账号和权限管理——管理用户账号和组账号（一）

一、用户账号和组账号概述

1．用户账号

在 Linux 操作系统中，根据系统管理的需要将用户账号分为不同的类型，主要包括超级用户、普通用户和程序用户，各类型拥有的权限、担任的角色也各不相同。

超级用户：root 用户是 Linux 操作系统中默认的超级用户账号，对本主机拥有至高无上的权限，类似于 Windows 操作系统中的 Administrator 用户。只有当进行系统管理、维护任务时，才建议使用 root 用户登录系统，日常事务处理建议只使用普通用户账号。

普通用户：普通用户账号需要由 root 用户或其他管理员用户创建，拥有的权限受到一定限制，一般只在用户自己的宿主目录中拥有完整权限。

程序用户：在安装 Linux 操作系统及部分应用程序时，会添加一些特定的低权限用户账号，这些用户一般不允许登录到系统，而仅用于维持系统或某个程序的正常运行，如 bin、daemon、ftp、mail 等。

2．组账号

基于某种特定联系（如都需要访问 FTP 服务）将多个用户集合在一起，即构成一个用户组，表示该组内所有用户的账号称为组账号。

每一个用户账号至少属于一个组，这个组称为该用户的基本组（或私有组）；

若该用户同时还包含在其他的组中，则这些组称为该用户的附加组（或公共组）。

例如，用户 zhangsan 是技术部的员工，与部门内的其他同事同属于基本组 tech，后来因工作安排需要，公司将 zhangsan 加入邮件管理员组 mailadm，则此时用户 zhangsan 同时属于 tech、mailadm 组，tech 组是其基本组账号，而 mailadm 组是其附加组账号。对组账号设置的权限将适用于组内的每一个用户账号。

3．UID 和 GID 号

Linux 操作系统中的每一个用户账号都有一个数字形式的身份标记，称为 UID（UserIDentity，用户标识号），对于操作系统核心来说，UID 是区分用户的基本依据，原则上每个用户的 UID 号应该是唯一的。root 用户账号的 UID 号为固定值 0，而程序用户账号的 UID

号默认为 1～499，500～60000 的 UID 号默认分配给普通用户使用。与 UID 类似，每一个组账号也有一个数字形式的身份标记，称为 GID（Group IDentity，组标识号）。root 组账号的 GID 号为固定值 0，而程序组账号的 GID 号默认为 1～499，500～60000 的 GID 号默认分配给普通组使用。

二、用户账号管理

1．用户账号文件

与用户账号相关的配置文件主要有两个，分别是/etc/passwd 和/etc/shadow。前者用于保存用户名称、宿主目录、登录 Shell 等基本信息，后者用于保存用户的密码、账号有效期等信息。在这两个配置文件中，每一行对应一个用户账号，不同的配置项之间使用“:”（冒号）进行分隔。

1）passwd 文件中的配置行格式

操作系统中所有用户的账号基本信息都保存在/etc/passwd 文件中，该文件是文本文件，任何用户都可以读取文件中的内容。

例如，以下操作可分别查看/etc/passwd 文件开头、末尾的几行内容。

[root@localhost ~]# head -2 /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
[root@localhost ~]# tail -2 /etc/passwd
shan:x:1000:1000:shan:/home/shan:/bin/bash
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin

在 passwd 文件开头的部分，包括超级用户 root 及各程序用户的账号信息，系统中新增加的用户账号信息将保存到 passwd 文件的末尾。passwd 文件的每一行内容中包含了七个用“:”（冒号）分隔的配置字段，从左到右各配置字段的含义分别如下所述：

第 1 字段：用户账号的名称，也是登录系统时使用的识别名称。

第 2 字段：经过加密的用户密码字串，或者密码占位符“x”。

第 3 字段：用户账号的 UID 号。

第 4 字段：所属基本组账号的 GID 号。

第 5 字段：用户全名，可填写与用户相关的说明信息。

第 6 字段：宿主目录，即该用户登录后所在的默认工作目录。

第 7 字段：登录 Shell 等信息，用户完成登录后使用的 Shell。

基于系统运行和管理的需要，所有用户都可以访问 passwd 文件中的内容，但是只有 root用户才能进行更改。在早期的 UNIX 操作系统中，用户账号的密码信息也是保存在 passwd文件中的，不法用户可以获取密码字串进行暴力破解，这样一来账号安全就存在一定的隐患。因此，后来将密码转存入专门的 shadow 文件中，而 passwd 文件中仅保留密码占位符“x”。

