Linux——管理本地用户和组（详细介绍了Linux中用户和组的概念及用法）

目录

一、用户和组概念

（一）、用户的概念

（二）、组的概念

补充组

主要组

二、获取超级用户访问权限

（一）、su 命令和su -命令

（ 二）、sudo命令

三、管理本地用户账户

（一）创建用户

（二）修改用户

（三）删除用户 

（四）设置用户密码

四、管理本地组账户

（一）创建组

（二）修改组

（三）删除组

（四）更改组成员

（五）临时更改主要组 

---

一、用户和组概念

（一）、用户的概念

用户主要分为超级用户（root)，系统用户和普通用户

1. 超级用户账户负责管理系统，超级用户的名称为root,其账户的UID为0，超级用户具有完全的系统访问权限
2. 系统用户账户提供支持服务进程使用，这些进程通常不需要以超级用户身份运行。系统会为它们分配非特权账户，确保其文件和其他资源不受彼此以及以上系统上普通用户的影响。用户无法使用系统用户账户以交互方式登录。
3. 普通用户对系统具有有限的访问权限。

使用id命令可以显示有关当前已登录用户的信息 

[kiosk@foundation0 ~]$ id
uid=1000(kiosk) gid=1000(kiosk) groups=1000(kiosk),982(libvirt) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

查看其它用户的信息，将用户名作为参数传递给id命令即可

eg:

 使用ls -l 命令查看文件的所有者，ls -ld命令查看目录的所有者，而不是目录的内容

 上图中，第一列表示第一个字母表示类型，-表示普通文件，d表示目录，l表示软链接（也称符号链接），第二列表示硬链接数目，第三列显示用户名

 使用ps命令可查看进程信息。默认仅显示当前shell中的进程。

• -a选项可查看与某一终端相关联的所有进程
• -u选项可查看与进程相关联的用户

在pa -au输出中，第一列显示用户名，第二列显示进程id。

在默认情况下，系统使用/etc/passwd文件存储有关本地用户的信息，/etc/passwd文件的每一行都包含了每个用户的信息

如上显示了/etc/passwd文件中的最后三行用户信息，代码块的每一部分用：分隔。

示例：      usr01:x:1000:1000:User One:/home/user01:/bin/bash

 代码块解释：

• user01：此用户的用户名
• x:用户密码（用户密码存储在这里，x为一个占位符）
• 1000:此用户账户的uid编号
• 1000:此用户账号的主要组的GID编号
• User One:用户描述或者真是姓名
• /home/user01:用户的主目录，以及登录shell启动时的工作目录
• /bin/bash:用户的默认shell程序（一些账户，例如系统账户使用/sbin/nologin  shell来禁止使用该账户进行交互式登录）

（二）、组的概念

补充组

组通俗理解就是一群用户的集合。组可向其中的所有用户授予文件访问权限，组内的用户享有该组的所有权限，这种通俗意义上的组称为组员用户的补充组，补充组一般允许存在多个成员。

与用户一样，组也具有组名以便于识别。在内部，系统通过分配唯一标识符（组ID或GID）来区分不同的组。

默认情况下，系统使用/etc/group存储有关本地组的信息

如上图/etc/group文件中展示了最后三行的内容，代码块分为四部分，以:分隔

示例:group01:x:10000:user01,user02,user03

• group01:此组的名称
• x:组密码字段，x为一个标识符
• 10000：此组的GID编号
• user01,user02,user03:属于此组的成员列表

主要组

每个用户有且只有一个主要组，这个组按照GID列在/etc/passwd文件中，主要组拥有用户创建的文件。

在创建普通用户时，会创建一个与用户同名的组，作为该用户的主要组。

二、获取超级用户访问权限

大多数操作系统具有一个超级用户，该用户拥有系统的全部权限，在linux中，该用户为root 用户。但因为root用户的权限过大，很容易将系统置于危险之中，因此系统管理员一般以普通用户的身份登录，仅在必要时候获取root 用户权限进行操作

