首页 > 代码库 > Linux 组群账户管理
Linux 组群账户管理
一.Linux组群账户配置文件
1./etc/group文件
/etc/group文件是用户组群的配置文件,内容包括用户和用户组群,并且能显示出用户是归属哪个用户组群或哪几个用户组群。一个用户可以归属一个或多个不同的用户组群,同一用户组群的用户之间具有相似的特征。比如把某一用户加入到root用户组群,那么这个用户就可以浏览root用户主目录的文件,如果root用户把某个文件的读写执行权限放开,root用户组群的所有用户都可以修改此文件;如果是可执行的文件,root用户组群的用户也是可以执行的。
(1)./etc/group文件内容
/etc/group文件的内容包括用户组群名、用户组群口令、GID及该用户组群所包含的用户,每个用户组群都有一条记录。一行有4个段位,每个段位用":"分隔,下面是/etc/group文件的部分内容的示例。
[root@redhat2 home]# cat /etc/group
root:x:0:
bin:x:1:bin,daemon
daemon:x:2:bin,daemon
sys:x:3:bin,adm
adm:x:4:adm,daemon
tty:x:5:
disk:x:6:
表8-3所示为/etc/passwd文件中各字段的含义。
字段 | 含义 |
组群名 | 用户组群名称,如组群名root |
组群口令 | 存放加密的密码,在上面示例中我们看到的是一个x,其实口令已被映射到/etc/gshadow文件中 |
组群标识号 | 在系统内用一个整数标识组群GID,每个组群的GID都是唯一的,默认普通组群的GID从500开始,如root组群GID是0 |
组群成员 | 属于这个组群的成员,如root组群的成员有root用户 |
(2)./etc/gshadow文件
/etc/gshadow是/etc/group的加密文件,比如用户组群管理密口令就是存放在这个文件中。/etc/gshadow和/etc/group是互补的两个文件;
/etc/gshadow文件中每个用户组群都有一条记录。一行有4个段位,每个段位用":"分割,下面是/etc/gshadow文件的部分内容的示例:
[root@redhat2 home]# cat /etc/gshadow
root:::
bin:::bin,daemon
daemon:::bin,daemon
sys:::bin,adm
adm:::adm,daemon
tty:::
disk:::
lp:::daemon
mem:::
kmem:::
wheel:::
mail:::mail,postfix
uucp:::
man:::
games:::
表4-1 所示为/etc/gshadow文件中各字段的含义。
字段 | 含义 |
组群名 | 组群名称,如组群名root |
组群口令 | 口令已经加密,如果这些组群在这里显示的是"!",表示这个组群没有口令。上面示例中组群shanghai没有口令,组群beijing已设置口令。 |
组群管理者 | 组群的管理者,有权在该组群中添加、删除用户 |
组群成员 | 属于该组群的用户成员列表,如有多个用户用","分隔。上面示例中beijing组群的成员是ou |
二.字符界面下组群账户的设置
在Linux系统字符界面下创建、修改以及删除组群账户主要使用groupadd,groupmod和groupdel这3个命令,其结果与使用“用户管理器”工具一样。
1.创建组群账户
使用groupadd命令可以在Linux系统下创建组群账户。
命令语法:
[root@redhat2 ~]# groupadd
Usage: groupadd [options] GROUP
Options:
-f, --force exit successfully if the group already exists,
and cancel -g if the GID is already used
-g, --gid GID use GID for the new group
-h, --help display this help message and exit
-K, --key KEY=VALUE override /etc/login.defs defaults
-o, --non-unique allow to create groups with duplicate
(non-unique) GID
-p, --password PASSWORD use this encrypted password for the new group
-r, --system create a system account
[root@redhat2 ~]#
2.创建名为china的组群。
[root@redhat2 ~]# groupadd -g 800 ou
[root@redhat2 ~]# cat /etc/group |grep ou
dialout:x:18:
ou:x:800:
[root@redhat2 ~]#
//查看文件/etc/group,可以看到已经创建了组群ou,组群GID是800。
3.创建名为chineses的系统组群。
[root@redhat2 ~]# groupadd -r chineses
[root@redhat2 ~]# cat /etc/group |grep chinese
chineses:x:493:
[root@redhat2 ~]#
4.创建名为chinese的系统组群。
[root@redhat2 ~]# groupadd -r chineses
[root@redhat2 ~]# cat /etc/group |grep chinese
chineses:x:493:
[root@redhat2 ~]#
//查看/etc/group文件,可以看到系统组群chinese的GID是493,是小于500的。
三.修改组群账户
使用groupmod命令可以在Linux系统下修改组群账户,如组群名称、GID等。
命令语法:
[root@redhat2 ~]# groupmod
Usage: groupmod [options] GROUP
Options:
-g, --gid GID change the group ID to GID
-h, --help display this help message and exit
-n, --new-name NEW_GROUP change the name to NEW_GROUP
