《Linux操作系統(tǒng)基礎》課件-項目四 Linux用戶和組群管理

項目四Linux用戶和組群管理能力目標和要求：

（1）理解用戶賬戶和組群概念。

（2）理解用戶和組群配置文件的含義。

（3）掌握用戶管理器的使用方法。

（4）重點掌握如何使用命令對用戶和組群進行管理。

（5）掌握用戶身份的切換項目四Linux用戶和組群管理項目四

思維導圖任務4.1用戶賬戶和組群概念用戶賬戶：

（1）Linux操作系統(tǒng)是多用戶多任務的操作系統(tǒng)，即可以多個用戶同時使用系統(tǒng)資源進行相關任務

（2）用戶賬戶就是用戶的身份標識，用戶通過用戶賬戶登錄到系統(tǒng)，并且訪問已經被授權的資源。

（3）一個UID是唯一標識一個系統(tǒng)用戶的賬號。表4-1用戶角色分類用戶角色UID描述超級用戶0默認是root用戶，其UID和GID均為0。在每臺Linux操作系統(tǒng)中都是唯一且真實存在的，擁有最高的管理權限，可以操作系統(tǒng)中任何文件和命令。在生產環(huán)境，一般禁止root賬號遠程登錄（SSH）連接服務器，以加強系統(tǒng)安全。系統(tǒng)用戶1-999與真實用戶區(qū)分開來，是系統(tǒng)安裝后默認存在，且默認情況不能登錄系統(tǒng)，它們是系統(tǒng)正常運行必不可少的，他們的存在主要是方便系統(tǒng)管理，滿足相應的系統(tǒng)進程都文件屬主的要求。其中1-200由系統(tǒng)靜態(tài)分配給進程使用，201-999由系統(tǒng)動態(tài)分配進程使用。普通用戶1000-65535由具備系統(tǒng)管理員（root）權限的用戶創(chuàng)建。UID可由管理員指定，如果不指定，用戶的UID默認從1000開始順序編號。任務4.1用戶賬戶和組群概念組群概念：

（1）組群（也稱用戶組）就是具有相同特性的用戶集合，把多個用戶加入同一個組群中，我們只需要對組群賦予權限，組群中的用戶成員即可自動獲得這種權限。

（2）組群分兩種類別：基本組（私有組）和附加組（公共組）。

（3）創(chuàng)建用戶賬戶的同時也會創(chuàng)建一個與用戶同名的組群，該組群就是用戶的基本組。每個用戶都有自己的且僅有一個基本組。

（4）用戶和用戶組的對應關系有：一對一、一對多、多對一和多對多。表4-2用戶和用戶組的對應關系用戶和組關系描述一對一即一個用戶可以存在一個組中，也可以是組中的唯一成員。比如，root。一對多即一個用戶可以存在多個組中，這個用戶就具有這些組的所有權限。多對一即多個用戶可以存在一個組中，這些用戶就具有這一個組的共同權限。多對多即多用戶可以存在于多個組中，并且?guī)讉€用戶可以歸屬相同的組。多對多的關系是前面三條的擴展。任務4.2用戶賬戶和組群配置文件4.2.1用戶的賬戶文件

用戶的賬戶信息（除了密碼之外）存放在/etc/passwd配置文件中。配置文件中每行定義一個用戶賬號，有多少行就表示有多少個賬號，在每一行中，各內容之間通過“:”符號劃分為7個字段，這7個字段分別定義了賬號的不同屬性。表4-3passwd字段含義序號字段名稱注釋說明1用戶名用戶登陸時使用的賬戶名稱，在系統(tǒng)中是唯一的，不能重名。2密碼占位符存放賬戶口令，以x占位，表示密碼保存在/etc/shadow中。3用戶標識UID用戶標識號。4用戶基本組GID組標識號。當添加用戶時，默認情況下會同時建立一個與用戶同名且UID和GID相同的組。5用戶注釋對賬戶的詳細說明。6用戶家目錄用戶家目錄，用戶登記首先進入的目錄。root用戶家目錄是/root，普通用戶的家目錄在/home/username,可自定義。7用戶登陸shell當前用戶登陸后所使用的shell，在CentOS/RHEL系統(tǒng)中，默認的shell是bashshell。任務4.2用戶賬戶和組群配置文件4.2.2用戶的口令文件

