07 -用户管理/67 -用户和权限-添加用户

大家好，欢迎大家继续收看上硅谷的云计算课程，我是沈朝老师。这节课我们继续来学习用户管理，之前我们讲了这个用户的相关文件。那这节课呢，我们来学习它的相关命令啊，那如果我要添加一个用户啊，我可以有两个方法可选，一个就是手工来添加。在这个配置文件里，每一个文件手工来添加这个用户的相关信息也可以添加，这个实际上我们已经做过了，我们是用手工删除的方式来验证这个用户最终是写在了对应文件，对吧？那。理论上。手要是想添加一个用户，完全是可以通过手工来添加这个文件来实现的。但是。第一太麻烦，第二也没必要用户管理是有这个合理的，或者是熟这个熟练的这种命令的，这种用命令来做的话，远要比手工来去改文件是不是要方便的多，对吧？所以我们来学习一下用户相关的这个命令。

那第一个命令。U命令啊，那也就说啊，添加用户啊，我可以手工添加，当然也可以用US来添加，对吧，那不不推荐用这个，这个只是给大家演示一下，那添加用户就是1S，那它咋用啊，其实这个命令我说默认就非常简单。132的U2加用户名就行啊，添加过那就U43。那。那就。然后记得要给他设密码，要不然这个用户是不允许登录的，来我看一下，如果我添加了用户没有设密码是什么情况，你看一下。在一些C下pass错的，你看这个用户现在是正常的，什么信息都是正常的对吧。但。如果我要去沙漠里面看你，就来看一眼，看到了吗？

有密码的用户。这里都是合理的加密密码。这都是可以登录的，而。如果你这个用户没有设置密码，它是两个感叹号，那我们说了这是不是代表它是空密码或者没密码，那这种情况下这个用户是不能登录的，那换句话说，我再说记得添加的用户你一定要干嘛，就是添加完用户之后，一定要设置密码，否则这个用户是不允许登录的，OK，你的用户就没有添加完成。但是啊，偶尔有这种情况，什么我安装某一个服务，我前面一直在讲，我说什么所有的服务都必须有对应的伪用户。都要有对应的伪用户存在，它是不是才能起来才能启动，而我们前面装的阿帕奇，它的伪用户是自动建立，阿帕奇装的时候会自动生成，但是有些服务就不会，比如说买。我们后面去装买circleq的时候，买circleq就不会自动建立的用户，它是需要手工来建立一个伪用户的。

那我们就说了，各位伪用户，它就是用来启动服务，伪用户反而不允许登录对吧，那这种情况下，如果我们后期建的是服务的这种。系统用户或者伪用户，这种用户是不允许或者也不建议设计密码的，因为这个用户本来就不让他登录，让他登了反而不安全，OK，那也就说极个别的特殊情况下是。不允许给用户设密码，但是正常情况所有的用户都必须要设密码，否则这个用户是不能登录的，大家记得这个事儿啊，好，那也就是说要是完整的是这个这个添加用户还要干嘛给他设个密码诶。我输了密码是123，那这里说密码太简单了，但是诶这个东西也能生效，因为我是root用户，Root用户我非要用简易密码是可以的，OK，好，这就是。

他这个命令的这个基本功。那其次这个命令有一些选项存在，那这些选项呢，各位大家需要了解一下啊各位。啊，其实我说其实这些选项我们site最常用的反而就是什么site后面加用户名，什么都不加，什么选项都不要，就直接是全都是默认的，哎，不加选项，那就只能是它所有的值都是默认值对吧。Art。所有的值都是默认值，反而更符合我们的使用习惯，我们更推荐大家不要用选项来添加用户。OK。但是呢，还是这句话，有可能会有特殊情况，我们需要手工来指，所以我们挑了几个常见选项，我们来看一下，第一个当U指定用户的UID啥意思，各位？

看他做的，我们说过用户的UID是从500开始计算的，普通用户，然后一个一个往后去这个排添加一个往后排一个，对吧？那但是如果有特殊情况，比如说我非要指定一下，我要限定它只到550，在这种情况下可以用高优的方式来治病。但是小心一件事啊，看我现在的UID是不是只用到了503，那我如果强制指定我的这个新用户的UID是550，那我问你我再参加下。就是说我添加TEST2用户，我强制指定它是五百五百五，而前面的test的用户才用到5000这个零三，那我现在问你，我如果再添加T的三用户，他的ID号是多少。是504还是551？也就是说他其实ID号应该是551，换句话说，如果你中间跳过了这一部分的ID号，那在今天呢，会。

