Linux系統(tǒng)管理及應(yīng)用項(xiàng)目式教程（RHEL9CentOSStream9）（微課版）（第2版） 課件 項(xiàng)目7 管理用戶(hù)和用戶(hù)組（第2版）

實(shí)習(xí)生及校園招聘工作圓滿(mǎn)完成，轉(zhuǎn)眼間到了新員工報(bào)到的日子，小喬所在部門(mén)來(lái)了3名新員工，分別是飛飛、安安和可可。為了讓新員工盡快了解公司組織架構(gòu)和業(yè)務(wù)流程，部門(mén)經(jīng)理讓他們?cè)L問(wèn)公司服務(wù)器，查看相應(yīng)的資?料。

由于他們還沒(méi)有用戶(hù)賬號(hào)，經(jīng)理安排小喬為他們3人各分配一個(gè)普通用戶(hù)賬號(hào)，賬號(hào)歸屬本部門(mén)，由小喬負(fù)責(zé)管理，有效期為14天。

對(duì)于經(jīng)理安排的任務(wù)，小喬大致清楚需要先添加用戶(hù)，然后將用戶(hù)添加到指定的用戶(hù)組，最后指派用戶(hù)組管理?員。掌握Linux系統(tǒng)中用戶(hù)賬號(hào)的分類(lèi)及相關(guān)文?件掌握Linux系統(tǒng)中用戶(hù)組的創(chuàng)建與管理，能夠根據(jù)需要管理用戶(hù)與用戶(hù)組的關(guān)?系具有信息安全意識(shí)和團(tuán)隊(duì)合作意識(shí)1認(rèn)識(shí)用戶(hù)與用戶(hù)組2管理用戶(hù)3管理用戶(hù)組7.1認(rèn)識(shí)用戶(hù)與用戶(hù)組7.1.1了解用戶(hù)與用戶(hù)組的分類(lèi)Linux系統(tǒng)是真正的多用戶(hù)、多任務(wù)操作系統(tǒng)，允許多個(gè)用戶(hù)同時(shí)登錄系統(tǒng)并使用系統(tǒng)資源。假如每個(gè)用戶(hù)都擁有管理員權(quán)限，系統(tǒng)資源的安全性就無(wú)從保證。作為網(wǎng)絡(luò)管理員或者系統(tǒng)維護(hù)人員，需要對(duì)Linux系統(tǒng)的用戶(hù)進(jìn)行管理和分類(lèi)，實(shí)現(xiàn)多用戶(hù)、多任務(wù)的運(yùn)行機(jī)?制。1．用戶(hù)的作用在系統(tǒng)中，每個(gè)文件、目錄和進(jìn)程等，都屬于某一個(gè)用戶(hù)。要使用Linux系統(tǒng)的資源，就必須向系統(tǒng)管理員申請(qǐng)一個(gè)賬號(hào)，然后通過(guò)這個(gè)賬號(hào)進(jìn)入系?統(tǒng)。建立屬性不同的用戶(hù)，一方面可以合理利用和控制系統(tǒng)資源，另一方面可以幫助用戶(hù)組織文件，提供對(duì)用戶(hù)文件的安全性保護(hù)。不同用戶(hù)擁有不同的權(quán)限，每個(gè)用戶(hù)在權(quán)限允許的范圍內(nèi)完成不同的任務(wù)，Linux系統(tǒng)正是通過(guò)這種權(quán)限的劃分與管理，實(shí)現(xiàn)了多用戶(hù)、多任務(wù)的運(yùn)行機(jī)?制。7.1.1了解用戶(hù)與用戶(hù)組的分類(lèi)2．用戶(hù)的分類(lèi)Linux系統(tǒng)中的用戶(hù)賬號(hào)分為3種：超級(jí)用戶(hù)、系統(tǒng)用戶(hù)和普通用?戶(hù)。（1）超級(jí)用戶(hù)：也稱(chēng)為管理員用戶(hù)，通常是root用戶(hù)，擁有對(duì)整個(gè)Linux系統(tǒng)的管理權(quán)限，對(duì)系統(tǒng)有絕對(duì)的控制權(quán)，能夠進(jìn)行一切操?作。（2）系統(tǒng)用戶(hù)：也稱(chēng)為虛擬用戶(hù)、偽用戶(hù)，無(wú)法用來(lái)登錄系統(tǒng)，但也不能刪除，因?yàn)橐坏﹦h除，依賴(lài)這些用戶(hù)運(yùn)行的服務(wù)或程序就不能正常執(zhí)行，會(huì)導(dǎo)致系統(tǒng)出現(xiàn)問(wèn)?題。（3）普通用戶(hù)：在系統(tǒng)中只能訪問(wèn)他們本身?yè)碛械幕蛘邠碛袌?zhí)行權(quán)限的文?件。在Linux系統(tǒng)中，每個(gè)用戶(hù)都有對(duì)應(yīng)的用戶(hù)編號(hào)（UserID，UID），用來(lái)唯一標(biāo)識(shí)一個(gè)用戶(hù)。這3種用戶(hù)的UID都有特定的范圍，具體如表7-1所?示。7.1.1了解用戶(hù)與用戶(hù)組的分類(lèi)3．用戶(hù)組的分類(lèi)每個(gè)用戶(hù)都至少隸屬于一個(gè)用戶(hù)組，管理員可以對(duì)用戶(hù)組中的所有用戶(hù)進(jìn)行集中管理，從而提高工作效?率。在Linux系統(tǒng)中，每個(gè)用戶(hù)組都有對(duì)應(yīng)的組編號(hào)（GroupID，GID），用來(lái)唯一標(biāo)識(shí)一個(gè)用戶(hù)組。用戶(hù)組有兩種：初始組和附加?組。表7-1