-o, --non-unique allow to use a duplicate (non-unique) GID
-p, --password PASSWORD change the password to this (encrypted)
PASSWORD
[root@redhat2 ~]#
例1:将组群ou的GID修改为900。
[root@redhat2 ~]# groupmod -g 900 ou
[root@redhat2 ~]# cat /etc/group |grep ou
dialout:x:18:
ou:x:900:
[root@redhat2 ~]#
//查看文件/etc/group,可以看到组群ou的GID已经更改为900。
例2:修改组群ou的新组群名称为shanghai。
[root@redhat2 ~]# groupmod -n shanghai ou
[root@redhat2 ~]# cat /etc/group|grep shanghai
shanghai:x:900:
[root@redhat2 ~]#
//查看/etc/group文件,可以看到当前组群shanghai已经存在。
四.账户相关文件或目录
在创建、修改和删除账户时,涉及到众多的相关文件和目录,如/etc/skel目录、/etc/login.defs文件和/etc/default/useradd文件。
- /etc/skel目录
/etc/skel目录是存放用户启动文件的目录,这个目录由root用户管理,当管理员创建新用户时,这个目录下的文件会自动复制到新创建的用户的主目录下。/etc/skel目录下的文件都是隐藏文件,也就是类似".file"格式的,可以通过添加、修改和删除/etc/skel目录下的文件,来为用户提供一个统一、标准和默认的用户环境。
使用如下命令查看/etc/skel目录内包含的文件信息。
[root@redhat2 ~]# ls -al /etc/skel
total 40
drwxr-xr-x. 4 root root 4096 Jun 4 2014 .
drwxr-xr-x. 100 root root 12288 Jan 11 05:24 ..
-rw-r--r--. 1 root root 18 Apr 23 2012 .bash_logout
-rw-r--r--. 1 root root 176 Apr 23 2012 .bash_profile
-rw-r--r--. 1 root root 124 Apr 23 2012 .bashrc
drwxr-xr-x. 2 root root 4096 Jul 14 2010 .gnome2
-rw-r--r--. 1 root root 121 Apr 11 2012 .kshrc
drwxr-xr-x. 4 root root 4096 Jun 2 2014 .mozilla
[root@redhat2 ~]#
当用户useradd命令创建新用户时,/etc/skel目录下的文件会自动复制到新创建用户的主目录下。另外一种方法也可以达到同样效果,管理员通过修改/etc/passwd文件创建新用户时,设置用户的主目录,然后把/etc/skel下的文件复制到用户的主目录下,最后用chown命令改变新用户主目录的属主。
2./etc/login.defs配置文件
/etc/login.defs文件规定了创建新用户时的一些默认设置,比如创建用户时是否需要主目录、UID和GID的范围、用户账户口令的期限等,这个文件可以通过root用户来修改。
MAIL_DIR /var/spool/mail //创建用户时,要在目录/var/spool/mail中创建一个用户邮箱文件
PASS_MAX_DAYS 99999 //用户必须更改口令的天数
PASS_MIN_DAYS 0 //用户可以更改口令的天数
PASS_MIN_LEN 5 //口令最小长度
PASS_WARN_AGE 7 //在用户口令过期之前的警告时间
UID_MIN 500 //创建新用户时用户的UID从500开始
UID_MAX 60000 //用户最大UID职为60000
GID_MIN 500 //创建新组群时组群的GID从500开始
GID_MAX 60000 //组群最大GID值为60000
CREATE_HOME yes //是否要求创建用户主目录,yes表示要求创建
ENCRYPT_METHOD MD5 //启用MD5加密口令
3./etc/default/useradd文件
/etc/default/useradd文件是在使用useradd命令创建用户账户时的规则文件。
[root@redhat2 ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home //把用户的主目录创建在/home目录中
INACTIVE=-1 //是否启用账户过期,-1表示不启用
EXPIRE= //账户终止日期,不设置表示不启用
SHELL=/bin/bash //用户账户所用shell类型
SKEL=/etc/skel //创建新用户时从/etc/skel目录下复制文件到用户主目录
CREATE_MAIL_SPOOL=yes //创建新用户时在/var/spool/mail目录下创建该用户邮箱目录。
五.用户和组群维护命令
1.账户维护命令
在平时的工作中对账户进行维护主要用到passwd,gpasswd,chfn,chsh,su,pwck以及newgrp等众多命令。
(1).passwd命令
使用passwd命令可以设置或修改用户的口令,普通用户和超级权限用户都可以运行passwd。
普通用户只能更改自己的用户口令,root用户可以设置或修改任何用户的口令。
如果passwd命令后面不接任何选项或用户名,则表示修改当前用户的口令。
命令语法:
[root@redhat2 ~]# passwd --help
Usage: passwd [OPTION...] <accountName>
-k, --keep-tokens keep non-expired authentication tokens
-d, --delete delete the password for the named account (root only)
-l, --lock lock the password for the named account (root only)
