Linux用户、用户组

用户管理命令：

首先要先知道两个配置文件：
/etc/group 用户组配置文件
/etc/passwd 保存了所有用户的用于读取的必要信息
**/etc/shadow **是 Linux 系统中用于存储用户密码信息的文件。这个文件也被称为“影子文件”，因为它包含了 /etc/passwd 文件中用户账号的加密密码。与 /etc/passwd 文件不同，/etc/shadow 文件通常只有 root 用户和具有特殊权限的用户才能访问，从而增强了系统的安全性。

在添加用户之前，应该先查看一下当前系统下已经存在的用户情况。Linux系统的所有用户都在系统文件/etc/passwd文件中存放，在命令行窗口中运行如下命令
cat /etc/passwd 查看用户列表下面是一些用户（一行表示一个用户，每个字段之间用“：”分隔）

/etc/passwd配置文件字段及说明:
举例：
root:x:0:0:root:/root:/bin/bash
cg:x:1000:1000:vm1:/home/cg:/bin/bash

字段1	用户名
字段2	密码占位符(早先时间真的保存了用户密码，后来随着安全提升，就放到/etc/shadow，但是字段保留了。)
字段3	用户的UID 0表示超级用户,500 60000普通用户，(换句话说，如果把某个普通用户的UID修改为0，则该用户就变成了管理员账户。)UID从1到499是系统预留的系统用户，也称伪用户，不能用于登录。可以看到在CentOS 7中，普通用户的UID是从1000开始进行分配的。 1-499程序用户（启动一个程序的时候需要依托一个用户的权限来启动,如果没有这些程序用户的话，比如说用root份启动了一个apache服务。如果这个服务有漏洞,或者说被注入恶意代码,那么恶意代码就会以root身份运行，因此启动不同程序的时候使用的都是程序用户的身份，这种用户是不允许登陆系统的，这是程序用户的特点，为了系统安全（在Liunx中,系统不认识用户名，只认UID，相当于身份证)
字段4	基本组的 GID ，概念：先有组才有用户【用户必须存在于一个组】
字段5	用户信息记录字段【比如用户在公司的工号是多少，联系方式，家庭地址，现在已经很少了，基本废弃了】
字段6	用户的家目录
字段7	shell脚本：用户登录系统后使用的命令解释器（默认是bash）

/etc/shadow配置文件字段及说明
cat /etc/shadow** **展示出如下数据：

序号	字段	** 说明**
字段1	用户名	登录用户名
字段2	密码	加密后的密码（默认使用sha-512这种加密方式，同时过于简单的密码加密完了的信息完全相同，还混合了salt值，salt值不能被别人看到，若看到可利用字典进行密码暴力破解）
字段3	最后一次修密码的时间	（从1970年1月1日到最后一次修改密码的天数
字段4	最小间隔时间	两次修改密码之间最少间隔的天数
字段5	最大间隔时间	密码有效的最大天数， 99999表示永不过期
字段6	警告时间	密码有效期前多少天开始向用户发出警告信息
字段7	不活动天数	密码过期后多少天内允许用户登录
字段8	失效时间	整数，是从1970年1月1日到用户禁止登录时间
字段9	标认位	保留，未使用

---

为什么Linux要分别使用两个文件来管理用户信息和密码信息呢？查看两个文件的权限，运行如下命令并查看结果：
ls -l /etc/passwd /etc/shadow

可以看到，passwd 文件所有人都可以读，shadow文件无人有权限，除了root用户（linux机制规定）

---

创建用户：

每创建一个用户都会新建/home/用户名 ，并作为该用户的家目录，用户对家目录拥有控制权，这也是将用户文件进行分隔的有效措施

useradd [-g -d] 用户名 ：

• 下面可以看到/etc/passwd中已经包含了用户cg2的信息

• 可以看到已经包含了同名的cg2目录，并将其作为cg2用户的家目录

图形化展示：

---

useradd命令只能root用户使用，或者root用户组使用
我们可以验证一下：whereis useradd得到useradd所在的文件

查看权限：发现其他没有任何权限。得证

---

刚才我们只是创建了用户，但是还没有设置密码，
cat /etc/shadow | grep cg2

可以看到第二个字段是！！ 说明还没有设置密码

locate查找cg2，发现原来还创建了cg2的邮件目录

**综上所述，**当使用useradd命令新建一个用户后，将在/etc/passwd文件中写入一行新建用户信息，在/etc/shadow文件中写入一行用户密码信息，在/home目录中新建和用户名相同的家目录，在/var/spool/mail目录下新建与用户名相同的邮件目录。

useradd命令的选项

• 把新建用户cg3放入指定用户组cg2中
  • useradd -g cg2 cg3

检查一下

cat /etc/passwd可以看到cg3的组号是1001

或者我们还可以使用id命令检验

• -d ：创建用户时指定家目录 ，若不指定 ，家目录默认在：/home/用户名

用户组：

默认无密码:
root模式下：
passwd 用户名
添加密码

批量添加用户：

newusers命令可以批量添加用户
步骤：

1. 首先新建一个文本文档user.txt(内容是要添加用户，格式要和/etc/passwd相同)
   1. /etc/passwd
   2. user.txt
2. 新建密码文档pwds.txt(内容是)

