1、用戶和組管理UID的概念nLinux系統(tǒng)安全是基于用戶ID(UID)的唯一性上的。n當一個用戶登陸以后，系統(tǒng)就會根據(jù)用戶的UID分配給相應的文件讀寫權限。同時系統(tǒng)也會根據(jù)UID來生成用戶創(chuàng)建的文件的讀寫權限。 Linux用戶分類nroot用戶用戶(0):root是系統(tǒng)中最重要的用戶，也是系統(tǒng)默認的管理員。所有的文件權限設置對root都不起作用，root可以在系統(tǒng)中作任何事情。所以為了防止發(fā)生意外，大多數(shù)系統(tǒng)管理員只有在需要root權限執(zhí)行命令的時候才會以root身份登陸。n普通用戶普通用戶(500)：普通用戶是系統(tǒng)的使用群體，他們利用系統(tǒng)執(zhí)行任務，同時受系統(tǒng)設置權限的各類約束。n系統(tǒng)系統(tǒng) 其它

2、用戶其它用戶(1-499)：這里主要是指一些應用程序應用程序和守護程序和守護程序，比如bin,daemon,lp,sync,news,ftp等。系統(tǒng)為了方便管理設置了這些用戶，但不能作為一般用戶那樣登陸系統(tǒng)，而且只有root才能管理安排這些用戶的工作。 UID 取值范圍n0(系統(tǒng)管理員)當 UID 是是 0 時，代表這個賬號是時，代表這個賬號是系系統(tǒng)管理員統(tǒng)管理員！ 所以當你要讓其它的賬號名稱也具有 root 的權限時，將該賬號的 UID 改為 0 即可。 這也就是說，一部系統(tǒng)上面的系統(tǒng)管理員不見得只有 root n1499(系統(tǒng)賬號系統(tǒng)賬號)由于系統(tǒng)上面啟動的服務希望使用較小的權限去運作，因

3、此不希望使用 root 的身份去執(zhí)行這些服務， 所以我們就得要提供這些運作中程序的擁有者賬號才行。這些系統(tǒng)賬號通常是不可登入的。根據(jù)系統(tǒng)賬號的由來，通常系統(tǒng)賬號又約略被區(qū)分為兩種：199：由 distributions 自行建立的系統(tǒng)賬號；100499：n若使用者有系統(tǒng)賬號需求時，可以使用的賬號 UID。500(可登入賬號)給一般使用者用的。重要文件驗證信息被保存在純文本文件中： n/etc/passwd 用戶信息n/etc/shadow 用戶密碼信息n/etc/group 用戶組信息n/etc/gshadow 組密碼/組管理員信息/etc/passwd文件格式n每一行就是一個用戶信息n每一行

4、被冒號（:）分成7個部分，分別是： 用戶名：密碼：UID用戶的唯一編號：GID工作組的編號：身份描述：主目錄：登錄shell（包裹在內核外的外殼包裹在內核外的外殼） nUID用戶編號 GID用戶組編號passwd文件格式 用戶名 有唯一性要求的域。 密碼 為“x”表示使用了shadow口令；為“*”表示禁止登錄；為“！”表示未設置；為“！”表示被鎖定。 UID系統(tǒng)使用UID來判別用戶身份GID用戶默認的組ID，可以在文件 /etc/group里查到對應的組名。 身份描述：用戶的身份說明，默認的是無任何說明。 主目錄：用戶的主目錄。 登錄shell：用戶登錄時系統(tǒng)提供的shell。 /etc/S

5、hadow文件內容格式文件內容格式n每一行就是一個用戶的密碼信息n每個賬號在shadow文件中都有9個字段，分別用8個冒號（：）隔開n該文件的默認權限只有該文件的默認權限只有root才能讀寫才能讀寫nLs l /etc/passwd /etc/shadow shadow字段說明(1)用戶名:用戶名，它在系統(tǒng)中是惟一的(2)口令:此字段存放加密的口令.！ 沒有設置(3)最后一次修改密碼的時間:標識從某一時刻起到用戶最后一次修改口令的天數(shù)。以1970-1-1作為而累加的天數(shù)(4)最小時間間隔:兩次修改口令之間的最小天數(shù). 0：沒有限制(5)最大時間間隔:口令保持有效的最多天數(shù)，即多少天后必須修改口

