12/12用戶賬號和組賬號概述：用戶賬號：超級用戶：root用戶是linux系統(tǒng)中默認(rèn)的超級用戶賬號，對本主機(jī)擁有至高無上的完全權(quán)限，類似于window中的administrator，只有當(dāng)進(jìn)行系統(tǒng)管理、維護(hù)任務(wù)時，才建議使用root。日常處理事務(wù)建議使用一般的用戶賬號進(jìn)行。一般用戶：一般用戶賬號需要由root用戶或其他管理員用戶創(chuàng)建，擁有的權(quán)限受到肯定限制，一般只在用戶自己的宿主名目中完全權(quán)限。程序用戶：在安裝linux系統(tǒng)及部分應(yīng)用程序時，會添加一些熱定程序的低權(quán)限用戶賬號，這些用戶一般不允許登錄到系統(tǒng)，而僅用于維護(hù)系統(tǒng)或某個程序的正常運行。比如：bin、daemon、等。組賬號：基于某種特定關(guān)系（如都需要訪問ftp服務(wù)器）將多個用戶集合在一起，即構(gòu)成一個用戶組，用于表示該組內(nèi)全部用戶的賬號稱為組賬號。每一個用戶賬號至少屬于一個組，這個組成為基本組（或私有組）；如果該用戶同時還包括在其他的組中，則這些組稱為該用戶的附加組（或公共組）。對組賬號設(shè)置權(quán)限，將適用于組內(nèi)的每一個用戶賬號。UID和GID號：linux中每一個用戶賬號都有一個數(shù)字形式的身份標(biāo)記，稱為UID（UserIdenity（身份），用戶標(biāo)識號），對于系統(tǒng)核心而言，UID作為區(qū)分用戶的基本依據(jù)，原則上每一個用戶的UID號應(yīng)該是唯一的。root用戶賬號的UID號固定值為0，而程序用戶賬號的UID號默認(rèn)在1~499之間，500~60000的UID號默認(rèn)安排給一般用戶賬號使用。與UID號類似，每一個組賬號也有一個數(shù)字形式的身份標(biāo)記，稱為GID（groupidentity，組織標(biāo)號）。root組賬號的GID號為固定值0，而程序組賬號的GID號默認(rèn)在1~499之間，一般組賬號使用的UID號默認(rèn)為500~60000.一般用戶、組賬號使用的默認(rèn)UID、GID號范圍定義在配置文件“/etc/login.defs”中。例子：查看“/etc/login.defs”配置文件中定義的默認(rèn)UID、GID號范圍。~]#grep“ID”/etc/login.defs用戶賬號管理：用戶賬號文件。與用戶賬號相關(guān)的配置文件主要有兩個，分別是/etc/passwd、/etc/shadow。前者用于保存用戶名稱、宿主名目、登錄Shell等基本信息，后者用于保存用戶的密碼、賬號有效期等信息。在這兩個配置文件中，每一行對應(yīng)一個用戶賬號，不同的配置項之間使用冒號“：”進(jìn)行分隔。passwd文件中的配置行格式：系統(tǒng)中全部用戶的賬號基本信息都保存在“/etc/passwd”文件中，該文件時文本文件，任何用戶都可以讀取文件中的內(nèi)容。例子：查看“/etc/passwd”文件中的前兩行、后兩行的內(nèi)容。~]#head-2/etc/passwd~]#tail-2/etc/passwd在passwd文件開頭的部分，包括超級用戶root及各程序用戶的信息，系統(tǒng)中新增的用戶賬號信息將保存到passwd文件的末尾。passwd文件的每一行內(nèi)容中，包含了七個用冒號“：”分隔的配置字段（不是7個冒號），從左到右各配置字段的含義如下第一字段：用戶賬號的名稱，也是登錄系統(tǒng)時使用的識別名稱。其次字段：經(jīng)過加密的用戶密碼字串，或者密碼占用符“x”。第三字段：用戶賬號的UID號。第四字段：所屬基本組賬號GID號。第五字段：用戶全名、可填寫與用戶相關(guān)的說明信息。第六字段：宿主名目，即該用戶登錄后所在的默認(rèn)工作名目。第七字段：登錄Shell等信息，用戶完成登錄后使用的Shell。如果是/sbin/nologin,則禁止登錄到系統(tǒng)。基于系統(tǒng)運行和管理需要，全部用戶都可以訪問passwd文件中的內(nèi)容，但是只有root用戶才能進(jìn)行更改。在早期的unix系統(tǒng)中，用戶賬號的密碼信息也是保存在passwd中的，不法用戶可以獵取密碼字串進(jìn)行暴力破解，這樣一來賬號平安就存在肯定的隱患。因此，后來將密碼轉(zhuǎn)存入專門的shadow文件中，而passwd文件中僅保留密碼占位符“x”。B，shadow文件中的配置行格式。