Linux系統中的使用者管理

1使用者及使用者組存在的意義
- 1.1 使用者存在的意義
- 1.2 使用者組存在的意義
2 使用者及使用者組在系統中的存在方式
3 使用者切換
- 3.1 使用者檢視
- 3.2 使用者id範圍
- 3.3 使用者切換
4 使用者涉及到的系統配置檔案
5 使用者和使用者組建立及删除
- 5.1 使用者的建立及删除
- 5.2 使用者組的建立及删除
6 使用者和使用者組的資訊管理
7 使用者認證資訊管理
- 7.1 使用者認證檔案
- 7.2 使用者名稱
- 7.3 使用者加密字元
- - 1)更改密碼
  - 2）當機認證
  - 3）密碼删除
  - 4）密碼使用天數
  - 5）密碼最短有效期
  - 6）密碼最長有效期
  - 7）密碼過期警告
  - 8）認證非活躍天數
  - 9）賬号認證到期時間
8 使用者權力下放

1使用者及使用者組存在的意義

1.1 使用者存在的意義

使用者是系統中最底層的一種安全機制。應該如何合理配置設定系統資源?在這個問題解決時必須考慮資源問題。

linux中的3A機制組成系統中最底層的安全架構，包括身份（account）、授權（author）、認證（auth），另外linux中的3A機制系統資源是有限的。

1.2 使用者組存在的意義

使用者組是一個邏輯容器，是使用者的集合，它不能被直接使用，其最終的目地是為了對某一類使用者進行歸類和統一授權處理。

2 使用者及使用者組在系統中的存在方式

在linux中，系統會配置設定給每個使用者一個id，這是系統記錄與區分不同使用者的方式，而人類通過設定字元名稱的方式來記錄和區分不同的使用者。之後系統會在某一特定檔案中将id和字元名稱作出映射，當該映射被記錄到檔案當中使用者才能存在。是以使用者本質上就是/etc/passwd檔案中的一行字元，而使用者組存在的方式就是/etc/group 檔案中的一行字元。

3 使用者切換

3.1 使用者檢視

指令	含義
whoami	檢視目前使用者
id (使用者名)	檢視使用者id資訊,不加使用者身份時，顯示目前使用者
id -u (使用者名)	檢視使用者的使用者id，不加使用者身份時，顯示目前使用者
id -g (使用者名)	檢視使用者主組id，不加使用者身份時，顯示目前使用者
id -G (使用者名)	檢視使用者所有的組的id，不加使用者身份時，顯示目前使用者
id -n (使用者名)	顯示名稱，n不單獨使用，和前面的參數（u、g、G）配合使用。單用前面的參數表示檢視各個相關id ，組合n使用表示檢視相關名稱。不加使用者身份時，顯示目前使用者

Linux系統中的使用者管理1使用者及使用者組存在的意義2 使用者及使用者組在系統中的存在方式3 使用者切換4 使用者涉及到的系統配置檔案5 使用者和使用者組建立及删除6 使用者和使用者組的資訊管理7 使用者認證資訊管理8 使用者權力下放

注意：如上圖所示，輸入 ‘id westos’，顯示的内容分别是：使用者id和名稱、主組id和名稱、附加組id和名稱。當主組沒經過設定時，預設是它自己，groups中顯示的第一個組是主組，後面是附加組。

3.2 使用者id範圍

範圍	使用者
0-65535	總範圍
Linux超級使用者ID
1-200	系統預留ID
201-999	Liunx系統自用ID
1000-65535	使用者級ID

注意：以上ID設定規則都被記錄在/etc/login.defs；總範圍是預設的，但如果有特殊需求，範圍需要更大，可以設定。

3.3 使用者切換

使用方法：

su - username

其中‘su’ 表示切換使用者身份‘-’表示切換使用者環境，從超級使用者切換至普通使用者，不需要普通使用者的密碼；從普通使用者切換至超級使用者，需要超級使用者的密碼；從普通使用者切換至普通使用者，需要密碼。

注意：如上圖所示：單用su+使用者名表示切換了使用者身份，但是仍然處于目前桌面；按exit可退出目前使用者；在做使用者切換時當使用完畢使用者身份後應及時退出，不要在一個shell中反複執行su指令，在一個shell中反複執行su指令會導緻環境錯亂，這是因為，每切換一次，系統就會開啟一個新的shell，此時可以在applications —>system monitor 檢視程序；當在超級使用者的shell裡切換到普通使用者，再重新打開一個shell時，仍然是超級使用者的shell。

