1.用户组和权限管理

用户分为三类：

1.1 超级用户：root uid=0,简单来说uid为0的用户就是超级用户。

1.2 虚拟用户：存在linux中，满足文件或者程序运行的需要，而创建的。不能登录，不能使用。

uid=1-499,1-999(centos7)

1.3 普通用户：管理员root创建的用户。uid=500+，1000+(centos7)

用户组就是具有相同特征的用户的集合。一个组可以包含多个用户，每个用户也可以属于不同的组。用户组的目的方便管理员对用户进行集中管理。用户组也分为两类：系统组和普通组。

用户及用户组配置文件介绍

/etc/passwd 用户及其属性信息

image.png

第一列(以冒号为分隔符)：用户名

第二列：密码位

第三列：UID号 CentOS6 1-499为系统用户，预留

CentOS7 1-999为系统用户，预留

第四列：GID号 主组和辅助组

第五列：用户全名或注释

第六列:用户的家目录

第七列：用户默认的shell类型

/etc/group 组及其属性信息

image.png

第一列：用户名

第二列：密码位 ‘’ 加密方式salt$password

‘!!’代表账户被锁定

第三列:更改密码时间(天数计算)---距离1970年1月1号时间

第四列：密码最短口令有效期

第五列：口令过期时间，更改口令往后的时间

第六列：口令到期前提前多少天提醒

第七列：口令过期后多少天账户过期

第八列：帐号的有效期

/etc/gshadow 组密码及其相关属性

image.png

第一列：组名

第二列：组密码

第三列：管理员列表，可以更改组密码和成员

第四列：将该组作为辅助组的成员列表

2.用户和组管理命令

用户管理命令

2.1 useradd

-u uid 创建用户时指定uid

-g gid 指明用户所属基本组

-c 用户的注释信息

-M 不建家目录

-s 指定用户的默认shell

-e 用户过期时间

-G 为用户指明附加组，组须事先存在

案例1：创建用户gentpp，附加组为bin和root，默认shell为/bin/csh，注释信息为"Gentoo Distribution"。

[root@centos7 ~]#useradd gentpp -G bin,root -s /bin/csh -c "hello"

[root@centos7 ~]#cat /etc/passwd|tail -n1 #查看/etc/passwd最后一行

[root@centos7 ~]#id gentpp

uid=1007(gentpp) gid=1008(gentpp) groups=1008(gentpp),0(root),1(bin)

2.2 usermod

-u UID: 新UID

-g GID: 新主组

-G 新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使用-a选项

-s 新的默认SHELL

-c 新的注释信息

-d HOME: 新家目录不会自动创建；若要创建新家目录并移动原家数据，同时使用-m选项

-l login_name: 新的名字

-L: lock指定用户,在/etc/shadow 密码栏的增加!

-U: unlock指定用户,将/etc/shadow 密码栏取消!centos7不可以解锁

案例：修改gentpp的默认shell和描述信息

[root@centos7 ~]#cat /etc/passwd | tail -n1

gentpp:x:1007:1008:Gentoo Distribution:/home/gentpp:/bin/csh

[root@centos7 ~]#usermod -s /bin/sh gentpp

[root@centos7 ~]#cat /etc/passwd | tail -n1

gentpp:x:1007:1008:new world:/home/gentpp:/bin/sh

2.3 userdel

-r 删除用户时，连同其家目录一同删除

2.4 passwd命令

passwd命令用于修改用户密码、过期时间、认证信息等，格式为“passwd [选项] [用户名]”。

普通用户只能使用passwd命令修改自身的系统密码，而root管理员则有权限修改其他所有人的密码。更酷的是，root管理员在Linux系统中修改自己或他人的密码时不需要验证旧密码，这一点特别方便。既然root管理员可以修改其他用户的密码，就表示完全拥有该用户的管理权限。

passwd命令中的参数以及作用

参数 作用

-l 锁定用户，禁止其登录

-u 解除锁定，允许用户登录

--stdin 允许通过标准输入修改用户密码，如echo "NewPassWord" | passwd --stdin Username

-d 使该用户可用空密码登录系统

-e 强制用户在下次登录时修改密码

-S 显示用户的密码是否被锁定，以及密码所采用的加密算法名称

假设您有位同事正在度假，而且假期很长，那么可以使用passwd命令禁止该用户登录系统，等假期结束回归工作岗位时，再使用该命令允许用户登录系统，而不是将其删除。这样既保证了这段时间内系统的安全，也避免了频繁添加、删除用户带来的麻烦：

[root@linuxprobe ~]# passwd -l linuxprobe

Locking password for user linuxprobe.

passwd: Success

[root@linuxprobe ~]# passwd -S linuxprobe

linuxprobe LK 2017-12-26 0 99999 7 -1 (Password locked.)

[root@linuxprobe ~]# passwd -u linuxprobe

Unlocking password for user linuxprobe.

passwd: Success

[root@linuxprobe ~]# passwd -S linuxprobe

linuxprobe PS 2017-12-26 0 99999 7 -1 (Password set, SHA512 crypt.)

