第8章+用户和组管理

Linux配置与管理教程用户和组管理Linux配置与管理教程目录用户和组群概述1组群账户管理2用户和组群常用维护命令3手动新增用户4磁盘配额58.1用户和组群概述8.1.1 Linux用户账户概述8.1.2 Linux用户账户配置文件8.1.3 图形界面下用户账户的设置8.1.4 字符面下用户账户的设置8.1.1Linux用户账户概述Linux系统中是分角色的，不同角色权限和所能完成的任务也不同。用户的角色是通过UID（用户ID号）来标识的，每个用户的UID都是唯一的。在Linux系统中，主要有root用户、普通用户和系统用户三类用户。1）root用户root用户也称之为根用户，具有系统中的最高权限，所以也称为超级用户。在Linux操作系统中的每一个文件、目录和进程都归属于某一个用户，没有其拥有者许可，其他普通用户是没有权限来操作的，但对root用户除外。root用户的特权性还表现在可以超越任何用户和组群对文件或目录进行读取、修改和删除；可以对硬件设备执行添加、创建和移除等操作；也可以对文件和目录的属性和权限进行修改，以满足系统管理的需要。2）普通用户这类用户由超级用户创建，并且可以登录系统执行某些任务。普通用户是受限用户，只能操作其权限范围内的文件和目录，并且只能管理由自己启动的进程，不能结束由其他用户发起的进程。3）系统用户也称为虚拟用户、伪用户或假用户，这类用户不具有登录系统的能力，但却是系统运行不可缺少的用户，如mail、ftp、bin用户等等。8.1.2Linux用户账户配置文件用户管理主要通过修改用户配置文件完成，用户管理工具的最终目的也是为了修改用户配置文件。与用户管理相关的主要配置文件有：/etc/passwd文件/etc/shadow文件1./etc/passwd文件1）/etc/passwd文件内容在/etc/passwd文件中，每一行表示一个用户账户的信息，每一行有7段，每段之间用“：”分隔开。/etc/passwd文件中各字段的含义字段含义用户名即登录名，在系统内用户名应该具有唯一性。如rjxy就是用户名密码加密的密码，文件中看到的是x，真实密码被映射到/etc/shadow文件中用户标识号即UID，系统内用一个整数来标志UID，每个用户的UID都是唯一的，root用户的UID是0，普通用户的UID从500开始，如rjxy就是一个普通用户。组群标识号即GID，系统内用一个整数来标志用户所属组群的GID，每个组群的GID都是唯一的用户名全称用户名描述，可以不设置。本例中rjxy用户的全称也是“rjxy”用户宿主目录用户登录系统后首先进入的目录，如rjxy用户的宿主目录是/home/rjxy用户shell用户使用的shell类型2）用户UID概述UID是用户的ID值，在系统中每一个用户的UID应该是唯一的。系统用户的UID值是0或一个正整数，最大值可以在/etc/login.defs文件中查到：2./etc/shadow文件/etc/shadow文件是/etc/passwd的影子文件，两