（一）、su 命令和su -命令

su命令可以使当前用户切换到另一个用户账号，但需要提供要切换的用户账号的密码。（以root用户切换时不需要密码）

su命令与su -命令不同的是su -命令可以切换到shell登录环境。

当su 或su -后面不加用户名时，一般默认为切换到root 用户

（ 二）、sudo命令

一般情况下，系统管理员为了安全原因会为root用户配置为没有有效的密码。因此不能使用su或者su -命令获取root用户的权限，此时，可以使用sudo命令

与su 和su -不同的是，sudo命令要求用户使用自己的密码进行身份验证（避免root用户密码的泄露）而不需要要切换用户账户的密码

sudo+命令+选项+参数=使用root用户身份执行该命令   ：    sudo -i 为切换到root账户的命令

同时，sudo命令的另一个优点是默认将所有执行的命令记录到/var/log/secure中

/etc/sudoers文件 是sudo命令的主要配置文件。可以使用visudo命令进行编辑。

以下图片是使用su -命令进入root用户进行的操作（刚开始学习，刚才尝试使用sudo -i 命令显示kiosk用户不被允许使用该操作，因此使用su -命令演示），查看/etc/sudoers文件中设置可以使用sudo命令切换到root账户的组和用户

• %符号表示其后面的 wheel为一个组
• ALL=（ALL）指具有此文件的任何主机上（第一个ALL），wheel组中的任何用户（第二个ALL）都可以在系统上运行命令
• 最后一个ALL指所有的命令

/etc/sudoers文件中含有/etc/sudoers.d目录中的所有文件，因此可以通过创建文件放在/etc/sudoers.d目录下来为用户或者组添加sudo访问权限

三、管理本地用户账户

（一）创建用户

useradd username命令用于创建一个名为username用户的账号，系统创建用户的同时也设置了用户的主目录和账户信息，同时也为用户创建了一个私有组（当用户创建文件时，文件必须有所属用户和所属组，系统会将用户的私有组作为创建文件的所属组），但此时用户未设置密码，只有设置密码后用户才可以登录其账号。

（二）修改用户

usermod --help可以展示usermod命令的选项

以下是一些比较重要常用的选项解释： 

• -a：与-G选项一起使用时意为将组添加到当前用户的组成员当中去，与替换当前用户补充组意思不同
• -c:将COMMENT文本添加到注释字段
• -d:为用户账户指定一个主目录
• -g:为用户账户指定主要组
• -G:为用户账户指定不充足的逗号2分隔列表
• -L:锁定账户
• -m:将用户的主目录移到新的位置（必须与-d选项搭配使用）
• -S:为用户指定特定的登录shell
• -U:解锁用户账户

（三）删除用户 

 userdel username命令意为从/etc/passwd文件中删除用户账号，但用户的主目录仍在，userdel -r username命令可以在删除用户账户的同时删除用户的主目录

（四）设置用户密码

passwd username可以为用户设置初始密码或者更改密码

四、管理本地组账户

（一）创建组

groupadd命令用于创建组，不带任何选项时，系统将从/etc/login.defs文件中GID_MIN和GID_MAX变量中指定一个可用的GID，所指定的GID将大于当前所有组的GID，即使有较小的GID可以选择

groupadd命令 -g选项指定选择GID

（二）修改组

groupmod命令可以修改组的属性

groupmod 命令 -n选项可以更改组的名称

上图将group01组的名称修改为group1

groupmod命令 -g 选项可以更改组队的GID

上图将group1组的GID从1008 改为了1010

（三）删除组

groupdel命令用于删除组

 

上图将group1组从/etc/group文件中删除

（四）更改组成员

usermod 命令-g选项用于更改用户的主要组

上图将用户user01 的主要组从user01改为了group01

使用usermod -aG命令将用户添加到某一补充组

上图将user01用户添加到group02补充组中 

（五）临时更改主要组 

在shell 对话中，newgrp 命令临时切换主要组，一次只能有一个组时主要组，当重新登录时，主要组将恢复默认值

上图中，将user01用户的主要组从group01临时更改为group02