用戶經過加密之后的口令都存放在/etc/shadow文件上。/etc/shadow文件只對root用戶可讀，因面大提升了系統(tǒng)的安全性。 shadow文件保存投影加密之后的口令以及與口令相關的一系列信息，每個用戶的信息在shadow文件中占用一行，并且用“：”分隔為9個字段。表4-4shadow文件字段說明序號字段名稱注釋說明1用戶登錄名用戶的賬戶名稱（與/etc/passwd保持一致）2加密后的密碼用戶密碼，這是加密過的口令（未設置密碼表示為！?。?最后一次密碼更改時間從1970年1月1日到上次修改密碼的天數(shù)4密碼最少使用天數(shù)密碼最少使用多少天才可以更改密碼，即最短口令存活期。默認值為0，表示無限制。5密碼最長使用天數(shù)密碼使用多少天必須修改密碼，即最長口令存活期。默認值為99999，表示密碼永不過期。6密碼到期前警告天數(shù)密碼過期前多少天提醒用戶更改密碼（默認過期提前7天警告）7密碼到期后保持活動的天數(shù)密碼過期之后賬戶寬限的天數(shù)，指定天數(shù)過后，賬戶被鎖定。8賬戶到期時間口令被禁用日期，到期后失效。默認值為空，表示一直有效。計算方法為從1970年1月1日至禁用日期時的天數(shù)9標志保留字段，用于功能擴展任務4.2用戶賬戶和組群配置文件4.2.3創(chuàng)建用戶賬戶時相關的配置文件和目錄

（1）/etc/skel目錄 /etc/skel目錄是用來存放新用戶配置文件的目錄，當我們用useradd命令添加新用戶時，Linux系統(tǒng)會自動復制/etc/skel下的所有文件（包括隱藏文件）到新添加用戶的家目錄；默認情況下/etc/skel目錄下的所有文件都是隱藏文件（以“．”開頭）。通過修改、添加、刪除/etc/skel目錄下的文件，我們可為新創(chuàng)建的用戶提供統(tǒng)一、標準的、初始化用戶環(huán)境。 （2）/etc/login.defs配置文件 /etc/login.defs文件是用來定義創(chuàng)建用戶時需要的一些用戶的配置文件。如創(chuàng)建用戶時，是否需要家目錄，UID和GID的范圍，用戶及密碼的有效期限等等。 （3）/etc/default/useradd配置文件 /etc/default/useradd配置文件也是在使用useradd添加用戶時需要調用的一個默認的配置文件。任務4.2用戶賬戶和組群配置文件4.2.4/etc/group文件

/etc/group文件用于存放用戶的組賬戶信息，對于該文件的內容任何用戶都可以讀取。每個組賬戶在group文件中占用一行，并且用“：”分隔為4個字段。表4-5group文件字段說明序號字段名稱注釋說明1組群名稱用戶組的名稱，與/etc/passwd中的用戶名一致，組名也不能重復。2組群口令口令占位符，以“x”表示。加密后的組密碼默認保存在/etc/gshadow文件中。3GID組群的ID號，Linux系統(tǒng)就是通過GID來區(qū)分用戶組的，與/etc/passwd文件中第4個字段的GID相對應。4組群成員列表組群包含的用戶，各用戶之間使用“,”分隔。任務4.2用戶賬戶和組群配置文件4.2.5/etc/gshadow文件

/etc/gshadow文件用于存放組群的加密口令、組管理員等信息，該文件只有root用戶可以讀取。每個組群賬戶在gshadow文件中占用一行，并以“：”分隔為4個字段。表4-6gshadow文件字段說明序號字段名稱注釋說明1組群名稱與/etc/group文件中的組名相對應2加密后的組群口令對于大多數(shù)用戶來說，通常不設置組密碼，因此該字段常為空，但有時為“!”，指的是該群組沒有組密碼，也不設有群組管理員。3組群管理員擁有將用戶加入組群權限的用戶4組群成員列表用戶組中有哪些附加用戶，和/etc/group文件中附加組顯示內容相同。任務4.3圖形界面用戶管理器4.3.1安裝system-config-users工具

（1）檢查是否安裝system-config-users。 [root@centos7~]#rpm-qa|grepsystem-config-users

（2）使用YUM命令安裝system-config-users工具。配置虛擬機CD/DVD光驅連接形式為：使用ISO映像文件使用mount命令掛載ISO安裝鏡像到指定目錄使用vim創(chuàng)建YUM本地源文件使用yum命令查看system-config-users軟件包的信息使用yum命令安裝system-config-users管理工具。所有軟件包安裝完畢后，可以使用rpm命令再一次進行查詢任務4.3圖形界面用戶管理器4.3.2使用用戶管理器