个文件对应互补。/etc/shadow中包括用户及被加密的密码和其他/etc/passwd文件没有的信息，如用户的有效期限等。/etc/shadow文件只有root用户可以读取和操作，/etc/shadow文件的权限不能随便更改为其他用户可读，如果发现文件权限有所更改，应立即检查，以防出现安全问题。/etc/shadow文件中，同样是每一行表示一个用户的信息，每一行有9段，每个段之间用“：”分隔开，文件的内容如图所示。/etc/shadow文件中各字段的含义字段含义用户名这里的用户名和/etc/passwd中的用户名是相同的密码加密的真实密码，如果有用户此栏显示的是“！！”或者最前面有“！”，则表示该用户不能登录到系统上次修改密码的时间从1970年1月1日算起到到最近一次修改密码的天数两次修改密码间隔最少的天数用户可以更改密码的天数，如果设置为0，表示禁用此功能两次修改密码间隔最多的天数用户必须更改密码的天数，如果设置为0，表示禁用此功能提前多少天警告用户密码将过期系统提前多少天提醒用户密码将要过期密码过期之后多少天禁用此用户密码过期多少天后，系统会禁用此用户，即系统不允许用户再登录用户过期的日期从1970年1月1日算起，用户账户过期的天数，如果字段为空，表示账户永久可用保留字段将来Linux会使用，目前为空8.1.3图形界面下用户账户的设置Redhat提供了图形化的用户与组群管理工具，管理员可以通过图形界面下的用户管理器来创建、修改和删除本地用户和组群。要使用用户管理器，必须以管理员身份登录图形界面。要从桌面启动用户管理器，可以单击面板上的“系统”→“管理”→“用户和组群”，或者在终端中输入“system-config-users”命令，就会出现用户管理器界面。单击“用户”标签即可查看系统本地用户的列表，单击“组群”标签即可查看本地组群的列表。默认情况下，管理器窗口中只显示所有的普通用户，并不显示超级用户即系统用户的信息，如果需要显示所有的用户，则需要单击“编辑”→“首选项”→“用户和组群列表”，取消选择“隐藏系统用户和组”即可。1.创建用户账户单击用户管理器中的“添加用户”按钮，依次添加用户名、全称（可以忽略）、密码、确认密码即可，密码必须包含6个以上的字符。默认用户的登录shell是/bin/bash，如果需要，可以单击右侧的下拉箭头对用户的登录shell进行修改。此外也可以对新用户的主目录（宿主目录）和用户ID进行手工设置。用户管理器和添加用户界面如后图所示，设置完毕单击“确定”按钮即可创建新用户。2.修改用户属性添加用户之后选定用户，单击“属性”，即弹出“用户属性”面板。“用户属性”窗口被分隔成多个带标签的活动页：用户数据：显示添加用户时配置的基本用户信息。账户信息：可以通过“启用账户过期”设置账户的过期时间，也可以通过“用户账户已被锁”来锁定账户信息，一旦锁定，用户就无法在系统登录。密码信息：该标签显示用户密码最后一次修改的日期。同时也可以设置密码过期时间等信息。组群：选择让用户加入的组群及用户的主要组群。3.删除用户如果想要删除用户，只需要选定用户，单击“删除”按钮即可。8.1.4字符面下用户账户的设置创建用户账户修改用户账户删除用户账户1.创建用户账户创建用户账户就是在系统中创建一个新账户，然后为账户分配UID、GID、宿主目录和登录shell等资源。新创建的用户是被锁定的，无法使用，需要使用passwd命令设置密码后才能使用。创建用户账户实质上就是在/etc/passwd文件中为新用户增加一条记录，同时更新/etc/shadow和/etc/group等其他系统文件。【语法】选项说明-u： 指定用户的UID，一般情况下，用户的UID是唯一值，如果加上“-o”选项，则可以给不同用户设置相同的UID。UID的数值只能是0或者正整数。-d： 指定账户登录时所使用的宿主目录。-s： 设置用户登录后使用的shell类型。-g： 设置用户的属组，即用户所属的主组群。设置时可以用组群的名称或者组群的GID。属组的组群名和GID必须是已经存在的名称和GID。-G：设置用户属于多个组群。每个组群用“，”隔开。-m：自动建立用户宿主目录，如果不加此选项，系统默认自动建立宿主目录。-M：不建立用户宿主目录，即使/etc/login.defs配置文件设定要建立用户宿主目录。-r：此选项用于创建系统账号。2.创建用户账户使用usermod命令能修改用户所属的组群、shell类型或者用户名等信息。【语法】【选项说明】-l： 更改用户名。-s： 修改用户登录后所使用的shell类型。-u： 修改用户的UID值。-c： 修改用户的全称。-d： 修改用户登录时的宿主目录，如果加上“-m”选项，用户的旧目录会移动到新目录，如果旧目录不存在，则自动创建新目录。-e： 修改账号的有效期限，日期格式为MM/DD/YY。-f： 修改密码过期后多少天关闭该账号。-g： 修改用户的主组群。组群名和GID必须是已经存在的名称和GID。-G： 修改用户的附加组群。组群名和GID必须是已经存在的名称和GID。-L： 锁定用户密码，使密码无效，用户不能登录系统。-U： 解除密码锁定。3.删除用户账户若用户账户不再需要，可以用userdel命令删除相应的账户。【语法】【选项说明】