---

上面我们介绍了创建一个用户，
创建完用户后，家目录中没有任何文件（但是其实有隐藏文件）

若需要在新建用户的同时就在其家目录中放入一些文件，如本服务器的使用说明文档或注意事项文档等，则可以通过修改/etc/skel目录中的内容来达到目的。

/etc/skel目录在Linux系统中扮演着重要的角色。它主要用于存放新建用户时需要拷贝到其家目录下的文件。当系统管理员使用useradd命令添加新用户时，/etc/skel目录下的所有文件都会自动地复制到新用户的家目录下。

passwd命令设置密码

一般的用法有两种：一是使用root用户来为普通用户设置密码，二是普通用户使用passwd命令为自己设置密码。使用普通用户登录并为自己设置密码时必须知道原密码（正常的流程应该是使用root账户来新建用户并为其设置初始密码。）
要点：

• 使用root用户为普通用户设置密码passwd 用户名（不加用户名是为自己设置密码）
• root用户下设置密码不受密码格式限制，普通用户受密码格式限制

拓展：
passwd命令除了设置用户密码外，还可以完成显示用户密码状态和锁定（解锁）用户的功能，这两个功能须在root用户登录下进行，如下所示：

锁定用户passwd -l 用户名，如下：锁定了cg2，但是root用户可以强制进入

普通用户cg3就无法进入cg2了

解锁用户（root下使用）：passwd -u 用户名如下：

---

chage修改帐号、密码的有效期

chage -d 999999999999 jack表示从1970年1月1日起，密码的有效期是999999999天
选项：

---

删除用户

userdel [-r] 用户名

• 选项：-r ，删除用户HOME目录，
  • 
• 不使用 - r ,保留HOME目录，
  • 
  • 

---

用户组管理命令

之前我们已经创建好了几个用户，现在我们可以再了解一个文件–组文件 /etc/group
cat /etc/group

可以发现新建一个用户，都会在group中新增一条记录，每一条记录都包含四个字段。

除了/etc/group文件外，还有另外一个与组相关的配置文件/etc/gshadow
cat /etc/gshadow

第一字段：用户组
第二字段：用户组密码，这个段可以是空的或!，如果是空的或有!，表示没有密码；
第三字段：用户组管理者，这个字段也可为空，如果有多个用户组管理者，用,号分割；
第四字段：组成员，如果有多个成员，用,号分割；

创建用户组：

groupadd group1创建用户组group1
cat /etc/group | grep group1查看group文件

cat /etc/gshadow | grep group1查看 gshadow文件

可以看到group1已经创建好了，但是组内还没有文件

修改组id和组名等信息

使用groupmod命令 注意谨慎修改

删除组

groupdel命令 注意谨慎，防止该组内用户集体失去某些文件的权限
如：

但是这里报错了，不可删除初始组，也就是说要先要先删除同名的用户cg3后该用户组也会随之被删除

---

为了便于群组的管理，有时需要为组设置组管理员，组管理员管理哪些用户可以被添加或被移除。

groupadd majorgroup  1添加组
gpasswd majorgroup  2给组添加密码
gpasswd -A cg majorgroup  3将用户cg设置为组管理员

可以在，gshadow文件中加密的密码，还有管理员cg (并没有被添加进组)

接着，添加cg和cg2进majorgroup

gpasswd -a cg majorgroup
gpasswd -a cg2 majorgroup

成功添加进去
如果这两个用户需要在不同的所属组之间切换，则可以使用newgrp命令。

---

组成员共享目录

在实际工作中，会出现如下场景：3个普通用户在同一个项目组内，他们各自都有自己的家目录和初始私有组，而他们同时要在同一个目录下进行项目开发。这时就需要共享成员目录来协同工作

上述命令运行后，work组已经创建，并且加入了jim，tom，bob（管理员）
下面将通过命令来讲项目专属目录的所属组变为working组

chgrp work /project/working   
chmod 2770 /project/working  

chgrp working /project/working 的意思是将 /project/working文件或目录的组所有权更改为 working 组。
其中 2 代表 “set group ID”（SGID）位。当设置了这个位时，对于目录，新创建的文件或子目录将继承其父目录的组，而不是继承创建者的主组。

结果显示working目录的权限情况是创建者root拥有读、写和执行权限，而working组成员的权限为rws，其中s为特殊权限。

组外成员想进入组共享目录：不允许

拓展：
执行权限对于目录和文件来说是不同的。对于目录来说，执行权限是指是否可以进入某个目录，而对于文件来说，执行权限是指该文件中的内容是否可以被执行

查看用户所属组：

id [用户名]

uid是用户id
gid是用户所属组id
直接输入id命令，没有用户参数的话，会直接输出当前用户的用户信息

---

修改用户所属组

usermod -aG 用户组 用户名，
将指定用户加入指定用户组
注意：用户和用户组都得提前存在

---

getent

使用getent命令，可以查看当前系统中有哪些用户
语法：
getent passwd

…中间还有很多用户

cat /etc/passwd效果一样