-u, --unlock unlock the password for the named account (root only)
-e, --expire expire the password for the named account (root only)
-f, --force force operation
-x, --maximum=DAYS maximum password lifetime (root only)
-n, --minimum=DAYS minimum password lifetime (root only)
-w, --warning=DAYS number of days warning users receives before password expiration (root only)
-i, --inactive=DAYS number of days after password expiration when an
account becomes disabled (root only)
-S, --status report password status on the named account (root only)
--stdin read new tokens from stdin (root only)
Help options:
-?, --help Show this help message
--usage Display brief usage message
例1:设置用户zhaoliu的口令
[root@redhat2 home]# passwd zhaoliu
Changing password for user zhaoliu.
New password:
BAD PASSWORD: it is WAY too short
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.
[root@redhat2 home]#
例2:设置当前用户的口令
[root@redhat2 home]# passwd
Changing password for user root.
New password:
BAD PASSWORD: it is WAY too short
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.
[root@redhat2 home]#
例3:锁住用户zhaoliu的口令。
[root@redhat2 home]# passwd -l zhaoliu
Locking password for user zhaoliu.
passwd: Success
[root@redhat2 home]#
//用户zhaoliu锁住以后不能登录到系统,但是可以用su命令从其他用户切换到用户zhaoliu
[root@redhat2 home]# passwd -S zhaoliu
zhaoliu LK 2015-01-12 0 99999 7 -1 (Password locked.)
[root@redhat2 home]#
//查看用户口令状态,可以看到用户zhaoliu的口令是锁住的。
[root@redhat2 home]# cat /etc/shadow|grep zhaoliu
zhaoliu:!!$1$fMvAUpfG$yIGyFEzLVkZflgi78rCkJ/:16448:0:99999:7:::
[root@redhat2 home]#
//查看/etc/shadow文件,可以看到用户zhaoliu口令锁住以后在口令字段前有"!!"
例4:解锁用户zhaoliu口令。
[root@redhat2 home]# passwd -u zhaoliu
Unlocking password for user zhaoliu.
passwd: Success
[root@redhat2 home]#
例5:删除用户zhaoliu的口令。
[root@redhat2 home]# cat /etc/shadow|grep zhaoliu
zhaoliu:!!$1$fMvAUpfG$yIGyFEzLVkZflgi78rCkJ/:16448:0:99999:7:::
//查看/etc/shadow文件,可以看到用户zhaoliu设置过口令。
[root@redhat2 home]# passwd -u zhaoliu
Unlocking password for user zhaoliu.
passwd: Success
[root@redhat2 home]# cat /etc/shadow|grep zhaoliu
zhaoliu:$1$fMvAUpfG$yIGyFEzLVkZflgi78rCkJ/:16448:0:99999:7:::
[root@redhat2 home]# passwd -d zhaoliu
Removing password for user zhaoliu.
passwd: Success
[root@redhat2 home]# cat /etc/shadow |grep zhaoliu
zhaoliu::16448:0:99999:7:::
[root@redhat2 home]#
//查看/etc/shadow文件,可以看到用户zhaoliu的口令已经没有了.
(2).gpasswd
使用gpasswd命令可以设置一个组群的组群密码,或是在组群中添加、删除用户。
[root@redhat2 home]# gpasswd
Usage: gpasswd [option] GROUP
Options:
-a, --add USER add USER to GROUP
-d, --delete USER remove USER from GROUP
-r, --remove-password remove the GROUP‘s password
-R, --restrict restrict access to GROUP to its members
-M, --members USER,... set the list of members of GROUP
-A, --administrators ADMIN,...
set the list of administrators for GROUP
Except for the -A and -M options, the options cannot be combined.
