三、用户和用户组

一、一些概念
1.安全3A

Authentication ：认证（密码、指纹等）
Authorization ：授权
Accouting|Audition ：审计（时候审计，监控）

2.用户user

令牌 token， identity

用户登录系统，成功后，系统会分配给用户一个令牌token，在该用户访问系统中的文件时，文件会审核这个令牌来决定是否给予权限访问该文件。要想获得最新的token，重新登录。

Linux用户：username、UID （Linux中用户权限看UID）

　　管理员：root，0
　　普通用户：1-65535
　　　　　　系统用户：1-499；1-999（centos7）一般指各个进程
　　　　　　登录用户：500+，1000+（centos7）

3.组group

Linxu组：Groupname、GID
管理员组：root，0
　　普通组
　　　　系统用户：1-499；1-999（centos7）一般指各个进程
　　　　登录用户：500+，1000+（centos7）

4.Linux安全上下文（context）
进程所能够访问资源的权限取决于进程的运行者的身份（用户身份，用户组身份）。即程序能否访问某个文件是由用户身份决定的而非程序本身。

5.group组的类别

用户的主要组（primary group）
- 用户必须属于一个且只有一个主要组
- 组名同用户名，且仅包含一个用户，又称私有组
　　用户的附加组（supplementary group）
- 　　一个用户可以属于0个或多个附加组

即，一个用户可以加入多个组，该用户的权限是组权限的累加；一个组也可以拥有多个用户

二、用户和组的配置文件
1./etc/passwd 用户及其属性信息（名称、UID/主组id等）
　　cat /etc/passwd

以最后一行songtai为例：

login name：登录用名（songtai）
passwd：密码(x)
UID：用户身份编号(500)
GID：登录默认所在组编号(501)
GECOS：用户全名或注释
home directory：用户主目录(/home/wang)
shell：用户默认使用shell (/bin/bash)

说明：

1.帮助文档： man 5 passwd
2.可用chfn命令添加修改第5行的信息
3.uid为1-499的为系统程序进程，最后的shell类型为/sbin/nologin，给程序服务使用的shell，用于创建给服务用的账号，其可以限制某些用户通过ssh登陆到shell上。
4.chsh -s /bin/csh songtai songtai账号更改shell为csh
5.第二列x为密码，其信息记录在/etc/shadow文件下

2./etc/group 组及其属性信息
　　cat /etc/group

man 5 group 帮助文档
group_name：the name of the group
password： the (encrypted) group password. If this field is empty, no password is needed.
GID：the numerical group ID.
附加组名单user_list：a list of the usernames that are members of this group, separated by commas.附加组的用户列表，用“，”隔开

注意：对一个正在登陆中的用户，对其修改组等相关信息并不会实时更改，需要重新登陆（背后原理：token令牌原理，只有重新登陆系统才会分配其一个最新的令牌，其拿着新的令牌才有访问一些配置文件的权限）

3./etc/shadow 用户密码及其相关属性
　　cat /etc/shadow

从左至右：

　　用户名：加密了的密码：最近一次更改密码的日期：密码的最小使用期限：最大密码使用期限：密码警告时间段：密码禁用期：用户过期日期：保留字段

1、登陆用名
2、用户密码：一般用sha512加密
　　！！：表示账号锁定（useradd sst命令新增的sst用户的密码就是这种情况）
　　解锁方法：
　　①nano /etc/shadow 将sst用户第二列的两个！！删除掉，这样即可登录；
　　②usermod -U sst 表示sst这个用户解锁一个!，连续操作两次。（centos6和7 已不支持此类操作）
　　③passwd -e username 表示将第三列的数值变为默认0，意味着下次登录时必须更改密码（也即让当前口令失效）或chage -d 0 username 效果同passwd -e username
3、从1970年1月1日起到密码最近一次被更改的时间
　　　echo `date +%s`/3600/24 | bc #表示目前距1970年1月1日的天数