4 使用者涉及到的系統配置檔案

系統配置檔案	作用
/etc/passwd	使用者身份資訊檔案，其格式是（使用者名稱:使用者密碼:使用者id:使用者主組id:使用者說明:使用者家目錄:使用者預設shell ），該目錄下有某個使用者的名稱，才表示它在系統中是一個賬号，否則不是；可以使用 ‘man 5 passwd’指令檢視檔案詳解，其第二清單示使用者密碼，但是把密碼放在該目錄下是不安全的，因為該檔案對所有使用者都是可讀的，即使加密，也可以破解，是以寫的時候一般會在這列寫個‘x’，表示沒有用，但是這一位仍然存在
/etc/group	組身份資訊檔案，其格式是（主組名稱:組密碼:主組id:組的附加成員）
/etc/skel/.*	使用者環境配置檔案模闆，即一個新使用者需要把這個目錄下的所有檔案複制到自己的家目錄裡
/etc/shadow	使用者認證資訊檔案，例如：密碼，密碼期限等
/home/username	使用者家目錄，使用者進入系統時預設所在的位置
/var/spool/mail/username	使用者郵箱檔案

注意：如上圖所示，是使用man 5 passwd指令檢視/etc/passwd檔案詳解。

5 使用者和使用者組建立及删除

5.1 使用者的建立及删除

指令	含義
useradd username	使用者建立，同時該使用者的家目錄會被自動建立出來
useradd -u id username	建立使用者時，設定使用者id
useradd -g id username	建立使用者時設定使用者主組id，當想設定的主組id不存在時，需要先建立該主組，然後再設定給該建立使用者。當要指定給使用者的主組存在時，就不需要再建立主組
useradd -G id username	建立使用者時，設定使用者附加組id
useradd -d dir username	當建立使用者時想自己指定使用者家目錄時使用，預設情況下家目錄會自己建立
useradd -M username	建立使用者時不建立家目錄
useradd -c “word” username	指定使用者說明
useradd -s shell username	指定使用者shell，預設情況下的shell是，/bin/bash ，也可以改變
userdel -r username	加上-r參數表示删除使用者的同時删除使用者的系統配置檔案，不加-r參數表示隻删除使用者資訊，但它在系統中的配置檔案被保留，當再次建立該使用者時，就會報錯，顯示家目錄存在。此時想要删除他的配置檔案家目錄等需要手動删除。

5.2 使用者組的建立及删除

指令	含義
groupadd groupname	組建立
groupadd -g id groupname	指定組id
groupdel groupname	指定組名稱

在實驗如5.1、5.2表所示的指令時，可以監控所建立的指令，監控指令為：

watch -n 1 "tail -n 4 /etc/passwd /etc/group;echo======;ls -l /home"表示監控兩個目錄的後四行和顯示家的名稱，ctrl c 可結束監控。下圖為初始監控的内容。

如下圖所示，建立一個名為lee的使用者：

檢視監控，建立成功：

加參數-r删除該使用者及其系統配置檔案：

檢視監控，删除成功：

不加-r參數删除使用者：

檢視監控，使用者被删除，但家目錄仍然存在：

再次建立該使用者時，系統報錯：

手動删除該使用者家目錄和配置檔案：

檢視監控，成功删除該使用者：

建立一個組：

檢視監控該組建立成功：

删除該組：

檢視監控，删除該組成功：

建立新使用者同時設定使用者id為666：

檢視監控，建立使用者的同時設定使用者id成功：

建立一個組，并将該組設定為建立立使用者的主組：

檢視監控，設定成功：

添加附加組1000到建立立的使用者，檢視使用者id：

檢視監控，附加組建立成功：

建立使用者時，指定使用者說明：

檢視監控，成功添加使用者說明：

建立使用者時，指定使用者家目錄：

檢視監控，指定家目錄成功：

建立使用者時，也可以使用useradd 一次性把想要設定的參數全部設定上：

檢視監控：

注意：上面的實驗均是執行一次建立使用者指令後，删除一次該使用者，再重新執行下一條建立指令。

6 使用者和使用者組的資訊管理

指令	含義
usermod -l 新使用者名原使用者名	更改使用者名稱
usermod -u 新id 使用者名	更改使用者id
usermod -g 名字/數字使用者名	更改主組id
usermod -G 名字/數字(多個時可用逗号隔開) 使用者名	修改使用者附加組身份
usermod -aG 名字/數字(多個時可用逗号隔開) 使用者名	添加使用者附加組身份
usermod -c “新使用者說明” 使用者名	更改使用者說明
usermod -c “” 使用者名	删除使用者說明
usermod -d	更改家目錄的指向字元（更改/etc/passwd中表格的家目錄的指向字元，但實際的家目錄并沒有更改，想讓兩個同時更改，需要用下面的 -md參數）
usermod -md 新的家目錄使用者名	更改家目錄指向同時更改家目錄名稱
usermod -s shell 使用者名	更改預設shell
usermod -L 使用者名	當機賬号
usermod -U 使用者名	解鎖賬号
groupmod -g 名字/數字使用者名	更改使用者主組id