接在最新的这个ID号后边，中间会少一部分啊，大家注意这个事儿就行，其实呃，其实也就是这样一个小细节，再一个。直接UID的事儿还真的一般不会做，用用它干嘛呀，你就501 503和五百五有什么区别，何必呢，对不对？所以我说这个值大家这些选项大多数是用不到啊，再有一个。杠C是添加，说明啥意思？前面我们说这个。Password里第五列是不是说明，而我们添加手工添加的用户说明都是空的，因为我们没有添加，那如果需要添加，请你就在这里加个杠C就行。杠进是指定加目录，那这个加目录一般也不建议改，为啥就默认就在户目下挺好了，你非要改在别的位置，比如说你改了跟下太的三别扭吗。而且我们说其实并不太建议在跟下这个建立更多的一级一级目录，对吧，那最后一个指定登陆事，那我们说了，我们现在已知的可用事就这一个，你手工纸也没了，指就它你要指称这个伪用户这个项的no log，那这个用户反而就不能登录了，对不对，所以我说。

这些选项绝大多数都没有意义。了解一下就行，那学员说了，老师那没有意义，干嘛还要讲，各位可能主要是为了讲这两个选项，那这两个选项稍微麻烦点，初始组合附加组的选项，我们先把其他选项敲一下，然后我们再来讲这两个选项，好吧，那现在我就叫添加，假设我要添加一个test star用户。那我为了让你看清了，我先写参数，然后往前面写这个这个选项，那我就可以杠U，比如说指定到550，然后呢杠这个C加个说明，说明的话如果有空格，请你用双引号把它括起来。

你要记不清，你就最好都过起来啊，测试用户啊，然后呢。杠劲把它指定到它这个根下啊，待会儿我就删掉好吧。然后呢，这个杠S上是并下的这个倍数行了。UID用户的说明加目录，登录上OK。那这个时候推车干生效用户添加了，那我们看一下ETC下的pass怎么连来往下拉一下。ID号是不是已经是五百五了，那初始阻拦ID号也会自动变成550。这个说明是不是也有啊，加目录是不是也变了？OK，那加目录需要手动键吗？我就是说跟下我没有建立这个test star需要吗？看不用啊，这里边是自动会建立的，所以我在这里写了一下，我说如果需要手工指定加目录，目录是不需要你这个人为建立的，它会自动生成OK。

好。那我说有啥用？哎，就你手工指这个有啥用，所以我说更习惯了，反而就是S直接加用户名，什么都不加，全部都用默认纸挺好，OK这样简单了，对吧。那。选项里可能重点是这两个东西。杠小G，组名和杠大G，它的一个作用是小G是用来指定初始组。杠大级是用来指定附加组，前面我们讲过了，什么叫初始组，初始组是每个用户是不是只能有一个，而且必须有一个，只能并且必须。那我们建议是你最好就不要改这个初始组，用的一般就是和用户名相同的组，作为初始组最好是这样，我说把它当老婆你就最好的吧，这个一夫一妻制是国家规定，你这个想反对也没用，对吧，其次呢。

附加组的限制就更少了，默认的时候每个用户其实不属于附加组，但如果你愿意，可以把用户加入到其他的附加组，OK，那我们试一下哥来看啊。嗯。我添加一个用户啊，留添加一个用户，刚刚见到哪了，忘到了，忘了建到哪了。呃，刚刚见的是test几啊，算了算了算了，重来，我添加一个用户P，然后呢，我用杠小G把它指定到test组里。看清楚啊。我在添加一个用户P，我用杠大G。把它指到T的一组里。看清楚啊，后面是用户，前面是组名，OK，因为这个命令是操作的是用户user user命令，所以参数是用户，中间的是组别，搞混啊。