不同類(lèi)別用戶(hù)的UID范圍用戶(hù)類(lèi)別說(shuō)明超級(jí)用戶(hù)UID為0系統(tǒng)用戶(hù)UID為1～999普通用戶(hù)UID為1000～600007.1.1了解用戶(hù)與用戶(hù)組的分類(lèi)（1）初始組：也稱(chēng)為私有組或主要組，每個(gè)用戶(hù)的初始組只有一個(gè)，通常將與用戶(hù)同名的組作為該用戶(hù)的初始組。比如，添加用戶(hù)yunwei，系統(tǒng)在創(chuàng)建該用戶(hù)的同時(shí)，會(huì)建立yunwei組作為yunwei用戶(hù)的初始?組。（2）附加組：用戶(hù)加入的除了初始組外的其他用戶(hù)組，稱(chēng)為該用戶(hù)的附加組，一個(gè)用戶(hù)可以同時(shí)加入多個(gè)附加?組。有了用戶(hù)組，管理員可以直接將權(quán)限賦予某個(gè)用戶(hù)組，組中的成員可以自動(dòng)獲取相應(yīng)的權(quán)限。用戶(hù)與用戶(hù)組的對(duì)應(yīng)關(guān)系如下圖所?示。7.1.2理解用戶(hù)賬號(hào)文件Linux系統(tǒng)把全部用戶(hù)信息保存為普通的文本文件：/etc/passwd和/etc/shadow。系統(tǒng)中的大多數(shù)用戶(hù)都有權(quán)限讀取/etc/passwd文件，但是只有超級(jí)用戶(hù)能夠修改這個(gè)文件，而對(duì)于/etc/shadow文件，除超級(jí)用戶(hù)外的所有用戶(hù)都不可?讀。1．/etc/passwd文件/etc/passwd文件是Linux系統(tǒng)的用戶(hù)配置文件，存儲(chǔ)了系統(tǒng)中所有用戶(hù)的基本信息。執(zhí)行head-4/etc/passwd命令，查看/etc/passwd文件，命令及其執(zhí)行結(jié)果如?下。7.1.2理解用戶(hù)賬號(hào)文件