注意：初始建立一個使用者時，主組是它自己，後面可以修改主組，也可以修改附加組，修改主組後，用id檢視時，附加組裡的第一個組和主族的内容就會變，若使用了修改附加組指令，則原來的附加組将都不存在，此時的附加組為新修改的。使用添加附加組的指令時，其他附加組不變，隻是添加了新附加組。

修改使用者名：

檢視監控，使用者名修改成功：

7 使用者認證資訊管理

7.1 使用者認證檔案

/etc/shadow:認證檔案内容包含九位“使用者名稱:使用者密碼的加密字元:使用者密碼最後一次被修改時間:密碼最短有效期:密碼最長有效期（是一個時間段，在這個時間段内修改秘密，最長有限期就會重新整理）:密碼過期前警告期:賬号非活躍期（比如密碼30天後過期，若設定非活躍期為1，那麼第31天時還有時間做密碼修改，但是此時的可使用功能是有限的，過了這一天後，還沒有修改密碼賬号将會被當機）:賬号到期時間（是一個時間點，這個賬号本身就是一個有期限的賬号，一旦到時間，不管之前做過什麼設定，賬号都會被當機，類似于vip）:使用者自定義(還未投入使用)”

注意：當第二位，即使用者密碼位是兩個‘！！’時，代表使用者是被鎖定的，沒有設定密碼，若設定過密碼，即為一串加密字元串。

上圖所示：ls -l /etc/shadow表示朝阿奎那該檔案，結果顯示中前面的‘-’符号表示不能檢視，隻有超級使用者有權力對其進行修改，該檔案是系統進行使用者認證使用的（使用pam插件完成，叫做pam認證插件）

上圖所示為認證檔案中的部分内容。

7.2 使用者名稱

passwd -S 使用者名表示檢視密碼狀态。

先設定監控，如下圖所示：

檢視使用者westos的密碼狀态，如下圖所示：

其中PS表示密碼被設定過， ps後面的時間表示密碼最後一次被修改的時間，SHA512 一種加密方式。加密分對稱加密（加密和解密用一種方式，比如指紋），非對稱加密（加密和解密不是一種方式，比如上鎖用鑰匙開鎖）。可以使用openssl passwd --help檢視那加密方式，然後使用參數進行加密字元串的生成。

7.3 使用者加密字元

1)更改密碼

超級使用者改密碼： passwd +使用者名或者“echo 123 | passwd --stdin lee”,stdin為采集标準輸入，該指令表示将echo 表示的密碼傳給passwd 采集起來再給lee這個使用者，這是采用非互動的方式修改密碼；注意超級使用者可以直接修改密碼，不需要知道原始密碼。

普通使用者改密碼： passwd

Changing password for user lee.

Current password: #輸入原始密碼

New password: ##輸入新密碼(8位以上無序數字+無序字母組合)

Retype new password: ##重複輸入

passwd: all authentication tokens updated successfully.

如下圖，表示普通使用者修改密碼：

檢視監控，westos的第二位，密碼位處于加密狀态：

下圖表示新增加一個使用者，檢視其密碼狀态，注意沒有設定密碼時第二位是LK鎖定狀态；設定過密碼後，第二位為PS，且為加密狀态。

檢視監控，當第二位，即使用者密碼位是兩個‘！！’時，代表使用者是被鎖定的：

設定該使用者的密碼，可見設定過密碼後，第二位密碼為PS加密狀态：

2）當機認證

指令	含義
passwd -l lee	當機賬号認證
passwd -u lee	解鎖賬号認證

注意：在 6 使用者和使用者組的資訊管理章節中，有usermod指令的當機和解鎖方式，其差別在于：在企業8版本裡，passwd和usermod裡的當機和解鎖可以混用；在之前的版本裡，passwd的鎖級别高，passwd鎖了後，需要用usermod解鎖兩次才能解開。