回车。好，我这俩用户都没有设密码，我就只是做实验不设了，就这样，那我现在问你有什么区别吗？小G和大G。有人说了，小镇是初始组，大乘是附加组，好，换个问法，我想问你系统中有没有建立P1组？各位，P组是没有建立的，因为我每一个用户只能有一个初始组，我强制手工把初始组指到了太一组。那这个时候P用户的初始组就是test的一组，同时啊，Test的一组一还是T的一用户的初始组。我问你别扭吗？别扭吗？哎，一个组是两个人的处始组。我问别扭吗？有人说不别扭啊，好，这就相当于啥，你只能找一个老婆，但是你老婆可以嫁两个男人。我问你别扭吗？哎，我们有还有学员说这个这个心态比较开放，还有学员说不别扭啊，这个学员你到时候可以这个私信一下我啊，这个你结婚的时候我去跟你贺喜啊，OK，别扭啊。

极其的别扭吧，OK，而且我说最大的问题就是在在于我们正常情况认为拼运货的出师组就应该是P组，我们所有人都想当然这样认为，你突然强制手工把它改成S1，在你后期用的时候，你今天天，你可能记得等你过一个月你回头你自己就懵了，这是什么情况，这种权限怎么来定，自己就懵逼了。所以各位小心啊，如果用的是小G，它的作用是。这个用户干嘛，他是设定的初始组是不会建立P组，因为相当于T斯用户，T斯的一组给T斯的一和P2个用户共作初始组。而大气就没那么多问题了。首先。P2会生成P2组，它的初始组是P2，那它只是把它作为附加用户加入了T斯的一速，这个时候影响就小不多了，也就是说T的一用户的初始组依然是T1 p2用户的初始组呢依然是。

这个这个这个P组只是把P用户加到了这个组里，这个就好理解多了，这也符合我们正常使用习惯，OK，所以我再说一遍，不建议使劲这个设定初始组啊。那我们确认一下怎么确认来，我们首先看一下他做的。哦，不不不不，这个之前这个打开过。在这打开了，那我们退出重新开打开，那我们可以看到。P用户的UID号是551，看接着五百五往后了，没有再做，再占用504这个ID号啊，但是他的初始组ID是503，是test第一组看见了。而P2就简单多了，它的ID号是UID是552，初始阻ID也是552，这就好多了，OK，那我们再看一下这个日期线下的group。

那我们可以看到啊，P2组建立了。P组是没有了。对吧，其次我其实把P1用户和P2用户都加入了TEST1组里，但是这里只能看到P2用户，原因我说了组文件里这里看到了，是不是只能看到附加用户，那P1是作为初始用户加进来了，所以看不到P2呢？在里面能看到，OK，那这样的话各位是不是就可以说明什么，我们这个P这个。这个P组是没有建立的，就证明什么，我是把初始组。我是把初始组在这儿啊，我是把初始组PG的初始组指到了积极组里，OK，这个是极其别扭的事情，我不建议这样，OK，你们如果需要把用户加入组，就请你们使用大G，大家小心这个事儿，OK，好。

那这是USD的选项，那我再说一遍，其实最常用的就是US加用户名，多余的选项一个都不用。然后呢，但是呢，选项里边偶尔会用到的就是这个加入组，如果我需要把用户加入组，可以选择杠大G，尽量不要使用放小G。好，这是you site的这个命令还是非常简单的，那接下来我们来看看you s的默认值，哎，前面我说是。我说的命令是添加用户的时候，其实可以不加任何选项，它默认是不是就会有默认值存在那。各位。如果对Windows来讲，我们很多默认东西都解释不了。我们都会告诉你这玩意是啥，Windows默认的，哎，说白了就是我也说不清怎么回事，你就Windows就这样，你记下来就行，但是由于Windows它不开源。

很多东西都解释不清楚。2064可不是。Linux理论上是所有的内容都能解释的，因为它是开源的。当然我再说局这个系统太复杂了，局限于我们现有的知识或者能力，我并不保证我能解释所有的东西，这个事儿，这个事儿肯定不能这么说啊，但是我们说绝大多数东西都是能解释的，比如说既然我说选项是有默认选项，那linus就会有对应的控制文件来控制这些默认选项，那我们来看一下这个这个默认值的控制文件。主要是两个文件，1000C下default下的和1000C下的login login.def2文件，我们分别打开看看。拿这个打开啊，1TC下defa，然后you size啊这个文件，这个文件打开非常简单，总共就这样几行，那我们可以看一下里面写了几句话，第一句话它指的是。