-r：在删除用户的同时，把用户的宿主目录以及本地邮件存储目录也一块删除。Linux配置与管理教程目录用户和组群概述1组群账户管理2用户和组群常用维护命令3手动新增用户4磁盘配额58.2组群账户管理8.2.1Linux组群账户配置文件8.2.2图形界面下组群账户的设置8.2.3字符界面下组群账户的设置8.2.4字符面下用户账户的设置8.2.1Linux组群账户配置文件具有某种共同特性的用户集合就是用户组群，同组用户可以对组群拥有的资源执行相同的操作。用户组群的配置文件主要有/etc/group和/etc/gshadow，其中/etc/gshadow是/etc/group的加密信息文件。1./etc/group文件2./etc/gshadow文件1./etc/group文件/etc/group文件是用户组群的主要配置文件，内容包括用户组群的名称、GID等信息，并且能显示出用户是归属于哪一个或者哪几个组群。1）/etc/group文件内容在/etc/group文件，每一行表示一个组群账户的信息，每一行有4段，每段之间用“：”分隔开，文件的内容如下图，文件中各字段的含义如下表所示。字段含义组群名用户组群名称。组群密码加密的密码，图中看到的是x，真实密码被映射到/etc/gshadow文件中组群标识号即GID，系统内用一个整数来标志GID，每个组群的GID都是唯一的，root组群的GID是0，普通组群的GID从500开始，如rjxy就是一个普通组群。组群成员属于这个组群的成员。2）组群GID的概述GID和UID类似，是0或者正整数。GID为0的组群是root用户组群。Linux操作系统预留499号及其以前的GID给系统用户组群使用，新创建的用户组群GID是从500开始向后累加的。可以通过/etc/login.defs文件查看GID的最大和最小值，如下图所示。2./etc/gshadow文件/etc/gshadow是/etc/group的加密文件，用户组群的管理密码就存放在这个文件中。/etc/gshadow文件中每一行记录一个用户组群信息，每一行有4段，每段之间用“：”分隔开，文件的内容如上图所示，各字段的含义见下表。字段含义组群名用户组群名称。组群密码加密的密码，如果这里显示“！”，表示该组群没有密码。组群管理者组群的管理者，有权对该组添加、删除用户。组群成员属于这个组群的成员。8.2.2图形界面下组群账户的设置在用户管理器中，单击“添加组群”按钮，即出现“添加新组群”界面，输入新组群的名称即可，同时也可以指定组群的GID值。如果要查看或修改组群的属性，可以从组群列表中选择该组群，然后单击“属性”按钮，就会出现“组群属性”界面。在“组群属性”中，可以修改组群名以及修改组群中的用户等信息。如果想要删除组群，只需要选定组群，单击“删除”按钮即可。8.2.3字符界面下组群账户的设置创建组群更改组群属性删除组群1.创建组群：groupadd命令【语法】【选项说明】 -g：指定新创建组群的GID值，除非加上“-o”选项，否则该值必须是唯一的。 -r：创建系统组群。2.更改组群属性：groupmod命令【语法】

【选项说明】 -n：设置组群名称。 -g：设置组群GID。3.删除组群：groupdel命令【语法】Linux配置与管理教程目录用户和组群概述1组群账户管理2用户和组群常用维护命令3手动新增用户4磁盘配额58.3用户和组群常用维护命令su命令passwd命令gpasswd命令id命令w命令who命令1.su命令

su命令用于切换用户账户登录操作系统。 su不加任何参数，默认切换到root用户，如果想切换到其他用户，直接在su命令后面跟上要切换的用户名即可。2.passwd命令passwd命令用于设置或修改用户的密码，任何用户都可以运行passwd，但是普通用户只能用passwd修改自己的密码，root用户可以设置和修改任何用户的密码。如果passwd命令后面不接任何选项或者用户名，表示修改当前用户的密码。【语法】

【选项说明】

-d：删除用户密码，只能以root权限操作。 -l：锁定用户的密码，使其无法登录系统。 -u：解除锁定。 -S：查询用户的密码状态。3.gpasswd命令gpasswd命令用于设置一个组群的密码，或者在组群中添加、删除用户。【语法】

