前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Linux账号管理

Linux账号管理

作者头像
石臻臻的杂货铺[同名公众号]
发布2021-07-14 09:55:59
3.2K0
发布2021-07-14 09:55:59
举报
文章被收录于专栏:kafka专栏

1 用户账号

     ① 我们在登录Linux时候 系统都做了哪些事情?

  1.     先 /etc/password 检查是否有输入的账号,如果有则找出对应的UID(用户ID)GID(组ID),另外 该账号的主文件夹与对应shell设置一起读出
  2. 核对密码表;这时Linux进去/etc/shadow里面找到对应的UID 然后核对刚刚输入的密码与这个文件的密码是否相同;
  3. 都OK,就进入 shell掌控阶段
  4. (如果要备份Linux系统账号的话 一定要备份这两个文件 /etc/password /etc/shadow )

     ②  /etc/password     文件结构

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

每一行代表一个用户; : 把一行分成了7段,他们分别代表着  

      1.账号名称  比如 root

      2 密码  早期UNIX系统密码就是放在这个字段,但是这个文件特效是所有的程序都能读取,会造成密码容易被窃取,因为后来密码的字段放到

/etc/shadow中了,所以这里默认填写了X

      3.UID 用户标识符   UID=0表示系统管理员;可以设置多个系统管理员 但是不建议这样做;

1~499(系统账号)这个范围是保留给系统使用的ID ;

这个范围会有 /nologin 的情况,那么nologin是什么意思呢?

          系统账号的shell使用 /sbin/nologin ,此时无法登陆系统,即使给了密码也不行。

          所谓“无法登陆”指的仅是这个用户无法使用bash或其他shell来登陆系统而已,并不是说这个账号就无法使用系统资源。举例来说,各个系统账号中,打印作业有lp这个账号管理,                  www   服务器有apache这个账号管理,他们都可以进行系统程序的工作,但就是无法登陆主机而已。

        有时候有些服务,比如邮件服务,大部分都是用来接收主机的邮件而已,并不需要登陆。假如有账号试图连接我的主机取得shell,我们就可以拒绝。   

       另外,如果我想要让某个具有 /sbin/nologin 的用户知道,他们不能登陆主机时,可以新建 /etc/nologin.txt 这个文件,在文件内面写上不能登陆的原因,当用户登录时,屏幕上就会  出现这个文件里面的内容。

         细分1~99:由distributions自行创建的系统账号

          100~499:若用户有系统账号的需求时候,可以使用的账号UID

         500以上 (可登录账号)给一般用户用的

       4.GID(GroupID 组ID) /etc/group 文件与/etc/passwd 差不多的  就是让 组名 跟这个GID对于起来;

       5.用户基本信息说名列 ,没啥特别的 解释这个账号的意义

       6.主文件夹 ,比如root账号是 /root ;用户登录会默认跑到这个文件夹;如果想修改主文件夹 那么修改这个字段就行了;默认的用户主文件夹是/home/yourIDname

       7.Shell  ;默认使用的shell

       ③ /etc/shadow文件结构

        我们知道很多程序的运行都与权限有关,而权限与UDI/GID有关,所以各个程序都需要读取 /etc/passwd 来了解不同账号的权限 ;那么这个文件的权限设置为了 -rw-r--r--;密码放在passwd的第二个字段很不安全;会被别人获取;所以后来发展出将密码移动到了 /etc/shadow里面;

        :分割 有9个字段;

         1.账号名称

         2.密码 经过加密的密码 ;虽然加密了 但是还是有可能被破解,所以这个文件只有root才能够读取;

         3.最近改动密码的日期

         4.密码不可被更改的天数(与第三个相比)

         5.密码需要重新更改的天数

         6.密码需要更改旗下钱的警告天数

         7.密码过期后台的账号宽限时间

         8.账号失效日期

         9.保留字段

         root密码忘记了怎么办?

        ④/etc/group   /etc/gshadow   (省略)

2 账号管理

2.1 新增与删除用户:useradd,相关配置文件,passwd,usermod,userdel 

      1.新增用户   adduser  用户名 ; 这样会默认创建跟用户名一样的 用户组;

         adduser -u 700 -g users test3

-u  自定义UID

         -g 自定义用户组

-r 创建系统账号 ;不会主动创建主文件夹

      我们在用  adduser 用户名 ;  的时候 会默认创建修改很多文件; 这些默认的数据从哪里来呢?

      用命令   useradd -D 查看默认值

     上面的数据在文件 /etc/default/useradd中查出来的;

     (略过)

  1.       设置密码  passwd   用户名

           passwd [-l] [-u] [-S]

           [-l] lock锁定用户密码  在/etc/shadow 的密码字段前面加上了!

           [-u] unlock 用户

           [-S] 查看密码相关参数 ;比如刚刚 -l 了;test LK 2017-01-04 0 99999 7 -1 (Password locked.) 显示被锁定了;

           查看密码详细参数的命令还有   chage -l 用户名

       root  用户注意  passwd 修改别人的密码一定要加上用户名 否则 就是修改root的密码了

  1.     修改用户一些参数  usermod [-cdegGlsuLU] username

        usermod -L username  锁定用户  == passwd -l username

        usermod -U username 解锁用户  == passwd -u username

        usermod -c username 修改用户描述信息 /etc/passwd 第五列信息

        -g :后面接初始用户组;

       -G :后面接次要用户组

        -l: 修改账号名称

  1.       userdel 删除用户

          userdel -r username 连同主文件夹也一起删除

     5  id  查询用户相关ID信息

 2.2 新增与删除用户组

     id 查看用户信息

1. groupadd [-g gid] [-r] 用户组名

        -g 指定GID

        -r 新建系统用户组。

     2. groupmod [-g gid] [-n group_name] 用户组

        -g 修改GID  -n 修改用户组名

      最好不要随意改动GID

     3. groupdel [groupname]

     4.gpasswd:用户组管理员功能

         作用是  让某个用户组具有一个管理员,这个使用后管理员可以管理哪些账号可以加入/移除 该用户组

       范例:

groupadd testgroup   新建用户组

gpasswd testgroup   给用户组一个密码

gpasswd -A test testgroup   将用户组的管理员为test

gpasswd -a test testgroup  登录test用户;  将test 或其他用户加入到testgroup组中

登录到src用户 执行这个语句就提示没有权限

gpasswd [-A user1, ....] [-M user3, ...]  groupname

下面是 root用户有权限执行的

如果没有参数 表示给与groupname一个密码 在 /etc/gshadow

-A 将groupname 的主控权交给后面的用户去管理(该用户组的管理员)

-M 将某些账号加入这个用户组中

-r 删除这个组的密码

-R 让密码失效

下面是用户组管理员有权限执行的

-a 将某位用户加入到这个组中

-d 将某位用户删除出groupname 这个用户组中

          5 newgrp [groupname]

          上面的测试中 我们将用户test 也加入到新创建的testgroup1中

          test就有2个组;我们可以用newgrp来切换当前的组;来获取对应组的权限

          newgrp testgroup1

          切换成功 我们用 id 看看

          第一个出现的就是当前所在的组; 可以看到 有一个组名是test  ;那是因为 centos adduser 的时候会默认创建同用户名的用户组

         范例:

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2017/01/05 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
访问管理
访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用CAM创建子用户、用户组和角色,并通过策略控制其访问范围。CAM支持用户和角色SSO能力,您可以根据具体管理场景针对性设置企业内用户和腾讯云的互通能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档