下圖表示分别用兩種方法進行當機和解鎖：

當機和解鎖方式的混用：

3）密碼删除

使用方法：passwd -d lee ，注意密碼清空代表後面在登陸系統的時候不需要密碼就可以登陸，即認證為空。

4）密碼使用天數

預設是從1970-1-1算其到今天的時間

指令	含義
passwd -e 使用者名	修改預設使用時間為0
chage -d 0 使用者名	賬号必須改密碼才能登陸系統

注意：passwd -e lee 指令預設最近登陸時間本來是多少就是多少，該指令表示将其修改為零，改為零意味着使用者在完成認證後被強制的修改一次密碼，否則無法登陸系統。也就是說在登陸的時候輸入一次密碼後，系統會讓該使用者再次輸入一次密碼，完成後，系統會讓該使用者輸入新密碼，再确認一遍新密碼，才能登陸成功，登陸成功後，最近登陸時間就會被重新整理，重新整理後不再為零意味着，下次再登陸時就不用再修改密碼了。（在企業中，一般适用于建立的賬号，把每個賬号的初始密碼設定的一樣，員工使用時，隻需要修改一次密碼即可。）

這兩條指令含義相同，差別在于第一條隻能将時間修改為零，而第二條的零是可以為指定值的，但一般情況不修改。

5）密碼最短有效期

指令	含義
passwd -n 1 使用者名	使用者在1（該數字可自己設定）天内不能改密碼
chage -m 1 使用者名	使用者在1（該數字可自己設定）天内不能改密碼

6）密碼最長有效期

指令	含義
passwd -x 30 使用者名	30（可自己設定）天内使用者必須更新密碼否則會被當機
chage -M 30使用者名	30（可自己設定）天内使用者必須更新密碼否則會被當機

7）密碼過期警告

指令	含義
passwd -w 2 使用者名	賬号過期前警告時間
chage -W 2 使用者名	賬号過期前警告時間

8）認證非活躍天數

指令	含義
passwd -i 2 使用者名	賬号認證最大時間超過後還能用多久
chage -I 2 使用者名	賬号認證最大時間超過後還能用多久

9）賬号認證到期時間

使用方法：chage -E “2020-05-11”，表示到2020-5-11這天賬号會被當機。

注意：預設從1970-1-1算到2020-5-11的天數，這天賬号會被當機，這個時間隻能由chage指令改，沒有passwd指令。

8 使用者權力下放

在系統中普通使用者是無法執行系統管理指令的，如果需要普通使用者執行系統管理動作那麼需要root使用者來進行授權。如下圖，表示普通使用者無法添加新使用者。

hostname指令，檢視目前系統主機名：

普通使用者授權方式 “sudo”。作用:可以使普通使用者使用指定的使用者身份呢運作指令

授權方法：visudo ，此指令作用是編輯/etc/sudoers并提供文法檢測

授權檔案：/etc/sudoers ，超級使用者可以在該檔案中寫入授權，對某一個使用者進行授權，但是該授權是有代碼規範性的。一般情況下，寫于100行左右，不推薦使用vim打開該檔案添加授權内容，因為這樣打開寫入時，是無法檢測文法錯誤的，是以有一個專門進行權力下放的指令： visudo直接回車即可。用vim打開授權檔案如下圖：

寫入授權内容：

用visudo進行普通使用者授權：

eg： westos westoslinux.westos.org=(root) /usr/sbin/useradd, /usr/sbin/groupadd

若在visudo中寫入授權時，會進行文法檢測，出現錯誤會進行報錯，詢問 what now？此時按下e可以進入修改。但是文法檢測正常不代表設定合理，隻能說明書寫的格式是正确的，但裡面的設定值是否正确就不一定了。下圖表示檢測出文法錯誤：

注意： westos westoslinux.westos.org=(root) /usr/sbin/usera, /usr/sbin/groupadd

格式正确，但是usera實際上寫錯了，此時它沒法檢測出，需要自己細心。

注意：在設定完成後，切換被下放權力的使用者，使用新權力時，仍然無法成功。這是因為，在執行程式時，它不會讀取我們寫的檔案，該檔案和指令本身是沒有關系的，是以我們在執行該檔案時，需要先加載該檔案的内容。此時，需要輸入： sudo useradd test ，表示先使用sudo這個指令去調用useradd這個新添加的權力，然後再建立新使用者。第一次執行該指令去調用下放的權力時，需要目前使用者密碼的認證，如果不想每次都輸入密碼，可以在visudo中再寫入 ‘NOPASSWD：’表示不再輸入密碼。被下放的使用者執行被授權内容時，都要在指令前加上sudo，指令的其他部分按原來格式寫即可。