例1:把用户zhaoliu添加到zhang组群中。
[root@redhat2 home]# gpasswd -a zhaoliu zhang
Adding user zhaoliu to group zhang
//正在将用户"zhaoliu"加入到‘zhang‘组群中。
[root@redhat2 home]# cat /etc/group |grep zhaoliu
zhang:x:513:zhaoliu
[root@redhat2 home]#
//在/etc/group文件中可以看到zhang组群中有用户zhaoliu。
例2:从zhang组群中删除用户zhaoliu。
[root@redhat2 home]# gpasswd -d zhaoliu zhang
Removing user zhaoliu from group zhang
[root@redhat2 home]# cat /etc/group |grep zhang
zhangsan:x:501:
zhang:x:513:
[root@redhat2 home]#
//在/etc/group文件中可以看到zhang组群中已经没有用户zhaoliu了。
例3:设置zhang组群的口令。
[root@redhat2 home]# gpasswd zhang
Changing the password for group zhang
New Password:
Re-enter new password:
[root@redhat2 home]#
//在/etc/gshadow文件中可以看到组群zhang已经设置口令。
例4:取消zhang组群密码。
[root@redhat2 home]# gpasswd -r zhang
[root@redhat2 home]# cat /etc/gshadow |grep zhang
zhangsan:!::
zhang:::
[root@redhat2 home]#
//在/etc/gshadow文件中可以看到组群zhang已经不存在了。
(3).chsh命令
使用chsh命令可以更改用户账户的shell类型。
[root@redhat2 home]# chsh --help
Usage: chsh [ -s shell ] [ --list-shells ] [ --help ] [ --version ]
[ username ]
[root@redhat2 home]#
例1.列出当前系统中所有支持的shell类型。
[root@redhat2 home]# chsh -l
/bin/sh
/bin/bash
/sbin/nologin
/bin/tcsh
/bin/csh
/bin/ksh
[root@redhat2 home]#
例2:更改用户wangwu所用的shell类型为/bin/sh.
[root@redhat2 home]# cat /etc/passwd |grep wangwu
wangwu:x:514:514::/home/wangwu:/bin/bash
//查看/etc/passwd文件,可以看到用户wangwu的shell类型为/bin/bash
[root@redhat2 home]# chsh -s /bin/sh wangwu
Changing shell for wangwu.
Shell changed.
[root@redhat2 home]#
[root@redhat2 home]# cat /etc/passwd |grep wangwu
wangwu:x:514:514::/home/wangwu:/bin/sh
[root@redhat2 home]#
//查看/etc/passwd文件,可以看到用户wangwu的shell类型已经更改为/bin/sh
例3:更改当前用户wangwu 的shell类型为/bin/bash。
[root@redhat2 home]# chsh wangwu
Changing shell for wangwu.
New shell [/bin/sh]: /bin/bash //在此输入shell类型,比如/bin/bash
Shell changed.
[root@redhat2 home]#
(3).pwck命令
使用pwck命令可以检验用户配置文件/etc/passwd和/etc/shadow内容是否合法和完整。
[root@redhat2 home]# pwck
user ‘adm‘: directory ‘/var/adm‘ does not exist
user ‘uucp‘: directory ‘/var/spool/uucp‘ does not exist
user ‘gopher‘: directory ‘/var/gopher‘ does not exist
user ‘ftp‘: directory ‘/var/ftp‘ does not exist
user ‘avahi-autoipd‘: directory ‘/var/lib/avahi-autoipd‘ does not exist
user ‘saslauth‘: directory ‘/var/empty/saslauth‘ does not exist
user ‘pulse‘: directory ‘/var/run/pulse‘ does not exist
user ‘wangwu‘: directory ‘/home/wangwu‘ does not exist
pwck: no changes
[root@redhat2 home]#
//可以看到用户wangwu的主目录/home/wangwu不存在。
(4).newgrp命令
使用newgrp命令可以让用户账户以另一个组群的身份进行登录。
说明:newgrp指令类似于login指令,是以相同的账号名,不同的组群身份登录系统。如果要使用newgrp指令切换组群,用户必须是该组群的用户,否则将无法登陆指定的组群。单一用户如果要同时隶属多个组群,需利用交替用户的设置。如果不指定组群名称,则newgrp指令会登录该用户名称的预设组群。
例:将用户zhang以组群zhangsan的身份登录系统。
[root@redhat2 home]# su zhang
[zhang@redhat2 home]$ newgrp zhangsan
[zhang@redhat2 home]$ id
uid=513(zhang) gid=513(zhang) groups=513(zhang),501(zhangsan)