在終端下輸入命令：system-config-users將會打開如圖4-3所示的“用戶管理器”。圖4-3用戶管理器任務4.3圖形界面用戶管理器4.3.2使用用戶管理器

1.設置首選項 選擇【編輯】【首選項】菜單，可以對【首選項】進行設置，包括是否隱藏系統(tǒng)用戶和對新建用戶自動分配UID和GID號。任務4.3圖形界面用戶管理器4.3.2使用用戶管理器

2.添加用戶

單擊工具欄“添加用戶”按鈕，將彈出“添加新用戶”對話框，根據(jù)對話框提示輸入相應內容，最后單擊“確定”按鈕添加新用戶。任務4.3圖形界面用戶管理器4.3.2使用用戶管理器

3.用戶屬性

選擇相應的用戶，然后單擊工具欄“屬性”按鈕，將彈出“用戶屬性”對話框，我們可以修改用戶信息、設置賬號過期日期、設置密碼信息、添加附加組等內容。任務4.3圖形界面用戶管理器4.3.2使用用戶管理器

4.刪除用戶

在用戶管理器中，選擇對應的用戶，單擊“刪除”按鈕，將彈出刪除確認對話框，勾選“刪除用戶的主目錄”，則在刪除用戶時將該用戶的家目錄及郵件目錄等內容一并刪除。任務4.3圖形界面用戶管理器4.3.2使用用戶管理器

6.更改及添加組群用戶

選擇組群標簽，選擇需要設置的組群單擊“屬性”按鈕，將彈出“組群屬性”對話框，在組群數(shù)據(jù)標簽中可以更改組群名稱，在組群用戶標簽中勾選對應的用戶向該組群中添加用戶。任務4.4使用命令管理用戶賬戶4.4.1新建用戶

命令格式：useradd或adduser[選項]用戶名

命令功能：useradd或adduser命令用來建立用戶賬號和創(chuàng)建用戶的家目錄，使用權限是超級用戶。表4-7useradd或adduser常用選項選項功能-p設置用戶密碼。注意：-p后面需要輸入的密碼是加密過的密碼。-u指定用戶提UID號。該值在系統(tǒng)中必須是唯一的。CentOS7版本之后，0~999默認是保留給系統(tǒng)用戶賬號使用的，所以該值必須大于999。-g指定用戶所屬的基本組，該值可以使組名也可以是GID號，并且該用戶組必須已經存在的。如果不指定，則系統(tǒng)會創(chuàng)建跟用戶名相同的基本組。-G指定用戶所屬的附加組。附加組事先必須先存在。-c加上備注文字，備注文字保存在passwd的備注欄中。-d指定用戶登入時的主目錄，替換系統(tǒng)默認值/home/<用戶名>-s指定用戶登入后所使用的shell。默認值為/bin/bash。-e指定賬號的失效日期，日期格式為YYYY-MM-DD，例如2020-04-28。缺省表示永久有效。-f指定在密碼過期后多少天即關閉該賬號。如果為0賬號立即被停用；如果為-1則賬號一直可用。默認值為-1.-m若用戶主目錄不存在則創(chuàng)建它-M不要自動建立用戶的主目錄。-n取消建立以用戶名稱為名的基本組。-r創(chuàng)建UID小于1000的不帶主目錄的系統(tǒng)賬號任務4.4使用命令管理用戶賬戶4.4.2設置用戶密碼

命令格式：passwd[選項][用戶名]

命令功能：用于指定和修改用戶密碼。超級用戶可以為自己和其他用戶設置密碼，而普通用戶只能為自己設置密碼。表4-8passwd常用選項選項功能-S查詢用戶密碼的狀態(tài)，也就是/etc/shadow文件中此用戶密碼的內容。僅root用戶可用。-l暫時鎖定用戶，禁止登錄。該選項會在/etc/shadow文件中指定用戶的加密口令前添加“!!”，使密碼失效。僅root用戶可用。-u解鎖用戶，和“-l”選項相對應，僅root用戶可用。-n天數(shù)設置用戶密碼的最短存活期，為零代表任何時候都可以更改密碼，對應/etc/shadow文件的第4個字段。-x天數(shù)設置用戶口令的最長存活期，對應/etc/shadow文件的第5個字段。-w天數(shù)設置用戶密碼過期前的警告天數(shù)，對應/etc/shadow文件的第6個字段。-i天數(shù)設置用戶口令失效后，多少天停用賬戶，對應/etc/shadow文件的第7個字段。–stdin可以將通過管道符輸出的數(shù)據(jù)作為用戶的密碼。主要在批量添加用戶時使用。任務4.4使用命令管理用戶賬戶4.4.3修改用戶密碼有效期限