shadow文件又被稱為“影子文件”，其中保存有各用戶賬號的密碼信息，因此對shadow文件的訪問應(yīng)該進(jìn)行嚴(yán)格的限制。默認(rèn)只有root用戶能夠讀取文件中的內(nèi)容，而不許直接編輯該文件中的內(nèi)容。查看“/etc/shadow”文件的前兩行、后兩行內(nèi)容shadow文件的每一行內(nèi)容中，包含了九個用冒號“：”分隔的配置字段，從左到右配置字段的含義如下：第一字段：用戶賬號的名稱。其次字段：使用MD5加密的密碼字串信息，當(dāng)為“*”或者“！”時表示此用戶不能登錄到系統(tǒng)。若該字段內(nèi)容為空，則用戶無需密碼即可登錄到系統(tǒng)。第三字段：上次修改密碼的時間，表示從1970年01月01日算起到最近一次修改密碼時間隔的天數(shù)。第四字段：密碼的最短有效天數(shù)，自本次修改密碼后，必須至少經(jīng)過該天數(shù)才能再次修改密碼。默認(rèn)值為0，表示不進(jìn)行限制。第五字段：密碼的最長有效天數(shù)，自本次修改密碼后，經(jīng)過該天數(shù)以后必須再次修改密碼。默認(rèn)值為99999，表示不進(jìn)行限制。第六字段：提前多少天警告用戶口令過期，默認(rèn)值為7。第七字段：在密碼過期之后多少天之內(nèi)禁用此用戶。第八字段：賬號失效時間，此字段指定了用戶作廢的天數(shù)（從1970年1月1日起計算，）默認(rèn)值為空，表示賬號永久可用。第九字段：保留字段，目前沒有特定用途。2，useradd命令——添加刪除用戶賬號useradd命令可用于添加用戶賬號，其基本的命令格式如下：useradd[選項]用戶名最簡潔的用法是不添加任何選項，只使用用戶名作為useradd命令的參數(shù)，按系統(tǒng)默認(rèn)配置建立指定的用戶賬號。在RHEL5中，useradd命令在添加用戶賬號的過程中主要完成以下幾個任務(wù)：在“/etc/passwd”文件和“/etc/shadow”文件的末尾增加該用戶賬號的記錄。若未明確指定用戶的宿主名目，則在“/home”名目下自動創(chuàng)建與該用戶賬號同名的宿主名目，并在該名目中創(chuàng)建用戶的初始配置文件。若沒有明確指定用戶所屬的組，則自動創(chuàng)建與該用戶賬號同名的基本組賬號，組賬號的記錄信息將保存到“/etc/group”、“/etc/gshadow”。例子：創(chuàng)建名為yh的用戶賬號，查看passwd、shadow文件中的變化，并確認(rèn)該用戶宿主名目中的初始配置文件。~]#useraddyh~]#tail-1/etc/passwd~]#tail-1/etc/shadow~}#ls-ld/home/yh~}#ls-A/home/yh如果結(jié)合useradd命令的各種選項，可以在添加用戶賬號的同時對UID號、宿主名目、登錄Shell等相關(guān)屬性進(jìn)行指定。以下列出了useradd命令中用于設(shè)置賬號屬性的幾個常用選項：useradd-u：指定用戶的UID號，要求改UID號碼未被其他用戶占用。useradd-d：指定用戶的宿主名目位置。useradd-e：指定用戶的賬戶失效時間，可以使用YYYY-MM-DD的日期格式。useradd-g：指定用戶的基本組名（或使用GID號）。useradd-G：指定用戶的附加組名（或使用GID號）。(管理員組號為固定為0，或者root)useradd-M：不建立使用者的名目，即使/etc/login.defs系統(tǒng)檔設(shè)定要建立使用者名目。useradd-s：指定用戶的登錄Shell。例子：創(chuàng)建名為test1的用戶賬號，并將其UID號指定為504。~]#useradd-u504test1~]#tail-3/etc/passwd創(chuàng)建一個幫助管理賬號admin，將其基本組指定為“wheel”、附加組指定為“root”，宿主名目指定為“/admin”。~]#useradd-d/admin-gwheel-Grootadmin創(chuàng)建一個考試測試用的賬號exam1，指定屬于users組，該賬號屬于2009-07-30失效。~]#useradd-gusers-e2013-07-30exam1創(chuàng)建用于FTP訪問的用戶賬號dluser，將登陸Shell指定為“/sbin/nologin”（禁止登錄），且不為其創(chuàng)建宿主名目。~]#useradd-M-s/sbin/nologindluser實際上，大部分的應(yīng)用程序用戶都是被禁止登錄到系統(tǒng)的。