[zhang@redhat2 home]$
一.Linux组群账户配置文件
1./etc/group文件
/etc/group文件是用户组群的配置文件,内容包括用户和用户组群,并且能显示出用户是归属哪个用户组群或哪几个用户组群。一个用户可以归属一个或多个不同的用户组群,同一用户组群的用户之间具有相似的特征。比如把某一用户加入到root用户组群,那么这个用户就可以浏览root用户主目录的文件,如果root用户把某个文件的读写执行权限放开,root用户组群的所有用户都可以修改此文件;如果是可执行的文件,root用户组群的用户也是可以执行的。
(1)./etc/group文件内容
/etc/group文件的内容包括用户组群名、用户组群口令、GID及该用户组群所包含的用户,每个用户组群都有一条记录。一行有4个段位,每个段位用":"分隔,下面是/etc/group文件的部分内容的示例。
[root@redhat2 home]# cat /etc/group
root:x:0:
bin:x:1:bin,daemon
daemon:x:2:bin,daemon
sys:x:3:bin,adm
adm:x:4:adm,daemon
tty:x:5:
disk:x:6:
表8-3所示为/etc/passwd文件中各字段的含义。
字段 | 含义 |
组群名 | 用户组群名称,如组群名root |
组群口令 | 存放加密的密码,在上面示例中我们看到的是一个x,其实口令已被映射到/etc/gshadow文件中 |
组群标识号 | 在系统内用一个整数标识组群GID,每个组群的GID都是唯一的,默认普通组群的GID从500开始,如root组群GID是0 |
组群成员 | 属于这个组群的成员,如root组群的成员有root用户 |
(2)./etc/gshadow文件
/etc/gshadow是/etc/group的加密文件,比如用户组群管理密口令就是存放在这个文件中。/etc/gshadow和/etc/group是互补的两个文件;
/etc/gshadow文件中每个用户组群都有一条记录。一行有4个段位,每个段位用":"分割,下面是/etc/gshadow文件的部分内容的示例:
[root@redhat2 home]# cat /etc/gshadow
root:::
bin:::bin,daemon
daemon:::bin,daemon
sys:::bin,adm
adm:::adm,daemon
tty:::
disk:::
lp:::daemon
mem:::
kmem:::
wheel:::
mail:::mail,postfix
uucp:::
man:::
games:::
表4-1 所示为/etc/gshadow文件中各字段的含义。
字段 | 含义 |
组群名 | 组群名称,如组群名root |
组群口令 | 口令已经加密,如果这些组群在这里显示的是"!",表示这个组群没有口令。上面示例中组群shanghai没有口令,组群beijing已设置口令。 |
组群管理者 | 组群的管理者,有权在该组群中添加、删除用户 |
组群成员 | 属于该组群的用户成员列表,如有多个用户用","分隔。上面示例中beijing组群的成员是ou |
二.字符界面下组群账户的设置
在Linux系统字符界面下创建、修改以及删除组群账户主要使用groupadd,groupmod和groupdel这3个命令,其结果与使用“用户管理器”工具一样。
1.创建组群账户
使用groupadd命令可以在Linux系统下创建组群账户。
命令语法:
[root@redhat2 ~]# groupadd
Usage: groupadd [options] GROUP
Options:
-f, --force exit successfully if the group already exists,
and cancel -g if the GID is already used
-g, --gid GID use GID for the new group
-h, --help display this help message and exit
-K, --key KEY=VALUE override /etc/login.defs defaults
-o, --non-unique allow to create groups with duplicate
(non-unique) GID
-p, --password PASSWORD use this encrypted password for the new group
-r, --system create a system account
[root@redhat2 ~]#
2.创建名为china的组群。
[root@redhat2 ~]# groupadd -g 800 ou
[root@redhat2 ~]# cat /etc/group |grep ou
dialout:x:18:
ou:x:800:
[root@redhat2 ~]#
//查看文件/etc/group,可以看到已经创建了组群ou,组群GID是800。
3.创建名为chineses的系统组群。
[root@redhat2 ~]# groupadd -r chineses
[root@redhat2 ~]# cat /etc/group |grep chinese
chineses:x:493:
[root@redhat2 ~]#
4.创建名为chinese的系统组群。
[root@redhat2 ~]# groupadd -r chineses
[root@redhat2 ~]# cat /etc/group |grep chinese
chineses:x:493:
[root@redhat2 ~]#
//查看/etc/group文件,可以看到系统组群chinese的GID是493,是小于500的。
三.修改组群账户
使用groupmod命令可以在Linux系统下修改组群账户,如组群名称、GID等。
命令语法:
[root@redhat2 ~]# groupmod
Usage: groupmod [options] GROUP
Options:
-g, --gid GID change the group ID to GID
-h, --help display this help message and exit
-n, --new-name NEW_GROUP change the name to NEW_GROUP
