软考地带经典linux教程四用户管理.docx

1、软考地带经典linux教程四 用户管理软考地带经典linux教程四： 用户管理一. 用户账号文件passwdPasswd 是一个文本文件，用于定义系统的用户账号，该文件位于“/etc”目录下。它包含了一个系统账户列表，给出每个账户一些有用的信息，例如，用户 ID、组 ID、主目录、shell等等。由于所有用户都对passwd有读权限，所以该文件中只定义用户账号，而不保存口令。passwd文件中每行定义一个用户账号，一行中又划分为多个字段定义用户的账号的不同属性，各字段用“：”隔开。各字段的说明如下所示。 表 passwd文件各字段说明字段 说明Account 使用者在系统中的名字，它不能包含大

2、写字母。Password 用户口令，出于安全考虑，现在不使用该字段保存口令，而用字母“x”来填充该字段，真正的密码保存在shadow文件。删除该列，则不需要密码验证。UID 用户 ID 号，惟一表示某用户的数字。GID 用户所属的私有组号，该数字对应group文件中的GID。COMMENT 这字段是可选的，通常用于保存用户命名的信息。Directory 用户的主目录，用户成功登录后的默认目录。shell 用户所使用的shell，如该字段为空则使用“/bin/sh”。UID:0就表示超级用户UID:199 系统帐号UID:100499 系统预留帐号UID:500以上 普通用户帐号关于UID 的理

3、解：UID 是用户的ID 值，在系统中每个用户的UID的值是唯一的，更确切的说每个用户都要对应一个唯一的UID ，系统管理员应该确保这一规则。系统用户的UID的值从0开始，是一个正整数，至于最大值可以在/etc/login.defs 可以查到，一般Linux发行版约定为60000； 在Linux 中，root的UID是0，拥有系统最高权限；UID 是确认用户权限的标识，用户登录系统所处的角色是通过UID 来实现的，而非用户名，切记；把几个用户共用一个UID 是危险的，比如我们上面所谈到的，把普通用户的UID 改为0，和root共用一个UID ，这事实上就造成了系统管理权限的混乱。如果我们想用r

4、oot权限，可以通过su或sudo来实现；切不可随意让一个用户和root分享同一个UID ；二用户口令文件shadow在shadow文件中，每行定义了一个用户信息，行中各字段各字段用“：”隔开。为进一步提高安全性，shadow文件中保存的是已加密的口令。 “/etc/shadow”文件中的每个记录用“：”隔开为9个域，每个域的含义分别为： 登录名 加密口令 口令上次更改时间距1970年1月1日的天数 口令更改所需的最小间隔天数 口令有效期，默认为99999天 口令到期前的提前警告天数 口令到期后的宽限天数 账号被封时距1970年1月1日的天数 备用列三用户组账号文件group用户组是逻辑地组织

5、用户账号集合的方便途径，它允许用户在组内共享文件。系统上的每一个文件都有一个用户和一个组的属主。使用“ls l”命令可以看到每一个文件的属主和组。对于系统上的每个组，在/etc/group文件中有一行记录，记录的格式为： groupname : passwd : GID : userlist表3-2 group文件字段说明字段 说明Groupname 是组的名字Passwd 是组的加密口令GID 是系统区分不同组的ID，在/etc/passwd域中的GID域是用这个数来指定用户的缺省组。Userlist 是用“，”分开的用户名，列出的是这个组 的成员。四用户组口令文件gshadowgshado

6、w文件用于定义用户组口令、组管理员等信息，该文件只有root用户可以读取。gshadow文件中每行定义一个用户组信息，行中各字段间用“：”分隔，每行记录的格式为：groupname : Encrypted password: Group administrators: Group members表3-3 group文件字段说明字段 说明Groupname 用户组名称，该字段与group文件中的组名称 对应。Encrypted password 用户组口令，该字段用于保存已加密的口令Group administrators 组的管理员账号，管理员有权对该组添加删除账号。Group members

7、 属于该组的用户成员列表，列表中多个用户间用“，”分隔。五/etc/skel保存用户默认配置文件和目录如果有一系列标准文件，如新用户的公司政策，则可以将其复制到/etc/skel文件中。所有用户的主目录中都会得到这些文件的拷贝。六用户主目录下的用户文件/.bash_history - 用户执行命令的历史记录，可存放1000条,先进先出/.bash_logout - 用户退出时执行的命令/.bashrc 私有环境文件/.bash_profile 私有环境文件用户管理涉及的文件：/etc/passwd 帐号文件/etc/shadow 用户密码文件/etc/group 组文件/etc/gshadow

8、 组密码文件/etc/default/useradd 添加用户的默认值文件/etc/login.defs 登录信息的默认文件/etc/skel 用户环境文件的标准模板/etc/issue 登录前的提示信息 包含参数： r 内核的版本 m 硬件等级 d 日期 t 时间 l 第几个终端/etc/motd 登录后的提示信息，内容可自定义/etc/bashrc 公有环境文件/etc/profile 公有环境文件/.bashrc 私有环境文件/.bash_profile 私有环境文件/.bash_history 保存历史命令的文件 /.bash_logout 退出登录的执行命令的文件七用户的增删改1.添