当第三列数值为0时表示用户再下一次登陆时须修改密码

4、密码再过几天可以被变更(0表示随时可被变更)
5、密码再过几天必须被变更（99999表示永不过期）
6、密码过期前几天系统提醒用户（默认为一周）
7、密码过期几天后帐号会被锁定
8、从1970年1月1日算起，多少天后帐号失效

4./etc/gshadow 组密码及其相关属性
cat /etc/gshadow

共四列：
群组名称：就是群组名称
群组密码：
组管理员列表：组管理员的列表，更改组密码和成员
以当前组为附加组的用户列表：(分隔符为逗号)

相关文件操作处理命令
vipw （与nano /etc/passwd 相同，但具备语法检查功能，vi=vim）

pwck 检查passwd文件语法

vigr （与nano /etc/passwd 相同，但具备语法检查功能，vi=vim）

grpck 检查group文件语法

5. /etc/default/useradd 新建用户时默认的一些默认属性配置文件夹

1 GROUP=100 #默认的user组的 GID 
2 HOME=/home #默认的家目录
3 INACTIVE=-1
4 EXPIRE= #默认账户有效期
5 SHELL=/bin/bash #默认使用的shell
6 SKEL=/etc/skel #默认的一些模板文件夹 （新建账号的模板文件夹）
7 CREATE_MAIL_SPOOL=yes #默认允许创建邮箱文件夹

注意：可用useradd -D命令可显示或更改默认设置
useradd -D -s SHELL 修改shell类型6
useradd -D -g GROUP 修改默认组

6./etc/skel 默认文件夹相关
每次新建用户时，都会将此文件夹复制到新建用户的家目录下。默认只有3个环境配置文件，可以修改这里面的内容，或者添加几个文件在该文件目录中，以后新建用户时就会自动获取到这些环境和文件。

ll -a /etc/skel/
-rw-r--r--. 1 root root 18 Apr 11 2018 .bash_logout
-rw-r--r--. 1 root root 193 Apr 11 2018 .bash_profile
-rw-r--r--. 1 root root 231 Apr 11 2018 .bashrc

注意：因为删除/etc/skel目录下的文件出现的问题，我们重新复制一个完整的文件进去即可解决。

7.cat /etc/login.defs 密码的默认配置文件
设置用户帐号限制的文件。该文件里的配置对root用户无效。
如果/etc/shadow文件里有相同的选项，则以/etc/shadow里的设置为准，也就是说/etc/shadow的配置优先级高于/etc/login.defs。
该文件有很多配置项，文件的默认内容只给出了一小部分，若想知道全部的配置项以及配个配置项的详细说明，可以"man 5 login.defs"查看。

 1 less /etc/login.defs
 2 #QMAIL_DIR Maildir # QMAIL_DIR是Qmail邮件的目录，所以可以不设置它
 3 MAIL_DIR /var/spool/mail # 默认邮件根目录，即信箱
 4 #MAIL_FILE .mail # mail文件的格式是.mail
 5 
 6 # Password aging controls:
 7 PASS_MAX_DAYS 99999 # 密码最大有效期(天)
 8 PASS_MIN_DAYS 0 # 两次密码修改之间最小时间间隔
 9 PASS_MIN_LEN 5 # 密码最短长度
10 PASS_WARN_AGE 7 # 密码过期前给警告信息的时间
11 
12 # 控制useradd创建用户时自动选择的uid范围
13 # Min/max values for automatic uid selection in useradd
14 UID_MIN 1000
15 UID_MAX 60000
16 # System accounts
17 SYS_UID_MIN 201
18 SYS_UID_MAX 999
19 
20 # 控制groupadd创建组时自动选择的gid范围
21 # Min/max values for automatic gid selection in groupadd
22 GID_MIN 1000
23 GID_MAX 60000
24 # System accounts
25 SYS_GID_MIN 201
26 SYS_GID_MAX 999
27 
28 # 设置此项后，在删除用户时，将自动删除用户拥有的at/cron/print等job
29 #USERDEL_CMD /usr/sbin/userdel_local
30 
31 # 控制useradd添加用户时是否默认创建家目录，useradd -m选项会覆盖此处设置
32 CREATE_HOME yes
33 
34 # 设置创建家目录时的umask值，若不指定则默认为022
35 UMASK 077
36 
37 # 设置此项表示当组中没有成员时自动删除该组
38 # 且useradd是否同时创建同用户名的主组。(该文件中并没有此项说明，来自于man useradd中-g选项的说明)
39 USERGROUPS_ENAB yes
40 
41 # 设置用户和组密码的加密算法
42 ENCRYPT_METHOD SHA512