6、令(6)警告時間:從系統(tǒng)開始警告到口令正式失效的天數(shù)(7)不活動時間:口令過期多少天后，該賬號被禁用(8)失效時間:指示口令失效的絕對天數(shù)（從1970年1月1日開始計算）(9)標志:未使用加密算法的問題n新增2個用戶，密碼一樣，看看加密的密碼字段是否一樣？nUseradd user01ntail/etc/passwdntail/etc/shadownPasswd user01/etc/group文件說明每一行就是一個用戶組。總共分四個部分： n組名：密碼域：GID：組員列表加入一個群組有兩個方式，（1）系統(tǒng)管理員 (root) 用 usermod 幫你加入，（2）通過群組管理員，以 gpass

7、wd 幫你加入他所管理的群組中 /etc/gshadown每一行存放組密碼等信息。總共分四個部分： n組名：密碼域：群組管理員賬號：組員列表n第二個字段為！標識無用戶組管理員n該組的用戶組管理員可以將賬號加入到自己管理的用戶組中。初始群組(initial group) n/etc/passwd第四列的GID就是用戶的初始群組；n初始群組無需添加到/etc/group的第四個字段中n非初始群組會顯示在/etc/group的第四個字段中有效群組(effective group)n一個用戶新創(chuàng)建的文件歸該用戶所有，那么該文件歸哪個組所有？ngroups: 有效與支援群組的觀察 。第一個輸出的用戶組就

8、是有效群組。用戶創(chuàng)建的文件就歸該群組所有nnewgrp：登錄到新的用戶組中。此時雖然使用者的環(huán)境設定(例如環(huán)境變數(shù)等等其他資料)不會有影響，但是使用者的權限將會重新被計算。dmtsaiwww $ newgrp users dmtsaiwww $ groups users dmtsai dmtsaiwww $ touch test2 dmtsaiwww $ ll -rw-rw-r- 1 dmtsai dmtsai 0 Feb 24 17:26 test -rw-r-r- 1 dmtsai users 0 Feb 24 17:33 test2 用戶常用命令nuseradd 添加nusermod 修

9、改nuserdel 刪除nchage 修改密碼相關npasswd 修改密碼nsu 切換到管理員nsudo 以管理員身份運行用戶組相關ngroupadd 創(chuàng)建組ngroupdel 刪除組ngroupmod 修改組ngpasswd 修改組密碼、修改組成員nGroups 查看用戶所屬組nNewgrp 切換有效群組useradd 建立用戶n# useradd -u UID -g 初始群組 -G 次要群組 -mM -c 說明欄 -d 家目錄絕對路徑 -s shell 使用者賬號名n相關文件n/etc/default/useradd 用戶的默認值n/etc/login.defs 密碼的默認參數(shù)n/etc/

10、skel/* 家目錄模板n/etc/passwd 用戶名 /etc/shadow 密碼n/etc/group 用戶組 /etc/gshadow 用戶組密碼選項與參數(shù)n-u ：后面接的是 UID 。n-g ：用戶屬于的初始群組。該群組的 GID 會被放置到 /etc/passwd 的第四個字段內。n-G ：后面接的群組名稱則是這個賬號還可以加入的群組。會修改 /etc/group 內相關資料。n-M ：強制！不要建立使用者家目錄！(系統(tǒng)賬號默認值)n-m ：強制！要建立使用者家目錄！(一般賬號默認值)n-c ：這個就是 /etc/passwd 的第五欄的說明內容啦n-d ：家目錄，而不要使用默認

11、值。務必使用絕對路徑！n-r ：建立一個系統(tǒng)的賬號，這個賬號的 UID 會有限制 (參考 /etc/login.defs)n-s ：后面接一個 shell ，若沒有指定則預設是 /bin/bash 的啦n-e ：后面接一個日期，格式為YYYY-MM-DD此項目可寫入 shadow 第八字段，亦即賬號失效日的設定項目啰；n-f ：后面接 shadow 的第七字段項目，指定密碼是否會失效。0為立刻失效， -1 為永遠不失效(密碼只會過期而強制于登入時重新設定而已。)范例一：使用默認值建立vbird1用戶rootwww # useradd vbird1查看創(chuàng)建好的情況rootwww # ll -d