-o, --non-unique allow to use a duplicate (non-unique) GID
-p, --password PASSWORD change the password to this (encrypted)
PASSWORD
[root@redhat2 ~]#
例1:将组群ou的GID修改为900。
[root@redhat2 ~]# groupmod -g 900 ou
[root@redhat2 ~]# cat /etc/group |grep ou
dialout:x:18:
ou:x:900:
[root@redhat2 ~]#
//查看文件/etc/group,可以看到组群ou的GID已经更改为900。
例2:修改组群ou的新组群名称为shanghai。
[root@redhat2 ~]# groupmod -n shanghai ou
[root@redhat2 ~]# cat /etc/group|grep shanghai
shanghai:x:900:
[root@redhat2 ~]#
//查看/etc/group文件,可以看到当前组群shanghai已经存在。
四.账户相关文件或目录
在创建、修改和删除账户时,涉及到众多的相关文件和目录,如/etc/skel目录、/etc/login.defs文件和/etc/default/useradd文件。
- /etc/skel目录
/etc/skel目录是存放用户启动文件的目录,这个目录由root用户管理,当管理员创建新用户时,这个目录下的文件会自动复制到新创建的用户的主目录下。/etc/skel目录下的文件都是隐藏文件,也就是类似".file"格式的,可以通过添加、修改和删除/etc/skel目录下的文件,来为用户提供一个统一、标准和默认的用户环境。
使用如下命令查看/etc/skel目录内包含的文件信息。
[root@redhat2 ~]# ls -al /etc/skel
total 40
drwxr-xr-x. 4 root root 4096 Jun 4 2014 .
drwxr-xr-x. 100 root root 12288 Jan 11 05:24 ..
-rw-r--r--. 1 root root 18 Apr 23 2012 .bash_logout
-rw-r--r--. 1 root root 176 Apr 23 2012 .bash_profile
-rw-r--r--. 1 root root 124 Apr 23 2012 .bashrc
drwxr-xr-x. 2 root root 4096 Jul 14 2010 .gnome2
-rw-r--r--. 1 root root 121 Apr 11 2012 .kshrc
drwxr-xr-x. 4 root root 4096 Jun 2 2014 .mozilla
[root@redhat2 ~]#
当用户useradd命令创建新用户时,/etc/skel目录下的文件会自动复制到新创建用户的主目录下。另外一种方法也可以达到同样效果,管理员通过修改/etc/passwd文件创建新用户时,设置用户的主目录,然后把/etc/skel下的文件复制到用户的主目录下,最后用chown命令改变新用户主目录的属主。
2./etc/login.defs配置文件
/etc/login.defs文件规定了创建新用户时的一些默认设置,比如创建用户时是否需要主目录、UID和GID的范围、用户账户口令的期限等,这个文件可以通过root用户来修改。
MAIL_DIR /var/spool/mail //创建用户时,要在目录/var/spool/mail中创建一个用户邮箱文件
PASS_MAX_DAYS 99999 //用户必须更改口令的天数
PASS_MIN_DAYS 0 //用户可以更改口令的天数
PASS_MIN_LEN 5 //口令最小长度
PASS_WARN_AGE 7 //在用户口令过期之前的警告时间
UID_MIN 500 //创建新用户时用户的UID从500开始
UID_MAX 60000 //用户最大UID职为60000
GID_MIN 500 //创建新组群时组群的GID从500开始
GID_MAX 60000 //组群最大GID值为60000
CREATE_HOME yes //是否要求创建用户主目录,yes表示要求创建
ENCRYPT_METHOD MD5 //启用MD5加密口令
3./etc/default/useradd文件
/etc/default/useradd文件是在使用useradd命令创建用户账户时的规则文件。
[root@redhat2 ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home //把用户的主目录创建在/home目录中
INACTIVE=-1 //是否启用账户过期,-1表示不启用
EXPIRE= //账户终止日期,不设置表示不启用
SHELL=/bin/bash //用户账户所用shell类型
SKEL=/etc/skel //创建新用户时从/etc/skel目录下复制文件到用户主目录
CREATE_MAIL_SPOOL=yes //创建新用户时在/var/spool/mail目录下创建该用户邮箱目录。
五.用户和组群维护命令
1.账户维护命令
在平时的工作中对账户进行维护主要用到passwd,gpasswd,chfn,chsh,su,pwck以及newgrp等众多命令。
(1).passwd命令
使用passwd命令可以设置或修改用户的口令,普通用户和超级权限用户都可以运行passwd。
普通用户只能更改自己的用户口令,root用户可以设置或修改任何用户的口令。
如果passwd命令后面不接任何选项或用户名,则表示修改当前用户的口令。
命令语法:
[root@redhat2 ~]# passwd --help
Usage: passwd [OPTION...] <accountName>
-k, --keep-tokens keep non-expired authentication tokens
-d, --delete delete the password for the named account (root only)
-l, --lock lock the password for the named account (root only)