~]#grep“nologin”/etc/passwd|head-33,，passwd命令——為用戶賬號設(shè)置密碼。通過useradd命令可以新添加用戶賬號，但是還必須有密碼才能登錄到系統(tǒng)。root用戶可以指定賬號名稱作為參數(shù)，對指定的密碼進(jìn)行管理。例子：指定用戶名yh作為參數(shù)，為該用戶設(shè)置一個登錄密碼，重復(fù)輸入兩次進(jìn)行確認(rèn)，并查看shadow文件中該用戶的密碼字串信息。~]#passwdyh~]#grepyh/etc/shadow用戶賬號具有可用的登錄密碼后，就可以從字符終端進(jìn)行登錄了。雖然root用戶可以指定用戶名作為參數(shù)，對指定賬號的密碼進(jìn)行管理，但是一般用戶卻只能執(zhí)行單獨的“passwd”命令修改自己的密碼。一般用戶設(shè)置自己的密碼時，密碼要求有肯定的簡單性（如不要直接使用英文單詞，長度保持在六位以上），否則系統(tǒng)可能拒絕進(jìn)行設(shè)置。例子：使用用戶賬號yh登錄終端后，即使更改本賬號的登錄密碼，需要原密碼進(jìn)行驗證。~]$passwd使用passwd命令除了可以修改賬號的密碼之外，還能對用戶賬號進(jìn)行鎖定、解鎖，或者也可以將用戶的密碼設(shè)置為空（無需密碼即可登錄）。相關(guān)敘述如下：passwd-d：清空指定用戶的密碼，僅使用用戶名即可登錄系統(tǒng)。passwd-l：（小寫的L）鎖定用戶（lock）passwd-S：（大寫）查看用戶賬戶的狀態(tài)（是否被鎖定）。passwd-u：解鎖用戶賬戶。例子：將用戶賬號duke的密碼予以鎖定，查看shadow文件中的變化（密碼串前多一個“??！”號），并檢查用戶密碼狀態(tài)。~]#passwd-lduke~]#grepduke/etc/shadow~]#passwd-Sduke接觸對用戶賬號duke的鎖定，再次檢查用戶密碼狀態(tài)。~]#passwd-uduke~]#passwd-Sduke4,，usermod命令——修改用戶賬號屬性。對于系統(tǒng)中已經(jīng)存在的用戶賬號，可以使用usermod命令重新設(shè)置各種屬性。usermod命令同樣需要指定賬號名稱作為參數(shù)。較常使用的幾個選項參數(shù)如下：usermod-u：修改用戶的UID號。usermod-d：修改用戶的宿主名目位置。usermod-e：修改用戶的賬戶失效時間，可以使用YYYY-MM-DD的日期格式。usermod-g：修改用戶的基本組名（或使用GID號）usermod-G：修改用戶的附加組名（或者使用GID號）。usermod-s：指定用戶的登錄Shell。usermod-l：（小寫L）更改用戶賬號的登錄名稱（LoginName）usermod-L:鎖定用戶賬戶。usermod-U：解鎖用戶賬戶。使用usermod命令時，其大部分的選項與useradd命令的選項是相對應(yīng)的，作用也相像。除此之外，還有兩個選項“-L”，“-U”分別用于鎖定、解鎖用戶賬號。這兩個選項與passwd命令的“-l”“-u”選項的作用基本相同，只不過大小寫存在區(qū)分。例子：將admin用戶的宿主名目移動到/home名目下，并使用usermod命令做相應(yīng)的調(diào)整。~]#useradd-d/admin-gwheel-Grootadmin~]#mv/admin/home/~]#usermod-d/home/adminadmin~]#tail-1/etc/passwd使用usermod命令鎖定用戶賬號admin，確認(rèn)狀態(tài)后解除其鎖定。~]#usermod-Ladmin~]#passwd-Sadmin~]#usermod-Uadmin~]#passwd-Sadmin將用戶賬號的登錄名稱admin改為webmaster，下次登錄時生效。~]#usermod-lwebmasteradmin~]#grep“admin”/etc/passwd5,，userdel命令——刪除用戶賬號。使用“userdel-r”命令可以將該用戶的宿主名目一并刪除。例子：刪除系統(tǒng)中webmaster，但是保留其宿主名目。~]#userdelwebmaster~]#ls-ld/home/admin刪除系統(tǒng)中的用戶賬號abc，同時刪除其宿主名目。~]#userdel-rabc~]#ls-ld/home/6，用戶賬號的初始配置文件。在linux系統(tǒng)中添加用戶賬號以后，useradd命令會在該用戶的宿主名目中建立一些初始配置文件，這些文件來自賬號模板名目“/etc/skel/”，基本上都是隱藏文件，較常用的初始配置文件包括“.bash_log