2）shadow 文件中的配置行格式

shadow 文件又被称为“影子文件”，其中保存有各用户账号的密码信息，因此对 shadow文件的访问应该进行严格限制。默认只有 root 用户能够读取 shadow 文件中的内容，且不允许直接编辑该文件中的内容。

例如，以下操作可分别查看/etc/shadow 文件开头、末尾的几行内容。

[root@localhost ~]# head -2 /etc/shadow
root:$6$2qGYwaX9U8BNk4Ml$eH7hJoKyojJr433J5g5qS6yPqqJYv6UPhehyFSx6B3E0gpQoQzNJTGtmP37pgeCqrp4/cBbt1/jXJr5CV2mT00::0:99999:7:::
bin:*:17110:0:99999:7:::
[root@localhost ~]# tail -2 /etc/shadow
shan:$6$nT2Y1XCi.h8YVmzs$u/E6WWRaDBVEVuiRGtVvJbEcPGtCQDkSfdD.bLctj3vUrWM0iMxshEQbyBrlRZmZBI.qjI.sfLCkTGRlV2sRB.:18146:0:99999:7:::
apache:!!:18166::::::

shadow 文件的每一行内容中包含了九个用“:”（冒号）分隔的配置字段，从左到右各配置字段的含义分别如下所述：

第 1 字段：用户账号名称。

第 2 字段：使用 SHA-512（哈希算法中的一种）加密的密码字串信息，当为“*”或“!!”时表示此用户不能登录到系统。若该字段内容为空，则该用户无须密码即可登录系统。

第 3 字段：上次修改密码的时间，表示从 1970 年 01 月 01 日算起到最近一次修改密码时间隔的天数。

第 4 字段：密码的最短有效天数，自本次修改密码后，必须至少经过该天数才能再次修改密码。默认值为 0，表示不进行限制。

第 5 字段：密码的最长有效天数，自本次修改密码后，经过该天数以后必须再次修改密码。默认值为 99999，表示不进行限制。

第 6 字段：提前多少天警告用户密码将过期，默认值为 7。

第 7 字段：在密码过期之后多少天内禁用此用户。

第 8 字段：账号失效时间，此字段指定了用户作废的天数（从 1970 年 01 月 01 日起计算），默认值为空，表示账号永久可用。

第 9 字段：保留字段，目前没有特定用途。

2．添加、修改、删除用户账号

（1）useradd 命令——添加用户账号

useradd 命令用于添加用户账号，其基本的命令格式如下：

useradd [选项] 用户名

最简单的用法是，不添加任何选项，只使用用户名作为 useradd 命令的参数，按系统默认配置建立指定的用户账号。在 CentOS 系统中，使用 useradd 命令添加用户账号时主要完成以下几项任务：

在/etc/passwd 文件和/etc/shadow 文件的末尾增加该用户账号的记录。

若未明确指定用户的宿主目录，则在/home 目录下自动创建与该用户账号同名的宿主目录，并在该目录中建立用户的各种初始配置文件。

若没有明确指定用户所属的组，则自动创建与该用户账号同名的基本组账号，组账号的记录信息将保存到/etc/group 和/etc/gshadow 文件中。

例如，执行以下操作可以创建名为 bdqn_zeng 的用户账号，并通过查看 passwd、shadow文件和/home 目录来确认新增用户账号时的变化。

[root@localhost ~]# tail -1 /etc/passwd
bdqn_zeng:x:1001:1001::/home/bdqn_zeng:/bin/bash
[root@localhost ~]# tail -1 /etc/shadow
bdqn_zeng:!!:18169:0:99999:7:::
[root@localhost ~]# ls -A /home/bdqn_zeng/         //确认自动创建的用户目录
.bash_logout  .bash_profile  .bashrc  .mozilla

如果结合 useradd 命令的各种选项，可以在添加用户账号的同时对 UID 号、宿主目录、登录 Shell 等相关属性进行指定。以下列出了 useradd 命令中用于设置账号属性的几个常见选项：