9、加用户：#useradd us1#passwd us1新增用户属于锁定状态，必须用passwd设置密码解锁。#useradd usx u 522 g 0 c new user usx d /tmp/usx s /sbin/nologin f 5 e 20080801useradd命令参数说明：-u : 指定UID-g : 指定GID，此组必须已存在-c : 指定帐户描述信息，如包含空格，必须用单引号括起来-d : 指定主目录-s : 指定登录后执行的程序-f : 设置口令过期后宽限时间。若为0，则表示帐号立即失效；为1，则表示该选项无效-e : 指定帐户过期日期，格式MM/DD/YYYY 或

10、YYYYMMDD-m : 自动创建用户主目录，并把环境目录（默认为/etc/skel）下的文件复制到用户主目录-M : 不创建用户主目录passwd命令还可以使用一些参数选项，这些参数选项可对账号的口令进行不同的操作，但这些带参数的passwd命令只有root用户可以使用。这些参数选择包括：-S：用于查询指定用户账号的状态。 -l：用于锁定账号的口令 -u：解除锁定账号的口令 -d：删除指定账号的口令 -x：密码使用最大天数 -n：密码使用最小天数#passwd uf us1 -密码解锁#passwd -l us1 -密码锁定#passwd -d us1 -清空密码#passwd -n 5 u

11、s1 -修改密码最少使用5天#passwd -x 900 us1 -修改密码最长用900天2. 删除用户：userdel命令用于删除指定的用户账号。其使用的语法格式为： userdel -r用户账号需要补充说明的是userdel命令可删除用户账号与相关的文件。若不加参数，则仅删除用户账号，而不删除相关文件。其中参数“-r”是用来删除用户登入目录以及目录中所有文件。下面举例说明该命令的使用方法：#grep lyd /etc/passwd /查询用户账号lyd是否存在#userdel lyd /删除lyd账号#grep lyd /etc/passwd /再次查询用户账号lyd是否存在#ll d /

12、home /查询用户lyd的主目录是否还存在#userdel r lyd /删除用户的同时删除其工作主目录3. 修改用户帐号usermod命令可用来修改用户帐号的各种属性，包括用户主目录、私有组、登录、shell等内容。Usermod的命令格式如下：usermod -LU-c -d -e -f -g -G -l -s -u 用户帐号该命令的各个参数说明如下：-c ： 修改用户帐号的备注文字。 -d： 修改用户登入时的目录。 -e : 修改帐号的有效期限。 -f ：修改在密码过期后多少天即关闭该帐号。 -g： 修改用户所属的群组。 -l ：修改用户帐号的名称下面举例说明该命令的使用方法：（1）修

13、改用户名，把用户名“liuyidan”改名为“lyd”，使用的命令是：# usermod l lyd liuyidan（2）锁定“lyd”用户，使其不能登录。命令如下：# usermod L lyd（3）解锁“lyd”用户账号，使其可以登录。命令如下：# usermod U lyd添加组帐号groupadd命令可指定群组名称来建立新的群组账号。该组账号的ID值必须是惟一的，且数值不可为负。预设的最小值不得小于500，且每增加一个组账号ID值逐次增加。ID值0499是保留给系统账号使用。该指令使用的语法格式为： groupadd -r group其中“-r”参数是用来建立系统账号。系统账号的ID

14、值不能大于500。下面举例说明该命令的使用方法：# groupadd lbgroup /建立组账号lbgroup#groupadd -g 555 lbgroup /建立组帐号时指定GID# grep lbgroup /etc/group /查询group文件中lbgroup组是否建立#groupadd r syslbgroup /建立系统组账号# grep lbgroup /etc/group /查询group文件中syslbgroup组是否建立 5. 修改组帐号groupmod命令用来更改群组识别码或名称。该命令的语法格式为： groupmod -g -n 群组名称命令中所使用的参数说明如下

15、： -g 设置欲使用的群组识别码。 -o 重复使用群组识别码。 -n 设置欲使用的群组名称。下面举例说明该命令的使用方法：# grep lbgroup /etc/group /查询group文件中lbgroup组属性#groupmod g 503 lbgroup /改变lbgroup组的GID为503# grep lbgroup /etc/group /查询操作结果是否正确#groupmod n ydgroup lbgroup /改变lbgroup组名为ydgroup# grep 503 /etc/group /查询操作结果是否正确6. 删除组账号 groupdel命令用于删除指定的组账号，若

16、该群组中仍包括某些用户，则必须先删除这些用户后，方能删除群组。该命令的语法格式为： groupdel 群组名称7. 组中用户成员的维护gpasswd命令可用于把一个账户添加到组、把一个账户从组中删除、把一个账户设为组管理员。（1）添加用户到组的命令格式为：gpasswd a 用户账号名组账号名（2）从组中删除用户的命令格式为：gpasswd d 用户账号名 组账号名（3）设置用户为组管理员的命令格式为：gpasswd -A 组管理员用户列表用户组8 id命令 id命令用于显示用户当前的UID，gid以及所属群组的组列表该指令的语法格式为： id 选项 用户名称该命令所使用的选项参数说明如下：