-u, --unlock unlock the password for the named account (root only)
-e, --expire expire the password for the named account (root only)
-f, --force force operation
-x, --maximum=DAYS maximum password lifetime (root only)
-n, --minimum=DAYS minimum password lifetime (root only)
-w, --warning=DAYS number of days warning users receives before password expiration (root only)
-i, --inactive=DAYS number of days after password expiration when an
account becomes disabled (root only)
-S, --status report password status on the named account (root only)
--stdin read new tokens from stdin (root only)
Help options:
-?, --help Show this help message
--usage Display brief usage message
例1:设置用户zhaoliu的口令
[root@redhat2 home]# passwd zhaoliu
Changing password for user zhaoliu.
New password:
BAD PASSWORD: it is WAY too short
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.
[root@redhat2 home]#
例2:设置当前用户的口令
[root@redhat2 home]# passwd
Changing password for user root.
New password:
BAD PASSWORD: it is WAY too short
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.
[root@redhat2 home]#
例3:锁住用户zhaoliu的口令。
[root@redhat2 home]# passwd -l zhaoliu
Locking password for user zhaoliu.
passwd: Success
[root@redhat2 home]#
//用户zhaoliu锁住以后不能登录到系统,但是可以用su命令从其他用户切换到用户zhaoliu
[root@redhat2 home]# passwd -S zhaoliu
zhaoliu LK 2015-01-12 0 99999 7 -1 (Password locked.)
[root@redhat2 home]#
//查看用户口令状态,可以看到用户zhaoliu的口令是锁住的。
[root@redhat2 home]# cat /etc/shadow|grep zhaoliu
zhaoliu:!!$1$fMvAUpfG$yIGyFEzLVkZflgi78rCkJ/:16448:0:99999:7:::
[root@redhat2 home]#
//查看/etc/shadow文件,可以看到用户zhaoliu口令锁住以后在口令字段前有"!!"
例4:解锁用户zhaoliu口令。
[root@redhat2 home]# passwd -u zhaoliu
Unlocking password for user zhaoliu.
passwd: Success
[root@redhat2 home]#
例5:删除用户zhaoliu的口令。
[root@redhat2 home]# cat /etc/shadow|grep zhaoliu
zhaoliu:!!$1$fMvAUpfG$yIGyFEzLVkZflgi78rCkJ/:16448:0:99999:7:::
//查看/etc/shadow文件,可以看到用户zhaoliu设置过口令。
[root@redhat2 home]# passwd -u zhaoliu
Unlocking password for user zhaoliu.
passwd: Success
[root@redhat2 home]# cat /etc/shadow|grep zhaoliu
zhaoliu:$1$fMvAUpfG$yIGyFEzLVkZflgi78rCkJ/:16448:0:99999:7:::
[root@redhat2 home]# passwd -d zhaoliu
Removing password for user zhaoliu.
passwd: Success
[root@redhat2 home]# cat /etc/shadow |grep zhaoliu
zhaoliu::16448:0:99999:7:::
[root@redhat2 home]#
//查看/etc/shadow文件,可以看到用户zhaoliu的口令已经没有了.
(2).gpasswd
使用gpasswd命令可以设置一个组群的组群密码,或是在组群中添加、删除用户。
[root@redhat2 home]# gpasswd
Usage: gpasswd [option] GROUP
Options:
-a, --add USER add USER to GROUP
-d, --delete USER remove USER from GROUP
-r, --remove-password remove the GROUP‘s password
-R, --restrict restrict access to GROUP to its members
-M, --members USER,... set the list of members of GROUP
-A, --administrators ADMIN,...
set the list of administrators for GROUP
Except for the -A and -M options, the options cannot be combined.