12、/home/vbird1drwx- 4 vbird1 vbird1 4096 Feb 25 09:38 /home/vbird1# 預設會建立使用者家目錄，且權限為 700 ！這是重點！rootwww # grep vbird1 /etc/passwd /etc/shadow /etc/group/etc/passwd:vbird1:x:504:505:/home/vbird1:/bin/bash/etc/shadow:vbird1:!:14300:0:99999:7:/etc/group:vbird1:x:505: =預設會建立一個與賬號一模一樣的群組名 在 /etc/passwd 里面建立

13、一行不賬號相關癿數(shù)據(jù)，包括建立 UID/GID/家目弽等； 在 /etc/shadow 里面將此賬號癿密碼相關參數(shù)填入，但是尚未有密碼； 在 /etc/group 里面加入一個不賬號名稱一模一樣癿組名； 在 /home 底下建立一個不賬號同名癿目弽作為用戶家目弽，丏權限為 700 例子n創(chuàng)建一個demo用戶，該用戶的家目錄是/demo（不是/home/demo）范例：建立系統(tǒng)賬號，名為 vbird3nrootwww # useradd -r vbird3nrootwww # ll -d /home/vbird3ls: /home/vbird3: No such file or director

14、y =不會主動建立家目錄nrootwww # grep vbird3 /etc/passwd /etc/shadow /etc/group/etc/passwd:vbird3:x:100:103:/home/vbird3:/bin/bash/etc/shadow:vbird3:!:14300:/etc/group:vbird3:x:103: /etc/default/useradd 參考檔利用useradd -D查看useradd的默認值GROUP=100=預設的群組HOME=/home=預設的家目錄所在目錄INACTIVE=-1=密碼失效日，在 shadow 內的第 7 欄EXPIRE=賬號

15、失效日，在 shadow 內的第 8 欄SHELL=/bin/bash=預設的 shellSKEL=/etc/skel =使用者家目錄的內容數(shù)據(jù)參考目錄CREATE_MAIL_SPOOL=yes =是否主動幫使用者建立郵件信箱(/var/spool/mail/user) 密碼時效策略在默認狀況下，密碼不會過期 。 強制密碼失效是強大安全策略的一部分 修改/etc/login.defs文件中默認的有效期設定 。 要修改已存在用戶的密碼時效，使用chage命令 。/etc/login.defs密碼參數(shù) 是設置用戶帳號限制的文件。該文件里的配置對root用戶無效。如果/etc/shadow文件里有相

16、同的選項，則以/etc/shadow里的設置為準，也就是說/etc/shadow的配置優(yōu)先級高于/etc/login.defsnMAIL_DIR /var/spool/mail=使用者預設郵件信箱放置目錄nPASS_MAX_DAYS 99999 =/etc/shadow 內的第 5 欄，多久需變更密碼日數(shù)nPASS_MIN_DAYS 0=/etc/shadow 內的第 4 欄，多久不可重新設定密碼日數(shù)nPASS_MIN_LEN 5=密碼最短的字符長度，已被 pam 模塊取代，失去效用！nPASS_WARN_AGE 7=/etc/shadow 內的第 6 欄，過期前會警告的日數(shù)nUID_MIN

17、500=使用者最小的 UID，意即小于 500 的 UID 為系統(tǒng)保留nUID_MAX 60000=使用者能夠用的最大 UIDnGID_MIN 500=使用者自訂群組的最小 GID，小于 500 為系統(tǒng)保留nGID_MAX 60000=使用者自訂群組的最大 GIDnCREATE_HOME yes=在不加 -M 及 -m 時，是否主動建立使用者家目錄？nUMASK 077 =使用者家目錄建立的使用者家目錄建立的 umask ，因此權限會是，因此權限會是 700nUSERGROUPS_ENAB yes =使用 userdel 刪除時，是否會刪除初始群組nMD5_CRYPT_ENAB yes =密碼