可以看出，該文件的每一行代表一個(gè)用戶(hù)賬號(hào)的基本信息，第一個(gè)用戶(hù)為root用戶(hù)。每一行用:作為分隔符，劃分為7個(gè)字段，每個(gè)字段表示的內(nèi)容如?下。/etc/passwd文件各字段的說(shuō)明如表7-2所?示。表7-2

/etc/passwd文件各字段的說(shuō)明字段說(shuō)明用戶(hù)名用戶(hù)賬號(hào)名稱(chēng)，用戶(hù)登錄時(shí)使用的用戶(hù)名加密密碼用戶(hù)的密碼，該字段用x填充，真正的密碼保存在/etc/shadow文件中UID用戶(hù)編號(hào)GID用戶(hù)組編號(hào)，該數(shù)字對(duì)應(yīng)/etc/group文件中的GID用戶(hù)的描述性信息關(guān)于用戶(hù)的描述性信息主目錄用戶(hù)登錄系統(tǒng)后默認(rèn)的位置默認(rèn)登錄shell用戶(hù)使用的shell，默認(rèn)為/bin/bash7.1.2理解用戶(hù)賬號(hào)文件2．/etc/shadow文件/etc/passwd文件用于存儲(chǔ)Linux系統(tǒng)中的用戶(hù)信息。但是該文件允許所有用戶(hù)讀取，容易導(dǎo)致用戶(hù)密碼泄露。因此，為了提高系統(tǒng)的安全性，Linux系統(tǒng)將用戶(hù)的密碼信息從/etc/passwd文件中分離出來(lái)，將經(jīng)過(guò)加密之后的密碼存放在/etc/shadow文件中，該文件又稱(chēng)為“影子文件”。執(zhí)行head-4/etc/shadow命令，查看/etc/shadow文件，命令及其執(zhí)行結(jié)果如?下。/etc/shadow文件的每一行代表一個(gè)用戶(hù)的密碼信息，第一個(gè)用戶(hù)為root用戶(hù)，每行用:作為分隔符，劃分為9個(gè)字段，每個(gè)字段表示的內(nèi)容如?下。7.1.2理解用戶(hù)賬號(hào)文件/etc/shadow文件各字段的說(shuō)明如表7-3所?示。表7-3

/etc/shadow文件各字段的說(shuō)明字段說(shuō)明用戶(hù)名用戶(hù)賬號(hào)名稱(chēng)，用戶(hù)登錄時(shí)使用的用戶(hù)名加密密碼*表示非登錄用戶(hù)，!!表示沒(méi)有設(shè)置密碼或密碼被鎖定，!表示密碼被鎖定最后一次修改日期1970年1月1日至上次修改密碼后過(guò)去的天數(shù)最小修改日期間隔多少天后可以修改密碼最大修改日期間隔多少天后必須修改密碼密碼過(guò)期警告天數(shù)密碼過(guò)期前多少天提醒更改密碼賬號(hào)禁用寬限期密碼過(guò)期后多少天禁用用戶(hù)賬號(hào)賬號(hào)被禁用日期1970年1月1日至賬號(hào)被禁用的天數(shù)，若值為空，則表示永久可用保留字段用于功能擴(kuò)展7.1.3理解用戶(hù)組賬號(hào)文件在Linux系統(tǒng)中，用戶(hù)組相關(guān)的信息存放在/etc/group和etc/gshadow文件中。1．/etc/group文件/etc/group文件是系統(tǒng)的用戶(hù)組配置文件，存儲(chǔ)系統(tǒng)中所有用戶(hù)組的基本信息。/etc/passwd文件中的每個(gè)用戶(hù)賬號(hào)信息的第4個(gè)字段是用戶(hù)的初始組ID，即GID，它就存儲(chǔ)于/etc/group文件?中。執(zhí)行head-4/etc/group命令，查看/etc/group文件，命令及其執(zhí)行結(jié)果如?下。/etc/group文件的每一行代表一個(gè)用戶(hù)組的基本信息，第一個(gè)用戶(hù)組為root組，每行用:作為分隔符，劃分為4個(gè)字段，每個(gè)字段表示的內(nèi)容如?下。7.1.3理解用戶(hù)組賬號(hào)文件Linux系統(tǒng)把全部用戶(hù)信息保存為普通的文本文件：/etc/passwd和/etc/shad/etc/group文件各字段的說(shuō)明如表7-4所?示。表7-4