三、用户及用户组的相关命令

开始创建
shell> echo "userX:x:666" >> /etc/group
shell> echo "userX:x:666:666::/home/userX:/bin/bash" >> /etc/passwd
shell> echo 'userX:!!:17121:0:99999::::' >> /etc/shadow
shell> cp -r /etc/skel /home/userX
shell> chown -R userX:userX /home/userX
shell> chmod -R go= /home/userX
shell> passwd --stdin userX <<< '123456'

 用户管理命令：
　　useradd
　　usermod
　　userdel
 组账号管理命令：
 　　groupadd
 　　groupmod
 　　groupdel

1、useradd 添加用户

 1 useradd -u 66666 songtai   # 表示新建用户songtai，并指定其uid为66666
 2 useradd -o  # 与u一起用，id不唯一，用于创建同id用户
 3 useradd -g GID # 指明用户所属基本组（主要组），可为组名，也可以GID
 4     useradd -g  songtai  sst   # 创建sst这个用户，并将songtai作为其主组
 5 useradd -c  hello  sst3  # 创建sst3这个用户，并添加hello这个信息在账户里
 6 useradd -d HOME_DIR   # 以指定的路径(不存在)为家目录
 7 useradd -s SHELL   # 指明用户的默认shell程序
 8     useradd -s /bin/csh sst4
 9 useradd -G  GROUP1[,GROUP2,...]    #为用户指明附加组，组须事先存在
10 useradd -N    # 不创建私用组做主组，使用users组做主组
11 useradd -r    # 创建系统用户CentOS 6: ID<500，CentOS 7: ID<1000   用于安装系统应用
12 useradd -m    # 创建家目录，用于系统用户
13 useradd -M    # 不创建家目录，用于非系统用户

2、usermod

usermod [options] LOGIN
# option
    -u UID: 新UID
    -g GID: 新主组
    -G GROUP1[,GROUP2,...[,GROUPN]]]：新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使用-a选项
    -s SHELL：新的默认SHELL
    -c 'COMMENT'：新的注释信息
    -d HOME: 新家目录不会自动创建；若要创建新家目录并移动原家数据，同时使用-m选项
    -l login_name: 新的名字；
    -L: lock指定用户,在/etc/shadow 密码栏的增加!
    -U: unlock指定用户,将/etc/shadow 密码栏的! 拿掉
    -e YYYY-MM-DD: 指明用户账号过期日期
    -f INACTIVE: 设定非活动期限

3.userdel
　　userdel -r USERNAME: 删除用户家目录

4.grooupadd、groupmod、groupdel
5.chpasswd 批量修改用户口令
第一步：
　　创建passwd文件（名字任意、目录任意）
第二步：
　　nanopasswd 添加统一格式
　　名户名：口令，例如：
　　sst1：woshisst1
　　sst2：woshisst2
　　sst3：woshisst3
第三步：
　　cat passwd | chpasswd 批量修改用户口令

6.newusers 批量创建用户
newusers passwd格式文件
实验场景：假如想在要在centos7上创建已经在centos6上存在的批量账号，怎么做？

1.第一步：cat /etc/passwd 将chentos6上要创建的账号都复制
2.创建一个list.txt 的文件，将上面的文件复制进这个文件，并保存

3.scp list.txt ip: /data 远程复制附件。
例如：scp list.txt 192.168.199.134: /data 表示将list.txt这个文件复制进192这个ip地址里data这个文件目录下
4.newusers /data/list.txt 批量创建list.txt中的用户