18、是否經過 MD5 的加密機制處理 chage 修改密碼過期時間n -l ：列出該帳號的詳細密碼參數(shù)； n-d ：后面接日期，修改 shadow 第三欄位(最近一次更改密碼的日期)，格式 YYYY-MM-DD n-E ：后面接日期，修改 shadow 第八欄位(帳號失效日)，格式 YYYY-MM-DD n-I ：后面接天數(shù)，修改 shadow 第七欄位(密碼失效日期) n-m：后面面接天數(shù)，修改 shadow 第四欄位(密碼最短保留天數(shù)) n-M ：后面接天數(shù)，修改 shadow 第五欄位(密碼多久需要要進行變更) n-W ：后面接天數(shù)，修改 shadow 第六欄位(密碼過期前警告日期) pas

19、swd 修改密碼n# passwd -stdin 所有人均可使用來改自己的密碼n# passwd -l -u -stdin -S -n 日數(shù) -x 日數(shù) -w 日數(shù) -i 日期 賬號選項與參數(shù)n-stdin ：可以透過來自前一個管線的數(shù)據(jù)，作為密碼輸入，對 shell script 有幫助！n-l ：是 Lock 的意思，會將 /etc/shadow 第二欄最前面加上 “!！” 使密碼失效；n-u ：與 -l 相對，是 Unlock 的意思！n-S ：列出密碼相關參數(shù)，亦即 shadow 檔案內的大部分信息。n-n ：后面接天數(shù)，shadow 的第 4 字段，多久不可修改密碼天數(shù)n-x ：后面

20、接天數(shù)，shadow 的第 5 字段，多久內必須要更動密碼n-w ：后面接天數(shù)，shadow 的第 6 字段，密碼過期前的警告天數(shù)n-i ：后面接日期，shadow 的第 7 字段，密碼失效日期n禁用用戶帳號口令 passwd -l n查看用戶帳號口令狀態(tài)passwd -S n恢復用戶帳號口令passwd -u n刪除用戶帳號口令 passwd -d 例子nPasswd guowushinecho “123435678” |passwd -stdin guowushin| 管道chage修改密碼時效 # chage -ldEImMW 賬號名選項與參數(shù)：-l ：列出該賬號的詳細密碼參數(shù)；-d ：

21、后面接日期，修改 shadow 第三字段(最近一次更改密碼的日期)，格式 YYYY-MM-DD-E ：后面接日期，修改 shadow 第八字段(賬號失效日)，格式 YYYY-MM-DD-I ：后面接天數(shù)，修改 shadow 第七字段(密碼失效日期)-m ：后面接天數(shù)，修改 shadow 第四字段(密碼最短保留天數(shù))-M ：后面接天數(shù)，修改 shadow 第五字段(密碼多久需要進行變更)-W ：后面接天數(shù)，修改 shadow 第六字段(密碼過期前警告日期)例子n用戶在第一次登錄時就必須修改密碼useradd agetestecho 123456|passwd -stdin agetestchag

22、e -d 0 agetestusermod 更改用戶信息# usermod -cdegGlsuLU username選項與參數(shù)：-c ：后面接賬號的說明，即 /etc/passwd 第五欄的說明欄.-d ：后面接賬號的家目錄，即修改 /etc/passwd 的第六欄；e ：后面接日期，格式是 YYYY-MM-DD 也就是在 /etc/shadow 內的第八個字段數(shù)據(jù)-f ：后面接天數(shù)，為 shadow 的第七字段。-g ：后面接初始群組，修改：后面接初始群組，修改 /etc/passwd 的第四個字段，亦即是的第四個字段，亦即是 GID 的字段！的字段！-G ：后面接次要群組，修改這個使用者能

23、夠支持的群組，修改的是：后面接次要群組，修改這個使用者能夠支持的群組，修改的是 /etc/group -a ：與 -G 合用，可增加次要群組的支持而非設定喔！-L ：暫時將使用者的密碼凍結，讓他無法登入。其實僅改：暫時將使用者的密碼凍結，讓他無法登入。其實僅改 /etc/shadow 的密碼欄的密碼欄（加！）。（加！）。 n-l ：后面接賬號名稱。亦即是修改賬號名稱， /etc/passwd 的第一欄！n-s ：后面接 Shell 的實際檔案，例如 /bin/bash 或 /bin/csh 等等。n-u ：后面接 UID 數(shù)字，即 /etc/passwd 第三欄的資料；n-U ：將 /etc/