/etc/group文件各字段的說(shuō)明字段說(shuō)明組名用戶(hù)組名稱(chēng)組密碼用戶(hù)組密碼，該字段用x填充，真正的組密碼保存在/etc/gshadow文件中GID用戶(hù)組編號(hào)，用于唯一標(biāo)識(shí)一個(gè)用戶(hù)組該用戶(hù)組中的用戶(hù)成員列表該用戶(hù)組中含有的成員列表，成員之間用逗號(hào)隔開(kāi)可以看出，root組的GID為0，最后一個(gè)字段為空，這意味著該組沒(méi)有其他成員。一個(gè)用戶(hù)組如果有其他成員，則需在最后一個(gè)字段中列出，成員之間以,分?隔。7.1.3理解用戶(hù)組賬號(hào)文件2．/etc/gshadow文件用戶(hù)組的密碼信息是從/etc/group文件中分離出來(lái)，經(jīng)加密后存放在/etc/gshadow文件中的，該文件只允許root用戶(hù)讀?取。執(zhí)行head-4/etc/gshadow命令，打開(kāi)/etc/gshadow文件，命令及其執(zhí)行結(jié)果如?下。7.1.3理解用戶(hù)組賬號(hào)文件/etc/gshadow文件中的每一行代表一個(gè)用戶(hù)組的相關(guān)信息，第一個(gè)用戶(hù)組為root，每行用:作為分隔符，劃分為4個(gè)字段，每個(gè)字段表示的內(nèi)容如?下。/etc/gshadow文件各字段的說(shuō)明如表7-5所?示。表7-5

/etc/gshadow文件各字段的說(shuō)明字段說(shuō)明組名用戶(hù)組名稱(chēng)組密碼加密后的組密碼組的管理員用戶(hù)組編號(hào)，用于唯一標(biāo)識(shí)一個(gè)用戶(hù)組該組中的用戶(hù)成員列表該組中含有的成員列表，成員之間用逗號(hào)隔開(kāi)7.2管理用戶(hù)7.2.1新建用戶(hù)：useradd命令在Linux系統(tǒng)中，使用useradd命令創(chuàng)建新用戶(hù)，命令格式如?下。useradd命令的常用選項(xiàng)如表7-6所?示。表7-6

useradd命令的常用選項(xiàng)選項(xiàng)說(shuō)明-uUID指定用戶(hù)的UID，不能重復(fù)，且大于1000-gGID指定用戶(hù)所屬初始組的名稱(chēng)或者GID-GGID指定用戶(hù)所屬附加組的名稱(chēng)或者GID-p指定用戶(hù)加密的密碼-d目錄指定用戶(hù)主目錄，如果此目錄不存在，則由系統(tǒng)自動(dòng)創(chuàng)建-e日期指定賬號(hào)禁用日期，格式為YYYY-MM-DD選項(xiàng)說(shuō)明-f設(shè)置賬號(hào)過(guò)期多少天后，賬號(hào)被禁用-s指定用戶(hù)登錄的shell，默認(rèn)為/bin/bash7.2.1新建用戶(hù)：useradd命令【例7-1】