命令格式：chage[選項]用戶名

命令功能：用于指定和修改用戶口令。超級用戶可以為自己和其他用戶設置口令，而普通用戶只能為自己設置口令。表4-9chage常用選項選項功能-d指定密碼最后修改日期，對應/etc/shadow文件的第3個字段。-m天數(shù)設置用戶密碼的最短存活期，為零代表任何時候都可以更改密碼，對應/etc/shadow文件的第4個字段。-M天數(shù)設置用戶口令的最長存活期，對應/etc/shadow文件的第5個字段。-W天數(shù)設置用戶密碼過期前的警告天數(shù)，對應/etc/shadow文件的第6個字段。-I天數(shù)設置用戶口令失效后，多少天停用賬戶，對應/etc/shadow文件的第7個字段。（I為i的大寫字母），0表示馬上過期，-1表示永不過期（默認值）-E日期密碼到期的日期，過了這天，此賬號將不可用。日期格式為YYYY-MM-DD。-l列出用戶以及密碼的有效期（l為L的小寫字母）-h顯示幫助信息并退出任務4.4使用命令管理用戶賬戶4.4.4修改用戶賬戶屬性

命令格式：usermod[選項]用戶名

命令功能：用于修改用戶賬戶的各項屬性。表4-10usermod常用選項選項功能-a把用戶追加到某些組中，僅與-G選項一起使用-c填寫用戶賬戶的備注信息，對應/etc/passwd文件的第5字段-d修改用戶的家目錄，通常和-m選項一起使用-m將家目錄內容移至新位置（僅與-d選項一起使用）-e密碼到期的日期，過了這天，此賬號將不可用。日期格式為YYYY-MM-DD。-f設置用戶口令失效后，多少天停用賬戶，對應/etc/shadow文件的第7個字段。0表示馬上過期，-1表示永不過期（默認值）-u修改用戶的UID值，該UID值必須唯一-g修改用戶的GID值，修改的用戶組一定存在-G變更用戶附加組，或與-a選項一起使用，把用戶追加到其他附加組中-l修改用戶的登錄名稱-s修改用戶的登錄Shell-L鎖定用戶的密碼，禁止用戶登錄。-U解鎖用戶的密碼任務4.4使用命令管理用戶賬戶4.4.5禁止和恢復用戶賬戶

有時需要臨時禁用一個用戶賬戶而不刪除它，可以通過passwd命令、usermod命令和修改/etc/shadow文件三種方法來實現(xiàn)。

（1）使用passwd命令

[root@centos7~]#passwd-luser05

[root@centos7~]#passwd-uuser05

（2）使用usermod命令 [root@centos7~]#usermod-Luser05 [root@centos7~]#usermod-Uuser05

（3）直接修改/etc/shadow文件

通過以上操作可知，我們也可以直接在/etc/shadow文件中用戶所對應的行的加密口令前添加“!!”、“!”符號，以達到禁用用戶賬戶的目的，在需要恢復時只要刪除對應的符號即可。

（4）禁止用戶登錄

如果只是禁止用戶登錄而不是禁用用戶，則可以把其登錄Shell更改為/sbin/nologin即可。任務4.4使用命令管理用戶賬戶4.4.6刪除用戶賬戶

命令格式：userdel[選項]用戶名

命令功能：用于刪除給定的用戶，以及與用戶相關的文件。若不加選項，則僅刪除用戶賬號，而不刪除相關文件。

表4-11userdel常用選項選項功能-r刪除用戶的同時，刪除與用戶相關的所有文件。-f強制刪除用戶，即使用戶當前已登錄；任務4.5管理組群4.5.1新建組群

命令格式：groupadd[選項]組名

命令功能：用于創(chuàng)建新的組群。

表4-12userdel常用選項選項功能-g指定用戶組的GID值，該值必須唯一。任務4.5管理組群4.5.2修改用戶組

命令格式：groupmod[選項]組名

命令功能：用于修改用戶組的相關信息。

表4-12groupmod常用選項選項功能-g修改用戶組的GID值-n修改用戶組的組名任務4.5管理組群4.5.3添加/刪除組用戶

命令格式：gpasswd[選項][用戶名][組名]

命令功能：用于修改用戶組的相關信息。

表4-13gpasswd常用選項選項功能