第4章用戶與用戶組openEuler系統(tǒng)的用戶與用戶組管理01openEuler系統(tǒng)用戶與用戶組基礎(chǔ)用戶與用戶組簡(jiǎn)介用戶名唯一性安裝階段root用戶權(quán)限最高，可對(duì)任意文件和命令進(jìn)行操作；自定義用戶權(quán)限需單獨(dú)賦予，使用更安全。權(quán)限差異登錄權(quán)限獲取在openEuler操作系統(tǒng)安裝階段，創(chuàng)建一個(gè)名為root的超級(jí)管理員用戶，并為其設(shè)置登錄密碼。root用戶默認(rèn)具有對(duì)整個(gè)操作系統(tǒng)的讀、寫和編輯權(quán)限。在操作系統(tǒng)安裝完成后，登錄并進(jìn)入操作系統(tǒng)管理界面，使用特定命令創(chuàng)建自定義用戶。自定義用戶必須要經(jīng)過(guò)賦權(quán)才能使用相關(guān)權(quán)限。在一個(gè)操作系統(tǒng)中，用戶名具有全局唯一性，這確保了系統(tǒng)能夠準(zhǔn)確識(shí)別和區(qū)分不同的用戶。安裝完成后定義還可以通過(guò)修改用戶組的權(quán)限，快速實(shí)現(xiàn)對(duì)用戶組包含用戶的權(quán)限的批量配置。權(quán)限修改每個(gè)用戶都必須歸屬于一個(gè)或者多個(gè)用戶組，每個(gè)用戶組中可以包含一個(gè)或者多個(gè)用戶。為了方便權(quán)限管理，openEuler操作系統(tǒng)設(shè)置了用戶組的概念，并支持為每個(gè)用戶組統(tǒng)一設(shè)置操作權(quán)限。用戶組概念通過(guò)管理用戶組的權(quán)限，可以實(shí)現(xiàn)批量管理多個(gè)用戶。例如創(chuàng)建用戶組usergroup01，為其配置對(duì)/root/test1文件的編輯權(quán)限，將zhangsan、lisi、wangwu添加到該組，即可實(shí)現(xiàn)對(duì)這3個(gè)用戶權(quán)限的統(tǒng)一管理。歸屬關(guān)系批量管理01030204一般由root用戶（或其他有權(quán)限的用戶）手動(dòng)創(chuàng)建，默認(rèn)僅擁有操作自身主目錄、自身主目錄中所包含的文件的所有權(quán)限，以及訪問(wèn)/etc、/var/log等目錄的權(quán)限，但無(wú)創(chuàng)建、修改、刪除等權(quán)限。管理員可按需為其配置權(quán)限。超級(jí)用戶主目錄表示用戶賬戶類型又稱root用戶，為操作系統(tǒng)安裝時(shí)創(chuàng)建的默認(rèn)用戶，擁有對(duì)整個(gè)系統(tǒng)中的任意文件的編輯權(quán)限、任意命令的執(zhí)行權(quán)限。但為避免誤操作帶來(lái)的風(fēng)險(xiǎn)，非必要情況下不建議使用。普通用戶一種比較特殊的普通用戶，一般為系統(tǒng)安裝后默認(rèn)存在的，且默認(rèn)情況下不能登錄系統(tǒng)。主要是為了滿足系統(tǒng)進(jìn)程對(duì)文件擁有者的需求，在系統(tǒng)中部署某些服務(wù)時(shí)，可手動(dòng)添加指定的系統(tǒng)用戶。系統(tǒng)用戶在openEuler操作系統(tǒng)中，“~”表示主目錄。如root用戶登錄時(shí)，“~”表示/root目錄；用戶zhangsan登錄時(shí)，“~”表示“/home/zhangsan”目錄。用戶組配置文件1．/etc/group文件/etc/group文件是用戶組配置文件，能夠明確表示用戶和用戶組的對(duì)應(yīng)關(guān)系。例如，某個(gè)用戶歸屬于某個(gè)用戶組或者某幾個(gè)用戶組。/etc/group文件內(nèi)逐行表示用戶組信息，一條信息中主要包含4個(gè)字段：用戶組名、用戶組密碼、GID及用戶列表。信息的標(biāo)準(zhǔn)存儲(chǔ)格式為：用戶組名:用戶組密碼:GID:用戶列表以用戶組group1信息為例，/etc/group文件中會(huì)保留一條如下格式的信息：group1:×:1000:字段說(shuō)明如下。

