linux用户与组管理

普通用户的管理

用户管理的基本任务包括添加新用户、删除用户、修改用户属性以及对现有用户的访问参数进行设置。与密切

相关的文件包含/etc/passwd、/etc/shadow以及/home目录下的文件。

添加新用户

系统中一个合法的用户应该具有用户名、真实姓名、密码和登录环境等用户信息。与此相对应，添加一个新用

户通常需要系统完成以下几项操作。

1.设置用户名称及密码。

2.设置用户UID。系统在/etc/passwd文件中查找目前使用的大于或等于500的UID的最大编号，加1后赋予当前的

新用户，若目前还没有大于500的编号，则将500赋予该用户。

3.添加该新用户所属的用户组。每一个用户都会属于一个或多个用户组。系统在添加新用户时默认添加的用户组与

新用户名相同，同时会赋予该用户组一个GID，通常GID的编号与UID的编号相同。

4.创新以前用户名为名称的主目录。在大多数系统中，用户的主目录都被创建在同一个特定目录下，例如 /home

各用户对自己的主目录有完全的读、写执行权限，其他用户只能依据该目录的权限设置进行访问。

5.设定用的shell环境，默认是/bin/bash.

6.设定用户的失效时间，默认是99999天后

7.设定失效前发出警告的天数，默认是失效前7天。

管理员可以通过useradd或adduser命令来添加一个新的用户。

# tail -1  /etc/passwd  #显示/etc/passwd文件最后一行内容

#tail -1 /etc/shadow  #显示/etc/shadow文件最后一行内容

解析/etc/passwd文件

/etc/passwd文件存储着用户的相关信息，包含用户名、密码和主目录位置等。根用户对该文件有读和

写的权限，普通用户只有读权限。

/etc/passwd由’:’分割成7个字段，每个字段的具体含义是：

1） 用户名（如第一行中的root就是用户名），代表用户账号的字符串。用户名字符可以是大小写字母、数字

减号（不能出现在首位）、点以及下划线，其他字符不合法。虽然用户名中可以出现点，但不建议使用，尤其

是首位为点时，另外减号也不建议使用，因为容易造成混淆。

2）存放的就是该账号的口令，为什么是’x’呢？早期的unix系统口令确实是存放在这里，但基于安全因素，后来

就将其存放到/etc/shadow中了，在这里只用一个’x’代替。

3）这个数字代表用户标识号，也叫做uid。系统识别用户身份就是通过这个数字来的，0就是root，也就是说你

可以修改test用户的uid为0，那么系统会认为root和test为同一个账户。通常uid的取值范围是0~65535，0是超级

用户（root）的标识号，1~499由系统保留，作为管理账号，普通用户的标识号从500开始，如果我们自定义建

立一个普通用户，你会看到该账户的标识号是大于或等于500的。

4）表示组标识号，也叫做gid。这个字段对应着/etc/group 中的一条记录，其实/etc/group和/etc/passwd基本上

类似。

5）注释说明，该字段没有实际意义，通常记录该用户的一些属性，例如姓名、电话、地址等等。不过，当你

使用finger的功能时就会显示这些信息的（稍后做介绍）。

6）用户的家目录，当用户登录时就处在这个目录下。root的家目录是 /root，普通用户的家目录则为 /home/

username，这个字段是可以自定义的，比如你建立一个普通用户test1，要想让test1的家目录在/data目录下，只

要修改/etc/passwd文件中test1那行中的该字段为/data即可。

7）shell，用户登录后要启动一个进程，用来将用户下达的指令传给内核，这就是shell。Linux的shell有很多种

sh, csh, ksh, tcsh, bash等，而Redhat/CentOS的shell就是bash。查看/etc/passwd文件，该字段中除了/bin/bash外