7. id 查看用户相关的ID信息

-u: 显示UID
-g: 显示GID
-G: 显示用户所属的组的ID
-n: 显示名称，需配合ugG使用

8. su 切换用户或以其他用户身份执行命令
su [options...] [-] [user [args...]]
su UserName：非登录式切换，即不会读取目标用户的配置文件，不改变当前工作目录
su - UserName：登录式切换，会读取目标用户的配置文件，切换至家目录，完全切换（等价于重新登陆一个账号）
su [-] UserName -c 'COMMAND' 换个身份执行命令

9.passwd 设置密码
passwd: 修改自己的密码
passwd [OPTIONS] UserName: 修改指定用户的密码，仅root用户权限

passwd -l:锁定指定用户
passwd -u:解锁指定用户
passwd -e:强制用户下次登录修改密码
passwd -n mindays: 指定最短使用期限
passwd -x maxdays：最大使用期限
passwd -w warndays：提前多少天开始警告
passwd -iinactivedays：非活动期限
passwd --stdin：从标准输入接收用户密码
echo "PASSWORD" | passwd--stdin USERNAME

10.修改用户密码策略
chage [OPTION]... LOGIN

-d LAST_DAY
-E --expiredateEXPIRE_DATE
-I --inactive INACTIVE
-m --mindaysMIN_DAYS
-M --maxdaysMAX_DAYS
-W --warndaysWARN_DAYS
–l 显示密码策略

示例：
chage-d 0 tom 下一次登录强制重设密码
chage-m 0 –M 42 –W 14 –I 7 tom
chage-E 2016-09-10 tom

11.gpasswd 更改组密码
gpasswd [OPTION] GROUP

-a user 将user添加至指定组中
-d user 从指定组中移除用户user
-A user1,user2,… 设置有管理权限的用户列表

12.newgrp 临时切换主组
如果用户本不属于此组，则需要此组密码

13.groups、groupmems 更改和查看组成员
groupmems [options] [action]

-g, --group groupname更改为指定组(只有root)

Actions:
-a, --add username 指定用户加入组
-d, --delete username 从组中删除用户
-p, --purge 从组中清除所有成员
-l, --list 显示组成员列表

groups [OPTION] [USERNAME]...查看用户所属组列表

14.getent passwd/shadow/group/gshadow
查看passwd/shadow/group/gshadow这几个文件夹

四、练习
1、创建用户gentoo，附加组为bin和root，默认shell为/bin/csh，注释信息为"Gentoo Distribution"
useradd -G root,bin -s /bin/csh -c "Gentoo Distribution" gentoo
注意：
-G 后边跟的附加组之间用,隔开；
注释信息用""
要创建的用户放在最后

2、创建下面的用户、组和组成员关系
名字为admins 的组
用户natasha，使用admins 作为附属组
用户harry，也使用admins 作为附属组
用户sarah，不可交互登录系统，且不是admins 的成员，natasha，harry，sarah密码都是centos

1 groupadd admins 先创建组admins
2 useradd -G admins natasha
3 useradd -G admins harry
4 useradd -s /sbin/nologin sarah
5 echo centos |passwd --stdin ntatsha 
6 echo centos |passwd --stdin natasha
7 echo centos |passwd --stdin sarah

3.分析安装一个应用时的相关组信息

五、实验
实验：centos6,7上修改/etc/passwd root的UID非0，无法启动，修复之

1. centos6：
第一步，启动时，此界面按a进入

第二步，按a进入下面这个界面，最后敲入init=/bin/bash

第三步，进入到/bin/sh界面，
mount –o rw,remount / 重新挂载/目录
nano /etc/passwd 修改root的UID

第四步，重启即可正常进入centos6

2. centos7：
第一步，启动界面按e进入

第二步，在Linux16那一行的最后敲入 init=/bin/bash,再按ctrl+x

第三步，

mount -orw,remount /
nano /etc/passwd

第四部，将root的uid改为0，重启即可

六、创建组用于多用户共同完成工作

mkdir FILENAME

useradd -G project  USERNAME1

useradd -G project  USERNAME2

chgrp project FILENAME 

chmod 2770 FILENAME

转自：https://blog.csdn.net/tai20031229/article/details/83824983