《Linux 标准学习教程》课件第6讲 用户和用户组1

1、第6讲 用户和组管理用户和组管理1 用户和组文件2 用户账号维护3 组账号维护4 口令维护5 用户和组状态信息6 使用Red Hat用户管理器管理用户和组企业需求公司有5个员工，每个人工作内容不同。然而他们中有些人有相同的权限。 需要为每个人创建不同的帐号 还需要把有类似功能的用户放在一个组中 每个用户有自己的特定信息，需要可以自己设置密码 给用户和部门要限制空间的使用任务为每个用户创建一个帐号 把有共同点的用户放在同一组中。 设置每个用户的信息，同时要求用户第一次登录时，要修改密码 用户磁盘限额管理 用户组磁盘限额管理1 用户和组文件用户账号文件/etc/passwd用户口令文件/etc/s

2、hadow用户组账号文件/etc/group组口令文件/etc/gshadow与用户管理相关的文件或目录用户分类（以UID划分）/etc/passwd# head /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/sy

3、ncshutdown:x:5:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinnews:x:9:13:news:/etc/news:格式：account:passwd:UID:GID:GECOS:directory:shellGECOS:用于说明用户信息，通常是全名等内容/etc/shadow# head /etc/shadowroot:$1$twCbv/ae$Je5In1M/m.JSvUdGYx9cV/:13530:0:99

4、999:7:bin:*:13530:0:99999:7:daemon:*:13530:0:99999:7:adm:*:13530:0:99999:7:lp:*:13530:0:99999:7:sync:*:13530:0:99999:7:格式：每行是用户的信息，用“：”分隔，口令经过加密account :passwd:last:may:must:warn:expire:reservedlast:上次修改的时间，从1970.1.1开始may:可以更改的时间，0是禁用must:必须更改的时间/etc/group# head /etc/grouproot:x:0:rootbin:x:1:root,b

5、in,daemondaemon:x:2:root,bin,daemonsys:x:3:root,bin,admadm:x:4:root,adm,daemontty:x:5:disk:x:5:rootlp:x:7:daemon,lpmem:x:8:kmem:x:9:所有用户对group可读,每行表示一个用户组的信息格式：group_name passwd GID user_list/etc/gshadow# head /etc/gshadowroot:rootbin:root,bin,daemondaemon:root,bin,daemonsys:root,bin,admadm:root,adm

6、,daemontty:disk:rootlp:daemon,lpmem:kmem:格式：group_name:encrypted passwd:group administrators:group members与用户管理相关的文件或目录创建新用户默认配置文件/etc/login.defs（P142新建用户时一些默认设置）定义用户的邮件目录位置定义口令的期限、长度、及到期警告提示定义用户及组的ID范围，是否创建用户家目录/etc/default/useradd定义使用useradd命令增加用户时的缺省设置/etc/default/useraddGROUP=100 默认组ID是100,在禁止默认

7、的私有组时有用HOME=/home 用户主目录顶层目录INACTIVE=-1 当口令到期后，帐号变成非激活，-1表示永远激活EXPIRE =MM/DD/YY 帐号将被禁止的时间（即过期时间）SHELL=/bin/bash新增用户所使用的shell注：INACTIVE和EXPIRE两项要确保系统使用shadow口令用户分类（以UID划分）root：管理员uid,gid=0普通用户uid500，60000伪用户(pseudo user)：无shell (uid:1-500)bin、syslpmail.伪用户通常由系统安装时自动建立的，可根据安全需要适当禁止。2 用户账号维护useradd(或者ad

8、duser)创建新用户或者更新缺省新用户的信息常用参数u：uidg：groupd：dir（用户目录）s：shellc：附加信息e：登录失效时间M：不建立用户目录usermod修改用户账号userdel删除用户账号，释放用户文件。使用命令工具管理用户使用命令工具管理用户 增加帐号： #useradd d 工作目录 帐户名 #useradd u 用户ID 帐户名 #useradd e MM/DD/YY 帐户名 #useradd g 用户组ID 帐户名 #useradd s 用户环境 帐户名 a、useradd添加用户账号：useradd 设置用户口令：passwd 使用useradd添加用户后，必

9、须使用passwd设置用户密码，才能使用该账号登录，否则禁止登录示例（演示）useradd user01passwd user01tail/less -1 /etc/passwd Tail/less -1 /etc/shadow通过修改passwd和shadows配置文件增加用户useradd -D显示useradd命令的默认值格式：useradd D功能：显示或设置useradd命令使用的默认值示例：#useradd DGROUP=100 HOME=/home INACTIVE=-1 EXPIRE =MM/DD/YYSHELL=/bin/bashSKEL=/etc/skeluseradd命令