新建用戶(hù)xiaoqiao，UID為1005。使用useradd命令添加用戶(hù)時(shí)，系統(tǒng)執(zhí)行了如下操?作。（1）修改/etc/passwd文件，添加用戶(hù)名、UID、GID、登錄的shell等賬號(hào)記?錄。（2）修改/etc/shadow文件，添加加密的密碼字串、密碼有效期等相關(guān)記?錄。（3）修改/etc/group、/etc/gshadow文件，添加與用戶(hù)同名的初始組記?錄。（4）為用戶(hù)在/home目錄下創(chuàng)建主目錄，其名稱(chēng)與用戶(hù)名相?同。（5）將模板目錄/etc/skel/下的文件復(fù)制到用戶(hù)主目錄?下。7.2.2切換用戶(hù)：su命令在Linux系統(tǒng)中，root管理員擁有最高權(quán)限，所以本書(shū)中的命令都是以root用戶(hù)身份執(zhí)行的。但是在實(shí)際網(wǎng)絡(luò)管理員的工作中，很少以root用戶(hù)身份進(jìn)行操作，因?yàn)橐坏﹫?zhí)行了錯(cuò)誤的命令，可能會(huì)導(dǎo)致系統(tǒng)崩?潰。su命令可以快速在不同用戶(hù)之間切換，命令格式如?下。【例7-2】

使用su命令從root用戶(hù)切換到xiaoqiao用?戶(hù)?！纠?-3】

使用su命令從xiaoqiao用戶(hù)切換到root用?戶(hù)。7.2.3維護(hù)用戶(hù)信息：id、usermod、passwd命令當(dāng)需要維護(hù)用戶(hù)信息時(shí)，需要用到id、usermod、passwd等命?令。1．id命令id命令用于顯示用戶(hù)的UID、所屬組的GID和附加組的信息，命令格式如?下?！纠?-4】

使用id命令查看當(dāng)前登錄的用?戶(hù)?！纠?-5】

使用id

root

命令查看root用戶(hù)的UID和GID等信?息。7.2.3維護(hù)用戶(hù)信息：id、usermod、passwd命令2．usermod命令usermod命令用于修改用戶(hù)的屬性，命令格式如?下。usermod命令的常用選項(xiàng)如表7-7所?示。表7-7

usermod命令的常用選項(xiàng)選項(xiàng)說(shuō)明-uUID指定用戶(hù)的UID，不能重復(fù)，且大于1000-gGID指定用戶(hù)所屬初始組的名稱(chēng)或者GID-GGID指定用戶(hù)所屬附加組的名稱(chēng)或者GID-d目錄指定用戶(hù)主目錄，如果此目錄不存在，則同時(shí)使用-m選項(xiàng)，創(chuàng)建主目錄-e日期指定賬號(hào)禁用日期，格式為YYYY-MM-DD-L鎖定用戶(hù)，禁止其登錄系統(tǒng)-U解鎖用戶(hù)，允許其登錄系統(tǒng)-s修改用戶(hù)登錄的shell7.2.3維護(hù)用戶(hù)信息：id、usermod、passwd命令【例7-6】

將用戶(hù)xiaoqiao的UID修改為1014，將用戶(hù)的登錄shell修改為/sbin/nologin以禁止用戶(hù)登?錄。使用tail命令查看/etc/passwd文件的最后一行，可以看出用戶(hù)xiaoqiao的相關(guān)信息已發(fā)生了改?變。【例7-7】

修改用戶(hù)xiaoqiao登錄的shell為/bin/bash，到2025年12月31日禁用賬?號(hào)。7.2.3維護(hù)用戶(hù)信息：id、usermod、passwd命令3．passwd命令passwd命令用于設(shè)置或修改用戶(hù)密碼，如果命令后面不加用戶(hù)名，則表示修改的是當(dāng)前用戶(hù)的密碼。root用戶(hù)可以為自己和其他用戶(hù)設(shè)置密碼，普通用戶(hù)一般只能為自己設(shè)置密碼，命令格式如?下。passwd命令的常用選項(xiàng)如表7-8所?示。表7-8

passwd命令的常用選項(xiàng)選項(xiàng)說(shuō)明-l鎖定用戶(hù)-u解鎖用戶(hù)-S查看用戶(hù)密碼的狀態(tài)7.2.3維護(hù)用戶(hù)信息：id、usermod、passwd命令【例7-8】

以root用戶(hù)身份登錄，將其密碼修改為123456。如果輸入的密碼不夠復(fù)雜，則系統(tǒng)會(huì)提示“無(wú)效的密碼”，重新輸入新的密碼即?可?！纠?-9】