-u：指定用户的 UID 号，要求该 UID 号码未被其他用户使用。

-d：指定用户的宿主目录位置（当与-M 一起使用时，不生效）。

-e：指定用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。

-g：指定用户的基本组名（或使用 GID 号）。

-G：指定用户的附加组名（或使用 GID 号）。

-M：不建立宿主目录，即使/etc/login.defs 系统配置中已设定要建立宿主目录。

-s：指定用户的登录 Shell。

上述的各个选项可以组合使用。

例如，执行以下操作可以创建一个辅助管理员账号admin，将其基本组指定为“wheel”，附加组指定为“root”，宿主目录指定为“/admin”。

[root@localhost ~]# useradd -d /admin -g wheel -G root admin

在账号管理工作中，有时候会希望在新建账号的同时指定该账号的有效期限，或者要求新建的账号不能登录系统（如仅用于访问 FTP 服务），这时可分别使用“-e”和“-s”选项。

例如，执行以下操作可以创建一个名为 b_down 的 FTP 账号（禁止终端登录），该账号将于2020-12-31 失效。

[root@localhost ~]# useradd -e 2020-12-31 -s /sbin/nologin b_down

（2）passwd 命令——为用户账号设置密码

通过 useradd 命令新增用户账号以后，还需要为其设置一个密码才可以正常使用。passwd 命令可以设置或修改密码，root 用户有权管理其他账号的密码（指定账号名称作为参数即可）。

例如，执行“passwd bdqn_zeng”命令可为 bdqn_zeng 账号设置登录密码，要根据提示重复输入两次，具体操作如下：

[root@localhost ~]# passwd bdqn_zeng
更改用户 bdqn_zeng 的密码 。
新的 密码：
无效的密码： 密码少于 8 个字符
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。

用户账号具有可用的登录密码以后，就可以从字符终端进行登录了。虽然 root 用户可以指定用户名作为参数，对指定账号的密码进行管理，但是普通用户却只能执行单独的“passwd”命令修改自己的密码。对于普通用户自行设置的密码，要求具有一定的复杂性（如不要直接使用英文单词，长度保持在六位以上），否则系统可能拒绝进行设置。普通用户设置自身的登录密码时，需要先输入旧的密码进行验证。例如，以下操作是用户 bdqn_zeng 更改登录密码的过程。

[bdqn_zeng@localhost ~]$ passwd
更改用户 bdqn_zeng 的密码 。
为 bdqn_zeng 更改 STRESS 密码。
（当前）UNIX 密码：
新的 密码：
重新输入新的 密码：
passwd：所有的身份验证令牌已经成功更新。

使用 passwd 命令除了可以修改账号的密码以外，还能够对用户账号进行锁定、解锁，也可以将用户的密码设置为空（无须密码即可登录）。与上述功能相关的几个选项如下所示：

-d：清空指定用户的密码，仅使用用户名即可登录系统。

-l：锁定用户账户。

-S：查看用户账户的状态（是否被锁定）。

-u：解锁用户账户。

通过 passwd 命令锁定的用户账号，将无法再登录系统（shadow 文件中的对应密码字串前将添加“!!”字符），只能由管理员来解除锁定。例如，以下操作分别用于锁定、解锁用户账号 bdqn_zeng。

[root@localhost ~]# passwd -l bdqn_zeng           //锁定账号
锁定用户 bdqn_zeng 的密码 。
passwd: 操作成功
[root@localhost ~]# passwd -S bdqn_zeng           //查看锁定状态
bdqn_zeng LK 2019-09-30 0 99999 7 -1 (密码已被锁定。)
[root@localhost ~]# passwd -u bdqn_zeng           //解锁账号
解锁用户 bdqn_zeng 的密码。
passwd: 操作成功
[root@localhost ~]# passwd -S bdqn_zeng           //查看解锁状态
bdqn_zeng PS 2019-09-30 0 99999 7 -1 (密码已设置，使用 SHA512 算法。)

（3）usermod 命令——修改用户账号属性

对于操作系统中已经存在的用户账号，可以使用 usermod 命令重新设置各种属性。usermod 命令同样需要指定账号名称作为参数。usermod 命令中较常使用的几个选项如下所述：