10、的默认值保存在“/etc/default/useradd”中修改useradd命令的默认值格式：useradd D -g group -b base -s shell -f inactive -e expire功能：显示或设置useradd命令使用的默认值示例：设置useradd命令使用的shell默认值为“/bin/csh”#useradd D s /bin/csh# useradd D GROUP=100 HOME=/home INACTIVE=-1 EXPIRE =MM/DD/YYSHELL=/bin/cshSKEL=/etc/skelb、usermod功能：设置和修改已有用户账号的属性

11、，包括用户宿主目录、私有组、登录shell等内容改变用户账号名：usermod l #usermod l user03 user01#less/tail -1 /etc/passwd锁定用户账号(锁定符号“！”)usermod L # usermod L user03 #less/tail -1 /etc/shadow 解锁用户账号usermod U 手工修改用户账号usermod l uu1 d /home/uu1 g gg1 u1将用户u1的登录名改为uu1，加入到gg1组中，用户目录改为uu1注意: 1. 被修改后的家目录必须事先存在 2. 修改后要确认并更改家目录的权限usermod

12、G softgroup ycb将用户ycb添加到softgroup标准组中usermod u UID username修改用户ID 注：在用户宿主目录中所有文件自动修改所属ID为新ID，而目录外的文件不会自动修改usermod d newdir username修改用户宿主目录usermod s newshell username修改用户默认shellusermod e MM/DD/YY username修改帐号截止日期C、userdeluserdel userdel -r userdel格式：userdel -r 删除用户账号：#grep user01 /etc/passwd (查询user

13、01是否存在)#userdel user01 (删除user01)#grep user01 /etc/passwd (再次查询已不在)#ll d /home/user01 (用户宿主目录并没删除)删除用户账号同时删除用户宿主目录#userdel r user01 (删除user01,同时删除其宿主目录)# ll d /home/user01 (用户宿主目录已删除)分析userdel r 的过程从账户文件中移去用户表项删除用户宿主目录3 组账号维护组及分类组是若干个用户的逻辑集合。分为私有组和标准组 私有组当在创建一个新用户user时，若没有指定他所属于的组，系统就建立一个和该用户同名的私有组。

14、标准组 标准组可以容纳多个用户，若使用标准组，在创建一个新的用户时就应该指定他所属于的组。 groupadd 添加组账号groupmod修改用户组账号属性groupdel删除组用户账号A、groupadd(添加组账号)添加组账号（GID500）#groupadd -g GID #groupadd mygroup g GID (建立组账号)#grep mygroup /etc/group （查询组账号）mygroup:x:502建立系统组账号（GID500）#groupadd r -g GID#groupadd r sysgroup (建立系统组账号)#grep sysgroup /etc/gr

15、oup （查询系统组账号）sysgroup:x:11再如：#groupadd g 888 group2创建一个组group2，其GID为888B、groupmod(修改用户组账号属性)改变组账号名 (GID不变)#groupmod -n #groupmod n newgroup mygroup (组账号改为newgroup)#grep newgroup /etc/group （查询newgroup组账号）newgroup:x:502改变组账号的GID（组账号名 不变）#groupmod g #groupmod g 503 mygroup (组账号GID改为503)#grep mygroup /

16、etc/group （查询组账号）mygroup:x:503C、groupdel(删除用户组账号)删除组账号名 #groupdel 删除指定的组账号，该组账号必须存在而且不能作为私有组被用户账号引用。示例#grep mygroup /etc/groupmygroup:x:502#useradd g mygroup myuser#groupdel mygroupgroupdel : cannot remove users primary group#userdel myuser (先删除该组下的用户)#groupdel mygroup(再删除组账号)4、 口令维护passwd 用于维护用户账号g

17、passwd用于维护组账号passwd修改帐号： #passwd n 至少间隔天数 帐户名 #passwd x 最大天数 帐户名 #passwd w 预警天数 帐户名 #passwd d 帐户名 #passwd l 帐户名 #passwd u 帐户名 passwd 维护用户账号口令设置指定用户的口令：#passwd 用户账号名#passwd user01 (设置用户user01的口令，输入两次)#passwd (修改当前用户自己口令，输入两次)查询用户口令状态：#passwd S #passwd S user01 (查询user01口令状态，root可用)锁定用户账号：#passwd l #p

18、asswd l user01 (锁定user01账号的口令，root可用)解锁用户账号：#passwd u #passwd u user01 (解锁user01账号，root可用)删除用户账号口令：#passwd d #passwd d user01(删除user01账号口令，使用户不能登录，root可用)gpasswd 维护组账号添加用户到组#gpasswd a 将指定用户账号添加到指定的用户组中。组管理员有权执行#groups myuser (显示用户属于哪个组myuser ：mygroup)#gpasswd a myuser bin (将myuser用户添加到bin组)#groups myuser(显示myuser ：mygroup bin）从组中删除用户#gpasswd d # gpasswd d myuser bin #groups myuser (显示用户属于哪个组myuser ：mygroup)设置用户为组管理员#gpasswd A # gpasswd