器配置添加用户10.5用户管理器配置修改用户【用户数据】—显示在你添加用户时配置的基本用户信息。使用这个标签来改变用户的全称、口令、主目录或登录shell。【账号信息】—如果你想让账号到达某一固定日期时过期，选择【启动帐户过期】。在提供的字段内输入日期。选择【用