3. 组帐号管理命令

3.1 创建用户组

用户和用户组属于多对多关系，一个用户可以同时属于多个用户组，一个用户组可以包含多个不同的用户

创建用户组使用groupadd命令，其命令用法为：

groupadd [-r] 用户组名称

若命令带有-r参数，则创建系统用户组，该类用户组的GID值小于500；若没有-r参数，则创建普通用户组，其GID值大于或等于500.

image.png

3.2 修改用户组属性

用户组创建后，根据需要可对用户组的相关属性进行修改。对用户组属性的修改，主要是修改用户组的名称和用户组的GID值。

(1)改变用户组的名称

若要对用户组进行重命名，可使用带-n参数的groupmod命令来实现，其用法为：

groupmod -n 新用户组名 原用户组名

对于用户组改名，不会改变其GID的值

比如，若要将student用户组更名为teacher用户组，则操作命令为：

[root@localhost ~]# tail -3 /etc/group

student:x:501:

lijie:x:502:

vodup:x:503:

[root@localhost ~]# groupmod -n teacher student

[root@localhost ~]# tail -3 /etc/group

lijie:x:502:

vodup:x:503:

teacher:x:501:

(2)重设用户组的GID

用户组的GID值可以重新进行设置修改，但不能与已有用户组的GID值重复。对GID进行修改，不会改变用户名的名称。

要修改用户组的GID，可使用带-g参数的groupmod命令，其用法为：

groupmod -g new_GID 用户组名称

例如，若要将teacher组的GID更改为504，则操作命令为：

[root@localhost ~]# tail -3 /etc/group

lijie:x:502:

vodup:x:503:

teacher:x:501:

[root@localhost ~]# groupmod -g 504 teacher

[root@localhost ~]# tail -3 /etc/group

lijie:x:502:

vodup:x:503:

teacher:x:504:

3.3 删除用户组

删除用户组使用groupdel命令来实现，其用法为：

groupdel 用户组名

在删除用户组时，被删除的用户组不能是某个账户的私有用户组，否则将无法删除，若要删除，则应先删除引用该私有用户组的账户，然后再删除用户组。

[root@localhost ~]# groupdel teacher

groupdel: cannot remove the primary group of user 'zhangjie'

[root@localhost ~]# userdel -r zhangjie

[root@localhost ~]# groupdel teacher

[root@localhost ~]# grep teacher /etc/group #没有输出，说明teacher用户组已不存在，删除成功

3.4添加用户到指定的组/从指定的组中移除用户gpasswd:

-a user 将user添加至指定组中

-d user 从指定组中移除用户user

image.png

Adding user ma to group zhu #将用户qb2添加到组qian2中

Removing user ma from group zhu #将用户qb2从组qian2中删除

3.5. groupmems[options] [action]

options:

-g 更改为指定组

actions：

-a 指定用户加入组

-d 从组中删除用户

-p 从组中清除所有成员

-l 显示组成员列表

案例：

[root@centos7 ~]#groupmems -g admins -a ma

[root@centos7 ~]#groupmems -g admins -a zhu #将ma和zhu用户添加到admins中

[root@centos7 ~]#groupmems -g admins -l #查看admins中的用户列表

ma zhu

[root@centos7 ~]#groupmems -g admins -d ma #将ma从admins中删除

[root@centos7 ~]#groupmems -g admins -l

zhu

[root@centos7 ~]#groupmems -g admins -p #清空admins中的所有组成员

[root@centos7 ~]#groupmems -g admins -l

3.5 groups 查看用户所属组列表

[root@centos7 ~]#groups ma

ma : ma

root@centos7 ~]#groups zhu

zhu : zhu

4. 修改文件属主和属组

chown 修改文件的属主(也可以改组)

用户 文件或者目录 <==仅仅授权用户

：组 文件活目录 <==仅仅授权组

用户：组 文件或目录 <==表示授权用户和组

-R 递归

--reference=源文件 目标文件

强调：

1)其中的冒号“：”可以用点好“.”代替

2)要授权的用户和组名，必须是linux系统里实际存在的

案例：

[root@centos7 app]#ll

-rw-r--r--. 1 root root 0 Jul 29 16:27 f1

-rw-r--r--. 1 root root 0 Jul 29 16:27 f2

[root@centos7 app]#chown ma:ma f1

[root@centos7 app]#chown :zhu f2

[root@centos7 app]#ll

-rw-r--r--. 1 ma ma 0 Jul 29 16:27 f1

-rw-r--r--. 1 root zhu 0 Jul 29 16:27 f2

[root@centos7 app]#chown --reference=/app/f1 f2 #将f1的用户和属组信息复制给f2

[root@centos7 app]#ll

-rw-r--r--. 1 ma ma 0 Jul 29 16:27 f1

-rw-r--r--. 1 ma ma 0 Jul 29 16:27 f2

chgrp 修改文件的属组(只能改组)

----reference=源文件 目标文件

-R 递归

案例：

[root@centos7 app]#chgrp ma f1 <==将f1的属组直接修改成ma

[root@centos7 app]#ll

-rw-r--r--. 1 ma ma 0 Jul 29 16:27 f1

-rw-r--r--. 1 ma ma 0 Jul 29 16:27 f2

-rw-r--r--. 1 root root 0 Jul 29 16:37 f3

[root@centos7 app]#chgrp --reference=/app/f3 f1

[root@centos7 app]#chgrp --reference=/app/f3 f2

[root@centos7 app]#ll

-rw-r--r--. 1 ma root 0 Jul 29 16:27 f1

-rw-r--r--. 1 ma root 0 Jul 29 16:27 f2

-rw-r--r--. 1 root root 0 Jul 29 16:37 f3