【选项说明】

-a：将一个用户加入一个组群中、 -d：将一个用户从一个组群中删除。 -r：取消一个组群的密码。4.id命令显示用户的ID及所属的组群。【语法】

【选项说明】

-g： 显示用户所属主组群的GID。 -G：显示用户所属附加组群的GID。 -u： 显示用户UID。5.w命令显示当前已登录系统的用户的详细信息。【语法】

【选项说明】

-f：开启或关闭显示用户从何处登录系统。 -h：不显示标题信息列。 -l：使用详细格式列表，此项为预设值。 -s：使用简洁格式列表，不显示用户登录时间、终端机阶段作业和程序锁耗费的CPU时间。 -u：忽略执行程序的名称以及该程序耗费CPU时间的信息。6.who命令显示当前已经登录系统的用户的简单信息。【语法】

【选项说明】-H：显示标题信息列。-i：显示闲置时间。若该用户在前一分钟内有任何动作，将标示为“.”，如果该用户已超过24小时没有任何动作，则标示为“old”。-q：只显示登录系统的账户名称和总人数。-w：显示用户的信息状态栏。Linux配置与管理教程目录用户和组群概述1组群账户管理2用户和组群常用维护命令3手动新增用户4磁盘配额58.4手动新增用户除了使用图形界面和命令创建用户和组群之外，还可以通过直接修改账户配置文件的方法创建用户账户。下面以手动方法新增用户manual，具体操作过程如下。1.修改/etc/passwd，添加新用户记录2.运行pwconv，同步/etc/passwd和/etc/shadow先用cat命令查看/etc/shadow，可以看到文件中没有用户manual的信息；然后运行pwconv命令进行同步，运行之后再次查看/etc/shadow文件，可以在文件中看到用户manual的信息，如下图所示。3.修改/etc/group，添加用户组群4.运行grpconv，同步/etc/group和/etc/gshadow同步之后，可以在/etc/gshadow文件中看到组群manual的信息，如图所示。5.创建用户的宿主目录，并复制启动文件在/home下创建manual用户的宿主目录，目录的名称与用户名相同。此外，还需要把/etc/skel目录下的启动文件也复制到宿主目录中，如图所示：6.设置新增用户的密码，如图所示7.改变新增用户宿主目录的属主和权限用ls命令查看/home/manual目录，可以看到其属主是root，并且该目录下的隐藏文件也是root权限，显然新用户manual对这个宿主目录没有任何操作权限，需要使用chown和chmod命令修改该目录的属主和文件权限。修改后用ls命令再次查看，可以看到/home/manual目录的属主和属组都改为了manual，且该目录只有root和属主manual拥有所有权限，其他用户没有任何权限。8.测试新增用户是否添加成功Linux配置与管理教程目录用户和组群概述1组群账户管理2用户和组群常用维护命令3手动新增用户4磁盘配额58.5磁盘配额由于Linux操作系统是多用户多任务环境，所以通常是多个用户共用一个磁盘空间，如果其中有少数几个用户使用大量的磁盘空间，那么其他用户必将受到影响，因此管理员应该为不同用户分配合适大小的个人空间。Linux系统通过设置磁盘配额来限制用户对磁盘空间的使用，当用户使用了过多的磁盘空间时，系统管理员会接到警告。磁盘配额不仅能设置成对所用磁盘块数量的控制，还能设置成对inode节点数量的控制。由于inode节点与文件一一对应，通过控制inode节点的数量就可以达到控制此用户可创建的文件数量的目的。用户必须在Linux系统上安装quotaRPM软件包才能实现磁盘配额。配置磁盘配额实现磁盘配额需要进行如下设置：修改/etc/fstab文件，启用文件系统的配额功能；重新挂载文件系统，使修改生效；创建配额文件，重新生成磁盘用量表；使用edquota命令分配磁盘配额；启用磁盘配额1.修改/etc/fstab，启用配额功能以root身份修改/etc/fstab文件，给需要设置配额的文件系统添加上userquota和grpquota参数。2.重新挂载文件系统，使修改生效重新挂载文件系统最简单快捷的方法就是重启系统，可用init6重新启动操作系统。重启电脑后用mount命令查看文件系统是否已经成功挂载，注意查看其usrquota和grpquota选项是否已经生效：3.创建配额文件重新挂载文件系统后，需要用quotacheck命令