用戶組名：用戶組的名稱，例如group1。

用戶組密碼：用戶組的鑒權(quán)密碼，通常使用占位符×，表示密碼已被映射到/etc/gshadow文件中。

GID：組標(biāo)識(shí)，本例中GID為1000。

用戶列表：用戶組內(nèi)包含的用戶。當(dāng)本用戶組中包含多個(gè)用戶時(shí)，每個(gè)用戶之間用逗號(hào)“,”分隔；本例中該字段為空，則表示用戶組名和組內(nèi)用戶名保持一致。用戶組配置文件2．/etc/gshadow文件/etc/gshadow文件是/etc/group文件的加密信息文件，例如用戶組的管理密碼就存放在/etc/gshadow文件中。/etc/gshadow文件中逐行保存加密信息，每個(gè)用戶組獨(dú)占一行，一條信息中主要包含4個(gè)字段：用戶組、用戶組密碼、用戶組管理者和組成員。文本標(biāo)準(zhǔn)存儲(chǔ)格式為：用戶組名:用戶組密碼:用戶組管理者1,用戶組管理者2,…:組成員1,組成員2,…以用戶組group1信息為例，/etc/gshadow文件中會(huì)保留一條如下格式的信息：group1:!::字段說(shuō)明如下。

用戶組名：例如group1。

用戶組密碼：這個(gè)字段可以是空或“!”，如果是空或“!”，表示沒(méi)有密碼。

用戶組管理者：這個(gè)字段可為空。如果有多個(gè)用戶組管理者，需要用逗號(hào)“,”分隔。

組成員：如果組內(nèi)有多個(gè)成員，用逗號(hào)“,”分隔。通過(guò)對(duì)/etc/gshadow文件和/etc/group文件的管理，可以實(shí)現(xiàn)對(duì)多用戶大型系統(tǒng)的權(quán)限管理。02openEuler系統(tǒng)的用戶與用戶組操作用戶與用戶組管理使用groupadd命令添加用戶組，可通過(guò)-g指定GID，-r創(chuàng)建系統(tǒng)組。添加用戶組管理用戶組【示例4-1】#增加一個(gè)新組group1，新組的GID是在當(dāng)前已有的最大GID的基礎(chǔ)上加1[root@openeuler~]#groupaddgroup1【示例4-2】#向系統(tǒng)中增加一個(gè)新組group2，同時(shí)指定新組的GID是1001[root@openeuler~]#groupadd-g1001group2【示例4-3】#增加一個(gè)新系統(tǒng)組group3，同時(shí)指定新組的GID為1002[root@openeuler~]#groupadd-r-g1002group3#查看系統(tǒng)組信息[root@openeuler~]#cat/etc/group刪除用戶組管理用戶組使用groupdel命令刪除用戶組【示例4-4】#刪除用戶組group1[root@openeuler~]#groupdelgroup1[root@openeuler~]#cat/etc/group...dbus:x:991:group2:x:1001:group3:x:1002:管理用戶組修改用戶組屬性使用groupmod命令修改用戶組屬性，-g為用戶組指定新的GID，-n將用戶組的名字改為新名字?！臼纠?-5】#將組group2的GID修改為2002[root@openeuler~]#groupmod-g2002group2【示例4-6】#將group3的組名稱改為groupnew[root@openeuler~]#groupmod-ngroupnewgroup3【示例4-7】#-g參數(shù)和-n參數(shù)也可以一起使用，語(yǔ)句之間使用空格隔開(kāi)即可[root@openeuler~]#groupmod-g2003-ngroupnew2group2[root@openeuler~]#cat/etc/group...groupnew:x:1002:groupnew2:x:2003:用戶組管理管理用戶組使用gpasswd命令管理用戶組，空選項(xiàng)表示給用戶組設(shè)置密碼（僅root用戶可用），-a將用戶加入用戶組中，-d將用戶從用戶組中移除，-r移除用戶組的密碼（僅root用戶可用）?！臼纠?-8】#設(shè)置groupnew2的密碼[root@openeuler~]#gpasswdgroupnew2Changingthepasswordforgroupgroupnew2NewPassword:Re-enternewpassword:[root@openeuler~]#cat/etc/gshadow|grepgroupnew2groupnew2:$6$d2.79/Vs7$UacRaHwoNDVKwnlCXX2QROQFlW19KnYA4nRt/