我如果添加的所有用户，他会把它加入在这个默认组100当中。哎，各位，也就是说我添加个UC1，我不会生成U色一组啊，然后呢，是把它加入的这个组100里100这个组，各位，这有点像Windows啊，Windows就是添加所有的用户都会直接生成在user组里，而不会建立更多的组，对吧。那我们说了啊各位，我们linus现在是这样吗？不是吧，不是把你添加的用户都加到100这个组里，而是啥U色是不是就生成U色一组。Test是就生成test的一组，没错吧，所以这个机制我们现在没有采用啊，我们采用的是私有用户组机制，其实指的就是每千加一个用户。就直接生成，OK，好，这是第一句话，换句话说，这句话没起作用。那第二句话，这句话作用就是加目录的位置。

要求你们添加了普通用户，加不住，默认都在这儿，这是合理的，不建议的。那。第三句话是个腹肌。啥东西？你还记得这个吃吗？我打开这个日出先下的。Shadow。我说过这个值，还记得吗？这个是密码过期之后的宽限参数对不对，默认是空的，这个文件UC是我改了个零对吧，手工改的，但是默认这些地方是不是都是空。是不是就没有，我说空是不是就代表是负一，那负一代表的是永不过期，就算到了天，他该用还是用永远不过期，那这个不合理啊，那那这个呢，就是说这个值定义了，就是杀到一的第七个磁来，也就是密码过期之后的宽限点数，那也就是说。我每一个用户如果都要手工去改成零很麻烦，我要添加100个用户，我再手工改100遍，是不是很不方便，对吧，那这个时候就可以干嘛改默认值。

把这个值干嘛，不要是负一，负一是代表永不过去，就改成六，这样的话他就会干嘛。到期这个用户就会终止这个文件，只要保存就行，保存退出就行，然后呢，我在添加一个用户。它它只会对新用户生效啊，所以我们在干嘛再签一个用户，比如说TEST4 OK，这个时候来我们1TC下的杀，我们看一下。来看四看。默认这里是不是就变成零了？OK，那也就是说这个文件里的这个值。控制的就是这个密码过期天数，那默认是负一不合理，那建议你们把它的过期天数改成零，就是到期就这个禁止登录。那各位。那我问你啊。这个东西你会忘吗？这么小一个值，只有我，我也是啊，只有讲课讲到这，我才能想起来这个值。

所以想说什么，一直是不是在说你们是不是应该整理一个服务器操作手册？手册里是不是就应该把这些东西写进去，新装的服务器都应该要注意把这个值改掉，OK，那这是不是就是手册需要你逐步的来更新，听明白了，好，这是第三个密码的过期天数。然后呢，这个里边是密码的失效时间，也就是杀狗的第八个字段，还记得吗？啥玩意儿，就是这个值，我说里边是不是写时间戳，如果你的用户有效期是一年，你就算清楚，再把它写成时间戳写进来。当前时间加365天对吧，但如果你要在这个值里写了。你以后新加的用户都会到这前过期，这个一般不合理，为啥？我们的习惯是啥？你今天才的用户是一年，那到明年的今天，这个用户就禁止登录，那你过了十天新建的用户，那是不是应该它也是一年，那是不是应该也是明年的，再过十天是不是才会过期，而不是在这里手工指一个把它就卡死在这儿。

对不对，所以这个倒不是太常用这个选项，但是它是可以通过什么。这个值来控制它的默认值吧，第七个和第八个字吧，OK。好，那这个呢，写的就是默认的登录上，也就是passor的内容，这里会告诉你你的模板文件在ETC下的SKL当中。最后一步。是说给你的每一个用户都创建邮箱，好，这是第一个配置文件里的内容，定义了这样一些值，那好，我想问啥？我的这个沙漏里面，除了这个是密码的。设定时间之外，后面的这些值是不是都应该有默认值，而我们现在呢，这两个值是不是只定义了这两个值，这个可以见。

