7.1.1 用户信息文件/etc/passwd 7.1.2 影子文件/etc/shadow 7.1.3 组信息文件/etc/group和组密码文件/etc/gshadow
7.1.1 用户信息文件/etc/passwd 1、用户管理简介
所以越是对服务器安全性要求高的服务器,越需要建立合理的用户权限等级制度和服务器操作规范。在Linux中主要是通过用户配置文件来查看和修改用户信息2、 /etc/passwd
第1字段: 用户名称第2字段:密码标志第3字段: UID(用户ID) 0: 超级用户 1-499: 系统用户(伪用户) 500-65535: 普通用户第4字段: GID(用户初始组ID)第5字段:用户说明第6字段:家目录 普通用户: /home/用户名/ 超级用户: /root/第7字段:登录之后的Shell3、初始组和附加组 - 初始组:就是指用户一登录就立刻拥有这个用户组的相关权限,每个用户的初始组只能有一个,一般就是和这个用户的用户名相同的组名作为这个用户的初始组。 - 附加组: 指用户可以加入多个其他的用户组,并拥有这些组的权限, 附加组可以有多个。
4、 Shell是什么
Shell就是Linux的命令解释器。在/etc/passwd当中,除了标准Shell是/bin/bash之外,还可以写如/sbin/nologin,/usr/bin/passwd等。7.1.2 影子文件/etc/shadow 1、影子文件/etc/shadow
第1字段:用户名
第2字段:加密密码 加密算法升级为SHA512散列加密算法 如果密码位是“ !!”或“ *”代表没有密码,不能登 录
第3字段:密码最后一次修改日期 使用1970年1月1日作为标准时间,每过一天时间戳加1
第4字段:两次密码的修改间隔时间(和第3字段相比)
第5字段:密码有效期(和第3字段相比)
第6字段:密码修改到期前的警告天数(和第5字段相比)
第7字段: 密码过期后的宽限天数(和第5字段相比) 0: 代表密码过期后立即失效 -1: 则代表密码永远不会失效。
第8字段: 账号失效时间 要用时间戳表示
第9字段: 保留
2、时间戳换算
把时间戳换算为日期 date -d "1970-01-01 16066 days" 把日期换算为时间戳 echo $(($(date --date="2014/01/06" +%s)/86400+1))7.1.3 组信息文件/etc/group和组密码文件/etc/gshadow 1、组信息文件/etc/group
第一字段:组名第二字段:组密码标志第三字段: GID第四字段:组中附加用户2、组密码文件/etc/gshadow
第一字段:组名第二字段:组密码第三字段:组管理员用户名第四字段:组中附加用户1、用户的家目录
普通用户: /home/用户名/,所有者和所属组都是此用户,权限是700超级用户: /root/,所有者和所属组都是root用户,权限是5502、用户的邮箱
/var/spool/mail/用户名/3、 用户模板目录
/etc/skel/7.3.1 用户添加命令useradd 1、 useradd命令格式
[root@localhost ~]#useradd [选项] 用户名选项:
-u UID: 手工指定用户的UID号-d 家目录: 手工指定用户的家目录-c 用户说明: 手工指定用户的说明-g 组名: 手工指定用户的初始组-G 组名: 指定用户的附加组-s shell: 手工指定用户的登录shell。默认是/bin/bash2、添加默认用户
[root@localhost ~]# useradd lamp [root@localhost ~]# grep "lamp" /etc/passwd [root@localhost ~]# grep "lamp" /etc/shadow [root@localhost ~]# grep "lamp" /etc/group [root@localhost ~]# grep "lamp" /etc/gshadow [root@localhost ~]# ll -d /home/lamp/ [root@localhost ~]# ll /var/spool/mail/lamp3、指定选项添加用户
groupadd lamp1 useradd -u 550 -g lamp1 -G root -d /home/lamp1 \ -c "test user" -s /bin/bash lamp14、用户默认值文件
/etc/default/useradd GROUP=100 #用户默认组HOME=/home #用户家目录INACTIVE=-1 #密码过期宽限天数( 7)EXPIRE= #密码失效时间( 8)SHELL=/bin/bash #默认shellSKEL=/etc/skel #模板目录CREATE_MAIL_SPOOL=yes #是否建立邮箱 /etc/login.defs PASS_MAX_DAYS 99999 #密码有效期( 5)PASS_MIN_DAYS 0 #密码修改间隔( 4)PASS_MIN_LEN 5 #密码最小5位( PAM)PASS_WARN_AGE 7 #密码到期警告( 6)UID_MIN 500 #最小和最大UID范围GID_MAX 60000ENCRYPT_METHOD SHA512 #加密模式7.3.2 修改用户密码passwd
1、 passwd命令格式
[root@localhost ~]#passwd [选项] 用户名选项:
-S 查询用户密码的密码状态。仅root用户可用。-l 暂时锁定用户。仅root用户可用-u 解锁用户。仅root用户可用–stdin 可以通过管道符输出的数据作为用户的密码。2、查看密码状态
[root@localhost ~]# passwd -S lamp lamp PS 2013-01-06 0 99999 7 -1 #用户名密码设定时间( 2013-01-06) 密码修改间隔时间( 0) #密码有效期( 99999 ) 警告时间( 7) 密码不失效( -1)3、锁定用户和解锁用户
[root@localhost ~]# passwd -l lamp [root@localhost ~]# passwd -u lamp4、 使用字符串作为用户的密码
[root@localhost ~]# echo "123" | passwd --stdin lamp7.3.3 修改用户信息usermod 修改用户密码状态chage 1、修改用户信息usermod
[root@localhost ~]#usermod [选项] 用户名选项:
-u UID: 修改用户的UID号-c 用户说明: 修改用户的说明信息-G 组名: 修改用户的附加组-L: 临时锁定用户(Lock)-U: 解锁用户锁定(Unlock) [root@localhost ~]# usermod -c "test user" lamp #修改用户的说明 [root@localhost ~]# usermod -G root lamp #把lamp用户加入root组 [root@localhost ~]# usermod -L lamp #锁定用户 [root@localhost ~]# usermod -U lamp #解锁用户2、修改用户密码状态chage
[root@localhost ~]#chage [选项] 用户名选项:
-l: 列出用户的详细密码状态-d 日期: 修改密码最后一次更改日期(shadow3字段)-m 天数: 两次密码修改间隔(4字段)-M 天数: 密码有效期(5字段)-W 天数: 密码过期前警告天数(6字段)-I 天数: 密码过后宽限天数(7字段)-E 日期: 账号失效时间(8字段) [root@localhost ~]# chage -d 0 lamp #这个命令其实是把密码修改日期归0了(shadow第3字段)#这样用户一登陆就要修改密码7.3.4 删除用户userdel、用户切换命令su 1、删除用户userdel
[root@localhost ~]# userdel [-r] 用户名选项:
-r 删除用户的同时删除用户家目录手工删除用户
[root@localhost ~]# vi /etc/passwd [root@localhost ~]# vi /etc/shadow [root@localhost ~]# vi /etc/group [root@localhost ~]# vi /etc/gshadow [root@localhost ~]# rm -rf /var/spool/mail/lamp [root@localhost ~]# rm -rf /home/lamp/2、查看用户ID
[root@localhost ~]# id 用户名3、 切换用户身份su
[root@localhost ~]# su [选项] 用户名选项:
-: 选项只使用“ -”代表连带用户的环境变量一起切换-c 命令: 仅执行一次命令,而不切换用户身份 [lamp@localhost ~]$ su – root #切换成root [lamp@localhost ~]$ su - root -c "useradd user3 #不切换成root,但是执行useradd命令添加user1用户