24、shadow 密碼欄的“ !” 拿掉，解凍啦！n-p：將加密的密碼設置為新密碼n-d：設置家目錄n-m：移動家目錄到新的目錄，與-d一起使用例子n用戶的密碼在指定時間后過期usermod -e “2009-12-31” vbirdn新用戶沒有主目錄cp -a /etc/skel /home/vbird2chown -R vbird2:vbird2 /home/vbird2chmod 700 /home/vbird2userdel 刪除用戶刪除使用者的相關數(shù)據(jù)，而使用者的數(shù)據(jù)有：n使用者賬號/密碼相關參數(shù)：/etc/passwd, /etc/shadown使用者群組相關參數(shù)：/etc/group

25、, /etc/gshadown使用者個人檔案數(shù)據(jù)： /home/username, /var/spool/mail/username.例子n#userdel r winky 刪除用戶的目錄，以及/var/spool/mail隊列。工作組相關ngroupadd 創(chuàng)建組ngroupdel 刪除組ngroupmod 修改組ngpasswd 修改組密碼、修改組成員、指定組管理員創(chuàng)建用戶組賬號建立用戶組ngroupadd 組名刪除用戶組ngroupdel 組名將用戶加入到組和從組中刪除n gpasswd a 用戶名 組名 /添加用戶n gpasswd d 用戶名 組名 /刪除用戶查看用戶屬于某組ngro

26、ups 用戶名新建用戶加入某組n useradd g 某組名 用戶groupadd建立用戶組# groupadd -g gid -r 群組名稱選項與參數(shù)：-g ：后面接某個特定的 GID ，用來直接給予某個 GID -r ：建立系統(tǒng)群組啦！與 /etc/login.defs 內的 GID_MIN 有關 groupmod 更改GID及組名稱# groupmod -g gid -n group_name 群組名選項與參數(shù)：-g ：修改既有的 GID 數(shù)字；-n ：修改既有的群組名稱groupdel 刪除用戶組n# groupdel groupnamegpasswd 管理用戶組中用戶gpasswd

27、groupname gpasswd -A user1,. -M user3,. groupnamegpasswd -rR groupname選項與參數(shù)：n若沒有任何參數(shù)時，表示給予 groupname 一個密碼(/etc/gshadow)n-A ：將 groupname 的主控權交由后面的使用者管理(該群組的管理員)n-M ：將某些賬號加入這個群組當中！n-r ：將 groupname 的密碼移除n-R ：讓 groupname 的密碼欄失效群組管理員(Group administrator)gpasswd -ad user groupname選項與參數(shù)：-a ：將某位使用者加入到 group

28、name 這個群組當中！-d ：將某位使用者移除出 groupname 這個群組當中。范例一建立新群組，名稱為 testgroup ，群組交由 vbird1 管理： rootwww # groupadd testgroup =先建立群組 rootwww # gpasswd testgroup =給這個群組一個密碼rootwww # gpasswd -A vbird1 testgroup =加入群組管理員為 vbird1 rootwww # grep testgroup /etc/group /etc/gshadow /etc/group:testgroup:x:702: /etc/gshado

29、w:testgroup:$1$I5ukIY1.$o5fmW.cOsc8.K.FHAFLWg0:vbird1: # 徆有趣吧！此時 vbird1 則擁有 testgroup 癿主控權喔！身份有點像板主啦！ 范例二以 vbird1 登入系統(tǒng)，加入 vbird1, vbird3 成為 testgroup 成員 。nvbird1www $ id uid=504(vbird1) gid=505(vbird1) groups=505(vbird1) . n# vbird1 尚未加入 testgroup 群組喔！ vbird1www $ gpasswd -a vbird1 testgroup vbird1www $ gpasswd -a vbird3 testgroup vbird1www $ grep testgroup /etc/group ntestgroup:x:702:vbird1,vbird3 nSu 切換用戶switch usernsudo 以管理員身份運行nexit 退回為什么要進行用戶身份切換（1）平時使用一般賬號一般賬號：系統(tǒng)平日操作的好習慣（2）用較低權限用戶啟動系統(tǒng)服務或運行軟件:舉例來說， Linux 主機上面的一套軟件apache，會建立一個名為 apache 的用戶來啟動 apache