就是密码的过期时间和这个用户的到期时间，是不是定义了这两个，是不是还有几个值没有进义对吧，那这几个值在哪进去了，在下面这个。第二个默认配配置文件日下的log defa啊，那我们打开看看。一切剩下的log。第defa，好，这个文件看起来稍微多一点，66行，但是绝大多数都是注释，如果把注释删掉生效了，其实就这几行内有那么一行一行来看，第一行告诉你邮箱的位置。哎，上面这个配置文件只是说新建邮箱，但是在哪建呀，是靠下面这个文件告诉你啊，在这里建这个位置。然后呢，下面这两个呢，这个就是啥，你看密码的有效期对不对，两次密码的修改间隔，然后密码到期之后的警告天数。

看到也就是啥沙兜里呢这三项啊。这个两次密码修改间隔密码的有效期，密码到期前的警告天数。是不是就是这几个。这个和这个没错吧，那这个都可以按照你的需求来改，诶可以，比如说你想说100所有用户都是180天，时间太长了，怎么办，把它改一下，比如说我把它改成。都改成180件。这改一下，不要9万多天了，180天。得了，至于这个什么，这个两次密码修改间隔和这个都不用啊，都不用改到期前的警告钱数中间这个五指的是最小密码长度，密码不应该小于五位，有人说老师五位太短了，是不是要改成七位啊，这七位就是大于七位，那就是大于等于八位，OK，那。其实我说这个密码这里现在已经丧失了意义了，这里这个密码长度控制着，这个密码长度在Linux当中，当前的系统下已经不再生效，Linux采用了更先进的这种密码控制策略来控制它，所以这个值改不改都没有意义，已经不再起作用了，在旧版本的，更老更老的版本下。

可能七八年前的RL3以前的版本里才会通过它来生效，现在都不是了，已经不再通过它了，所以这个值已经不起作用，可以不理他啊。好。这是。密码的这一系列，那这样的话，看沙兜里的这些值是不是就全了，两个配置文件一综合是不是就可以控制权了，对吧？其次呢，接下来呢，这是UID和JID的范围，哎，我前面是不是说了，用普通用户的UID是不是500~6万呢？哎，就在这里，当然我说可以放吧。我们现在的内核能支持232次方个，二十四十二亿九千万个，你完全可以往大里放，但是没必要。我说过你们在网站上签的那些用户都不是系统，那仅仅只是网站数据，所以系统用户其实6万个左右的ID号足够足足够够了，从来没有碰到过说把ID号占满的情况。

OK，当然如果真正买了，在这里开就完了啊，可以。好，那接下来呢，这里呢，就是什么。建立用户的时候是否自动建立加目录，那这个应该建立对吧，建立加目录的默认权，默认的u mask值是077啥意思。各位你可以看一下啊，我们的加目录。所有用户的加目录都是权限是700，看到吗？原因就是这个目录建立目录的u ma值，它没有采用系统的must值s u must，我们讲过了，系统下是不是自动的用u must值，它没有采用，它采用的是这个配置文件里的u must值。

好，那这个U8值是077，那当然算出来新建目录就是700 OK算法也是讲过了，对吧，所以这些都没必要改，都是挺好的，OK，那都挺好的，没什么必要，其次呢，这里是指的是删除用户的时候，是不是要把他的出始组删除，当然要删，要不然你想用户都没了，留着一堆组在那干嘛，垃圾文件对不对，所以。这个都不建议，最后一句话是告诉你，我们当前这个Linux的这个账户密码的加密方式采用的是SHA512，这个我说过了，比我们原先的MD5这个已经要先进的多了啊，那这些都不用改。好，那这就是这个文件里的内容，其实有可能会改到改了也就是什么这个密码的这个有效期了，对吧，其他的都是很方便，也是很这个很合理的东西，所以就这样挺好好各位。这两个文件。

其实基本上是不用你改，你能够看参考文档看懂就OK了，但是要求把文件名背下来，里边的内容参考文档能看懂就行，不用管它好了各位，那这节课呢，我们来讲一下如何添加你。那添加用户既可以手工去添加文件，这样太麻烦。当然也可以用命令来添加命命令是不是就更加的这个简单，其次命令的时候主要这两个选项要分清，一个是这个指定初始组，一个是指定附加组，再有一个其实u size的时候，我们选项一般都不不建议使用，就U，然后用户名剩下的全都用默认值就可以，就很合理。然后呢？默认值采用的是这样两个文件，通过这两个文件来控制参考文档，能看懂就OK了。好，这就是我们这节课的内容，下一节课再见。