还有/sbin/nologin比较多，它表示不允许该账号登录。如果你想建立一个账号不让他登录，那么就可以把该字

段改成/sbin/nologin，默认是/bin/bash

解析/etc/shadow文件

由于普通用户可以读取/etc/shadow文件，因此密码直接保护直接保存在该文件中是极不安全的，很可能

会被别有用心的人获取并翻译。目前的操作系统在密码保护方面大多采用了ShadowPasswords及MD5口令保护

功能。

再来看看/etc/shadow这个文件，和/etc/passwd类似，用”:”分割成9个字段。

1）用户名，跟/etc/passwd对应。

2）用户密码，这个才是该账号的真正的密码，不过这个密码已经加密过了，但是有些黑客还是能够解密的。所

以为了安全，该文件属性设置为600，只允许root读写。

3）上次更改密码的日期，这个数字是这样计算得来的，距离1970年1月1日到上次更改密码的日期，例如上次更

改密码的日期为2012年1月1日，则这个值就是365*（2012-1970）+1=15331。

4）要过多少天才可以更改密码，默认是0，即不限制。

5）密码多少天后到期。即在多少天内必须更改密码，例如这里设置成30，则30天内必须更改一次密码，否则将

不能登录系统，默认是99999，可以理解为永远不需要改。

6）密码到期前的警告期限，若这个值设置成7，则表示当7天后密码过期时，系统就发出警告告诉用户，提醒用

户他的密码将在7天后到期。

7）账号失效期限。你可以这样理解，如果设置这个值为3，则表示：密码已经到期，然而用户并没有在到期前修

改密码，那么再过3天，则这个账号就失效了，即锁定了。

8）账号的生命周期，跟第三段一样，是按距离1970年1月1日多少天算的。它表示的含义是，账号在这个日期前可

以使用，到期后账号作废。

9）作为保留用的，没有什么意义。

修改用户的账号

修改用户的账号包含更改用户的用户名、密码、主目录、所属用户组和登录Shell等信息。

修改用户基本信息

修改用户的基本信息可以使用username命令，其命令格式为：

userrmod [-c comment]

-c   comment:更新用户的注释信息

-d  home_dir:更新用户的登录目录。如果指定了-m选项，则旧目录中的内容会复制到新

的目录中。如果新目录不存在则自动创建。

-e  expire_date:更新用户账户停用日期。其日期格式为MM/DD/YY。

-f   inactive_time：设定账号失效到永久停用的天数，当值为0时账号到期后立刻被停用。

而当值为-1是则关闭此功能。默认值为-1.

-g  initial_group:更新用户的初始登录用户组，即第一用户组。用户组名必须已经存在，默

认值为users。

-G group[....]:更新用户所属的用户组。通常一个用户可以属于多个用户组，成为多个用户组

的成员。每个用户组名之间必须用“，”分隔，如果用户当前所在的用户当前所在的用户组不在

此项中，则会从当前用户组删除此用户。

-l long_name:变更用户登录时的名称为longin_name.

-s  shell:指定用户新的登录shell。如果此项为空，则系统将选用默认的shell。

-u  uid：更新用户的UID值。该值修改后，用户目录树下所有的文件、目录的用户UID值会

自动改变，但放在用户主目录处的文件和目录的UID值则需要用户手动更新。

此命令将用户的登录目录改为/home/student2,登录Shell改为ksh，所在的组改为users和student。

修改用户密码

指定和修改用户密码的命令是passwd。根用户不仅可以修改自己的密码，还可以修改其他用户的密码

普通用户则只能修改自己的密码。passwd命令的格式：   passwd  [.....]

-k:表示只有密码过期才需要用户重新设定密码

-l：通过在用户的密码字段前加前缀“！”，对用户进行锁定。锁定的用户无法登录系统该命令只有根用户有

权使用。

-u:该参数与-l相反，是对锁定的用户进行解锁操作。该操作会删除密码字段前的“！”。使用-f参数，才能

强制解锁。

-d：快速删除用户的密码。该命令只对根用户有。

-n：设定最短的密码有效期。

-x：设定最长的密码有效期。

-w：设定密码过期前，发出警报的提前天使。

-i：设定密码过期到账号停用的天数。

-S：显示指定用户的当前密码状态。

--stdin：表示从标准输入重新读入密码，该标准输入也可以为一管道