以root用戶(hù)身份登錄，將xiaoqiao用戶(hù)的密碼修改為123456。7.2.3維護(hù)用戶(hù)信息：id、usermod、passwd命令【例7-10】

將用戶(hù)xiaoqiao禁用，然后解除禁?用。雖然passwd命令和usermod命令都可以鎖定用戶(hù)，但是需要注意的是，passwd命令鎖定用戶(hù)時(shí)，是在密碼前加上!!，而usermod命令是在密碼前加上!。（3）直接修改用戶(hù)賬號(hào)的配置文件：編輯/etc/shadow文件，在要修改的用戶(hù)名的密碼前加上!或!!即可。恢復(fù)用戶(hù)賬號(hào)只需把!或!!去?掉。7.2.4刪除用戶(hù)：userdel命令當(dāng)不再使用某個(gè)用戶(hù)時(shí)，可以使用userdel命令將其刪除。userdel命令的命令格式如?下?！纠?-11】

刪除用戶(hù)xiaoqiao。加-r選項(xiàng)執(zhí)行該命令，表示在刪除用戶(hù)賬號(hào)的同時(shí)，將用戶(hù)主目錄及其下的所有文件和目錄全部刪?除。7.3管理用戶(hù)組7.3.1新建用戶(hù)組：groupadd命令groupadd命令用于添加用戶(hù)組，命令格式如?下。groupadd命令的常用選項(xiàng)如表7-9所?示。表7-9

groupadd命令的常用選項(xiàng)選項(xiàng)說(shuō)明-g指定新建的用戶(hù)組的GID【例7-12】

創(chuàng)建新的用戶(hù)組studygroup，并指定其GID為1200。7.3.2維護(hù)用戶(hù)組及其成員：groups、groupmod、gpasswd命令修改已存在的用戶(hù)組的信息需要用到groups、groupmod、gpasswd等命?令。1．groups命令groups命令用于查詢(xún)用戶(hù)所在的組，命令格式如?下?！纠?-13】

使用groups命令查看root用戶(hù)所屬的?組。2．groupmod命令groupmod命令用于修改用戶(hù)組的相關(guān)信息，命令格式如?下。7.3.2維護(hù)用戶(hù)組及其成員：groups、groupmod、gpasswd命令groupmod命令的常用選項(xiàng)如表7-10所?示。表7-10

groupmod命令的常用選項(xiàng)選項(xiàng)說(shuō)明-gGID指定要修改的GID-n組名稱(chēng)指定新用戶(hù)組的名稱(chēng)【例7-14】

將studygroup組的名稱(chēng)修改為test。

從例7-14的結(jié)果中可以看出，用戶(hù)組的名稱(chēng)已經(jīng)改變，但需要注意的是，用戶(hù)名、組名、GID等都不要隨意修改，否則容易導(dǎo)致管理邏輯混亂。如果一定要修改用戶(hù)名和組名，則建議先刪除原來(lái)的用戶(hù)組，再建立新的用戶(hù)?組。7.3.2維護(hù)用戶(hù)組及其成員：groups、groupmod、gpasswd命令3．gpasswd命令通過(guò)useradd命令添加用戶(hù)時(shí)，會(huì)生成一個(gè)與用戶(hù)同名的用戶(hù)組，這就是初始組。但如果需要將用戶(hù)添加到附加組中，則需要用到gpasswd命令，命令格式如?下。需要注意的是，組管理員使用gpasswd命令可以代替root用戶(hù)將用戶(hù)加入或者移出組，因此只有root用戶(hù)和組管理員才能使用該命令。gpasswd命令的常用選項(xiàng)如表7-11所?示。表7-11

gpasswd命令的常用選項(xiàng)選項(xiàng)說(shuō)明-a把用戶(hù)加入組中-d把用戶(hù)從組中刪除-r取消組的密碼-A給組指派管理員7.3.2維護(hù)用戶(hù)組及其成員：groups、groupmod、gpasswd命令【例7-15】

將用