OXO8wYfgGTWo2cPi2Vp8O3llp.S28w.sSA1huRAKxFayK4ju1::使用passwd命令更改用戶密碼，-d清除用戶密碼，-n設(shè)置密碼的最短使用期限，-m設(shè)置密碼的最長(zhǎng)使用期限。例如，passwdopenEuler1修改用戶openEuler1的密碼。使用usermod命令修改用戶屬性，-u修改UID為指定值，-g修改用戶所屬的基本組，-d修改用戶的主目錄，-m與-d一同使用可移動(dòng)原有主目錄中的文件到新的主目錄中，-l修改用戶名，-L鎖定用戶密碼，-U解鎖用戶的密碼，-e指定用戶賬戶的過(guò)期日期，-c修改用戶注釋信息。例如，usermod-d/home/openEuler1_newopenEuler1修改主目錄。修改用戶屬性管理用戶更改用戶密碼刪除用戶使用userdel命令刪除用戶，-r刪除用戶時(shí)一并刪除用戶主目錄。例如，userdel-ropenEuler2刪除用戶及主目錄。添加用戶使用useradd命令向系統(tǒng)添加用戶，可通過(guò)-u指定UID，-g指定用戶的基本組的GID，-c指定用戶注釋信息，-d指定用戶的主目錄，-D查看默認(rèn)配置信息，-r創(chuàng)建系統(tǒng)用戶，-f設(shè)置密碼過(guò)期后用戶被徹底禁用之前的天數(shù)。例如，useradd-u3000openEuler添加指定UID的用戶。查看用戶登錄信息用戶切換使用id命令查看用戶登錄信息，空選項(xiàng)顯示當(dāng)前登錄用戶的信息，-u顯示用戶的ID，-r僅顯示當(dāng)前登錄用戶的ID，-g僅顯示用戶的基本組的GID，-G僅顯示用戶所屬的所有組的GID，-n顯示用戶名或組名，而非ID。例如，id顯示當(dāng)前用戶信息，id-u顯示用戶ID?！臼纠?-20】#su命令用于切換登錄用戶[root@openeuler~]#su-openEuler#查看用戶信息[openEuler@openeuler~]$iduid=3000(openEuler)gid=3000(openEuler)groups=3000(openEuler)#顯示用戶的ID[openEuler@openeuler~]$id-u3000#僅顯示當(dāng)前登錄用戶的基本組的GID[openEuler@openeuler~]$id-g3000#顯示當(dāng)前登錄用戶的所屬的所有組的GID[openEuler@openeuler~]$id-G3000#配合-n選項(xiàng)，顯示用戶名或組名，而非ID[openEuler@openeuler~]$id-unopenEulersu命令是登錄用戶切換命令，-為登錄式切換，非登錄式切換則不使用-選項(xiàng)。openEuler默認(rèn)只允許root用戶使用su命令，其他用戶使用需特殊配置。用戶切換切換登錄用戶【示例4-21】#登錄式切換到用戶openEuler[root@openeuler~]#su-openEulerLastlogin:SatSep400:53:58CST2021onpts/0Welcometo4.19.90-2003.4.0.0036.oe1.x86_64Systeminformationasoftime:SatSep401:01:23CST2021Systemload:0.00Processes:98Memoryused:4.8%Swapused:0.0%UsageOn:7%IPaddress:10.0.0.73Usersonline:2[openEuler@openeuler~]$#回退到未更改前的用戶[openEuler@openeuler~]$exitlogout[root@openeuler~]##非登錄式切換到用戶openEuler[root@openeuler~]#suopenEulerWelcometo4