17、-g：显示用户所属群组的ID。 -G：显示用户所属附加群组的ID。 -n：显示用户，所属群组或附加群组的名称。 -r：显示实际ID。 -u：显示用户ID。9. whoami命令whoami命令用于显示登录者自身的用户名称，本指令相当于执行“id un”指令。10. su命令su命令是用来将当前用户转换为其他用户身份。其命令的语法格式为：su -flmp -c -s 用户帐号需要指出的是su命令可让用户暂时变更登入的身份。变更时须输入所要变更的用户账号与密码。该命令中的选项参数说明如下： -c：执行完指定的指令后，即恢复原来的身份。 -f：适用于csh与tsch，使shell不用去读取启动文件。

18、 -：改变身份时，也同时变更工作目录，以及HOME，SHELL，USER，LOGNAME。此外，也会变更PATH变量。 -m，-p：变更身份时，不要变更环境变量。 -s：指定要执行的shell。用户帐号：指定要变更的用户。若不指定此参数，则预设变更为root。11. groups命令groups命令用于显示指定用户所属的组，如未指定用户则显示当前用户所属的组。该命令的语法格式为： groups 用户名12. 查看用户的操作 系统管理员在任一时刻都可查看用户的行为，在终端的提示符下输入w命令即可 命令响应中所示的信息分别说明如下：第一行显示系统的汇总信息，字段分别表示系统当前时间、系统运行时间、

19、登录用户总数及系统平均负载信息。对于该行显示的几个数据意义是：4:50pm 表示执行w的时间是在下午4:50。0days,11:18 表示系统运行0天11小时18分。4users 表示当前系统登录用户总数为4load average 与后面的数字一起表示系统在过去1、5、10分钟内的负载程度，数值越小，系统负载越轻。从第2行开始构成一个表格，共有8个栏目，分别显示各个用户正在做的事情及该用户所占用的系统资源： USER：显示登录用户名。用户重复登录，该账号也会重复出现。TTY：用户登录所使用的终端。FORM: 显示用户从什么地方登录到系统。如果是从本地登录，此字段为“-”；如果从远程登录便会显

20、示主机的IP地址或主机名。LOGIN：是LOGINAT的意思，表示登录进入系统的时间。IDLE：用户空闲时间，从用户上一次任务结束后开始计时。JCPU：以终端代号来区分，表示在某段时间内，所有与该终端相关的进程任务所耗费的CPU时间。PCPU：指WHAT域的任务执行后所耗费的CPU时间。 WHAT：表示当前执行的任务。另外，使用W命令还可在有很多用户登录时，查看某一个具体的用户名，使用的命令形式如下： # w root13. 查看登录用户历史 系统管理员可以随时查看用户登录的历史行为，还可查看某一用户曾经登录到的系统，这些功能使用last命令即可实现。14.别名命令#alias#alias a

21、=cd -临时设置设置单个用户主目录下的 .bashrc文件，只对当前用户有效设置/etc/.bashrc 文件，对所有用户有效如果在两个文件中同时设置相同别名命令，则以私有文件中的设置有效15系统环境变量 $PATH不同级别的用户默认环境变量的内容是不同的#echo $PATH#su john$echo $PATH$PATH=$PATH:/sbin - 临时修改当时用户的环境变量$vi .bash_profile - 直接修改用户环境文件，永久保存在文件中增加下面一行：PATH=$PATH:/sbin16系统环境变量 PS1控制命令提示行；d:表示日期；t:24小时制的时间，格式为： HH：

22、MM：SST:12小时制的时间；H:主机名.域名;h:主机名；A:显示时间，格式为：HH:MMu:当前登录名称；v:BASH的版本；w:所在目录的绝对路径；W:当前目录的目录名；! 当前命令在历史缓冲区中的位置 # 命令编号（只要您键入内容，它就会在每次提示时累加）$:提示字元，如果是root,则提示#；普通用户则提示$;彩色化 颜色是通过在 PS1 中添加专用序列来选择的 - 基本上是夹在 e（转义开方括号） 和 m 之间数字值。如果指定一个以上的数字代码，则用分号将它们分开。前景编号 (30-37) ，背景 编号 (40-47)，颜色深度（1-10）在 bash 显示出工作目录以后，我们需要使用 e0m 或e；m序列将颜色重新设置为正常值。 16系统环境变量 PS2命令的二级提示符；bash有俩级用户提示符。第一级是bash在等待命令输入时的提示符。可以通过在用户主目录下.bash_profile文件里设置PS1变量来实现。当bash期待输入更多的信息以完成命令时将显示第二级提示符。（比如：你输入cp filename1 ,回车，这时候就出现第二级提示符。是续行的意思）默认的第二级提示符是“;”。如果要改变第二级提示符，可以通过在.bash_profile文件里设置PS2变量来实现。