例1:把用户zhaoliu添加到zhang组群中。
[root@redhat2 home]# gpasswd -a zhaoliu zhang
Adding user zhaoliu to group zhang
//正在将用户"zhaoliu"加入到‘zhang‘组群中。
[root@redhat2 home]# cat /etc/group |grep zhaoliu
zhang:x:513:zhaoliu
[root@redhat2 home]#
//在/etc/group文件中可以看到zhang组群中有用户zhaoliu。
例2:从zhang组群中删除用户zhaoliu。
[root@redhat2 home]# gpasswd -d zhaoliu zhang
Removing user zhaoliu from group zhang
[root@redhat2 home]# cat /etc/group |grep zhang
zhangsan:x:501:
zhang:x:513:
[root@redhat2 home]#
//在/etc/group文件中可以看到zhang组群中已经没有用户zhaoliu了。
例3:设置zhang组群的口令。
[root@redhat2 home]# gpasswd zhang
Changing the password for group zhang
New Password:
Re-enter new password:
[root@redhat2 home]#
//在/etc/gshadow文件中可以看到组群zhang已经设置口令。
例4:取消zhang组群密码。
[root@redhat2 home]# gpasswd -r zhang
[root@redhat2 home]# cat /etc/gshadow |grep zhang
zhangsan:!::
zhang:::
[root@redhat2 home]#
//在/etc/gshadow文件中可以看到组群zhang已经不存在了。
(3).chsh命令
使用chsh命令可以更改用户账户的shell类型。
[root@redhat2 home]# chsh --help
Usage: chsh [ -s shell ] [ --list-shells ] [ --help ] [ --version ]
[ username ]
[root@redhat2 home]#
例1.列出当前系统中所有支持的shell类型。
[root@redhat2 home]# chsh -l
/bin/sh
/bin/bash
/sbin/nologin
/bin/tcsh
/bin/csh
/bin/ksh
[root@redhat2 home]#
例2:更改用户wangwu所用的shell类型为/bin/sh.
[root@redhat2 home]# cat /etc/passwd |grep wangwu
wangwu:x:514:514::/home/wangwu:/bin/bash
//查看/etc/passwd文件,可以看到用户wangwu的shell类型为/bin/bash
[root@redhat2 home]# chsh -s /bin/sh wangwu
Changing shell for wangwu.
Shell changed.
[root@redhat2 home]#
[root@redhat2 home]# cat /etc/passwd |grep wangwu
wangwu:x:514:514::/home/wangwu:/bin/sh
[root@redhat2 home]#
//查看/etc/passwd文件,可以看到用户wangwu的shell类型已经更改为/bin/sh
例3:更改当前用户wangwu 的shell类型为/bin/bash。
[root@redhat2 home]# chsh wangwu
Changing shell for wangwu.
New shell [/bin/sh]: /bin/bash //在此输入shell类型,比如/bin/bash
Shell changed.
[root@redhat2 home]#
(3).pwck命令
使用pwck命令可以检验用户配置文件/etc/passwd和/etc/shadow内容是否合法和完整。
[root@redhat2 home]# pwck
user ‘adm‘: directory ‘/var/adm‘ does not exist
user ‘uucp‘: directory ‘/var/spool/uucp‘ does not exist
user ‘gopher‘: directory ‘/var/gopher‘ does not exist
user ‘ftp‘: directory ‘/var/ftp‘ does not exist
user ‘avahi-autoipd‘: directory ‘/var/lib/avahi-autoipd‘ does not exist
user ‘saslauth‘: directory ‘/var/empty/saslauth‘ does not exist
user ‘pulse‘: directory ‘/var/run/pulse‘ does not exist
user ‘wangwu‘: directory ‘/home/wangwu‘ does not exist
pwck: no changes
[root@redhat2 home]#
//可以看到用户wangwu的主目录/home/wangwu不存在。
(4).newgrp命令
使用newgrp命令可以让用户账户以另一个组群的身份进行登录。
说明:newgrp指令类似于login指令,是以相同的账号名,不同的组群身份登录系统。如果要使用newgrp指令切换组群,用户必须是该组群的用户,否则将无法登陆指定的组群。单一用户如果要同时隶属多个组群,需利用交替用户的设置。如果不指定组群名称,则newgrp指令会登录该用户名称的预设组群。
例:将用户zhang以组群zhangsan的身份登录系统。
[root@redhat2 home]# su zhang
[zhang@redhat2 home]$ newgrp zhangsan
[zhang@redhat2 home]$ id
uid=513(zhang) gid=513(zhang) groups=513(zhang),501(zhangsan)
[zhang@redhat2 home]$
Linux 组群账户管理