-u：修改用户的 UID 号。

-d：修改用户的宿主目录位置。

-e：修改用户的账户失效时间，可使用 YYYY-MM-DD 的日期格式。

-g：修改用户的基本组名（或使用 GID 号）。

-G：修改用户的附加组名（或使用 GID 号）。

-s：指定用户的登录 Shell。

-l：更改用户账号的登录名称（Login Name）。

-L：锁定用户账户。

-U：解锁用户账户。

使用 usermod 命令时，其大部分的选项与 useradd 命令的选项是对应的，作用也相似。除此以外，还有两个选项“-L”和“-U”，分别用于锁定、解锁用户账号。这两个选项与 passwd命令的“-l”和“-u”选项的作用基本相同，但是存在大小写区别。若要修改已有账号的宿主目录，需要先将该账号原有的宿主目录转移到新的位置，然后通过 usermod 命令设置新的宿主目录位置。

例如，执行以下操作可以将 admin 用户的宿主目录由/admin 转移至/home/admin。

[root@localhost ~]# mv /admin /home/
[root@localhost ~]# usermod -d /home/admin admin

通过 usermod 命令同样可以对账号进行锁定、解锁操作，经 usermod 命令锁定的账号也不能登录系统（shadow 文件中的对应密码字串前将添加“!”字符）。

例如，以下操作分别用于锁定、解锁用户账号 admin,但是在 CentOS 7 系统中，如果账户没有设置密码，那么该账户锁定后将无法使用“usermod -U”命令解锁。因此在锁定 admin 账户之前需要先为其设置账户密码。

[root@localhost ~]# usermod -L admin
[root@localhost ~]# passwd -S admin
admin LK 2019-09-30 0 99999 7 -1 (密码已被锁定。)
[root@localhost ~]# usermod -U admin
[root@localhost ~]# passwd -S admin
admin PS 2019-09-30 0 99999 7 -1 (密码已设置，使用 SHA512 算法。)

若需要修改账号的登录名称，可以使用“-l”选项。

例如，执行以下操作可以将 admin用户的登录名称更改为 webmaster，下次登录时生效。

[root@localhost ~]# usermod -l webmaster admin
[root@localhost ~]# grep "admin" /etc/passwd
webmaster:x:1002:10::/home/admin:/bin/bash

当操作系统中的某个用户账号不再使用时（如该员工已经从公司离职等情况），可以使用 userdel 命令将该用户账号删除。使用该命令也需要指定账号名称作为参数，结合“-r”选项可同时删除宿主目录。

例如，执行以下操作将删除名为 bdqn_zeng 的用户账号，同时删除其宿主目录/home/bdqn_zeng。

[root@localhost ~]# userdel -r bdqn_zeng
[root@localhost ~]# ls -ld /home/bdqn_zeng        //确认宿主目录是否已删除
ls: 无法访问/home/bdqn_zeng: 没有那个文件或目录

3．用户账号的初始配置文件

添加一个新的用户账号后，useradd 命令会在该用户的宿主目录中建立一些初始配置文件。这些文件来自于账号模板目录/etc/skel/，基本上都是隐藏文件，较常用的初始配置文件包括“.bash_logout”、“.bash_profile”和“.bashrc”。其中，

“.bash_profile”文件中的命令将在该用户每次登录时被执行；

“.bashrc”文件中的命令会在每次加载“/bin/Bash”程序（当然也包括登录系统）时执行；

“.bash_logout”文件中的命令将在用户每次退出登录时执行。

理解这些文件的作用，可以方便我们安排一些自动运行的后台管理任务。在“.bashrc”等文件中，可以添加用户自己设置的可执行语句（如 Linux 命令行、脚本控制语句等），以便自动完成相应的任务。如果希望为所有用户添加登录后自动运行的命令程序、自动设置变量等，可以直接修改/etc 目录下的类似文件，如/etc/bashrc 文件、/etc/profile 文件。

例如，执行以下操作可以为所有用户自动设置 myls 命令别名。

[root@localhost ~]# vi /etc/bashrc
…… //省略部分内容
alias myls='/bin/ls -lhr'