1、用戶(hù)和用戶(hù)組文件

在 linux 中，用戶(hù)帳號(hào)，用戶(hù)密碼，用戶(hù)組信息和用戶(hù)組密碼均是存放在不同的配置文件中的。

在 linux 系統(tǒng)中，所創(chuàng)建的用戶(hù)帳號(hào)和其相關(guān)信息 (密碼除外) 均是存放在 / etc/passwd 配置文件中。由于所有用戶(hù)對(duì) passwd 文件均有讀取的權(quán)限，因此密碼信息并未保存在該文件中，而是保存在了 / etc/shadow 的配置文件中。

在 passwd 文件中，一行定義一個(gè)用戶(hù)帳號(hào)，每行均由多個(gè)不同的字段構(gòu)成，各字段值間用 ":” 分隔，每個(gè)字段均代表該帳號(hào)某方面的信息。

在剛安裝完成的 linux 系統(tǒng)中，passwd 配置文件已有很多帳號(hào)信息了，這些帳號(hào)是由系統(tǒng)自動(dòng)創(chuàng)建的，他們是 linux 進(jìn)程或部分服務(wù)程序正常工作所需要使用的賬戶(hù)，這些賬戶(hù)的最后一個(gè)字段的值一般為 / sbin/nologin，表示該帳號(hào)不能用來(lái)登錄 linux 系統(tǒng)。

在 passwd 配置文件中，從左至右各字段的對(duì)應(yīng)關(guān)系及其含義：

由于 passwd 不再保存密碼信息，所以用 x 占位代表。

若要使某個(gè)用戶(hù)賬戶(hù)不能登錄 linux，只需設(shè)置該用戶(hù)所使用的 shell 為 / sbin/nologin 即可。比如，對(duì)于 FTP 賬戶(hù)，一般只允許登錄和訪問(wèn) FTP 服務(wù)器，不允許登錄 linux 操作系統(tǒng)。若要讓某用戶(hù)沒(méi)有 telnet 權(quán)限，即不允許該用戶(hù)利用 telnet 遠(yuǎn)程登錄和訪問(wèn) linux 操作系統(tǒng)，則設(shè)置該用戶(hù)所使用的 shell 為 / bin/true 即可。若要讓用戶(hù)沒(méi)有 telnet 和 ftp 登錄權(quán)限，則可設(shè)置該用戶(hù)的 shell 為 / bin/false。

在 / etc/shells 文件中，若沒(méi)有 / bin/true 或 / bin/false，則需要手動(dòng)添加：
[root@localhost ～]# echo "/bin/false">>/etc/shells
[root@localhost ～]# echo "/bin/true">>/etc/shells

2、用戶(hù)密碼文件

為安全起見(jiàn)，用戶(hù)真實(shí)的密碼采用 MD5 加密算法加密后，保存在 / etc/shadow 配置文件中，該文件只有 root 用戶(hù)可以讀取。

與 passwd 文件類(lèi)似，shadow 文件也是每行定義和保存一個(gè)賬戶(hù)的相關(guān)信息。第一個(gè)字段為用戶(hù)帳戶(hù)名，第二個(gè)字段為賬戶(hù)的密碼。

3、用戶(hù)組帳號(hào)文件

用戶(hù)組帳號(hào)信息保存在 / etc/group 配置文件中，任何用戶(hù)均可以讀取。用戶(hù)組的真實(shí)密碼保存在 / etc/gshadow 配置文件中。

在 group 中，第一個(gè)字段代表用戶(hù)組的名稱(chēng)，第二個(gè)字段為 x，第三個(gè)為用戶(hù)組的 ID 號(hào)，第四個(gè)為該用戶(hù)組的用戶(hù)成員列表，各用戶(hù)名間用逗號(hào)分隔。

4、添加用戶(hù)

創(chuàng)建或添加新用戶(hù)使用 useradd 命令來(lái)實(shí)現(xiàn)，其命令用法為：

useradd [option] username
該命令的 option 選項(xiàng)較多，常用的主要有：
-c 注釋????? 用戶(hù)設(shè)置對(duì)賬戶(hù)的注釋說(shuō)明文字
-d 主目錄??? 指定用來(lái)取代默認(rèn)的 / home/username 的主目錄
-m ???????? 若主目錄不存在，則創(chuàng)建它。-r 與 - m 相結(jié)合，可為系統(tǒng)賬戶(hù)創(chuàng)建主目錄
-M????????? 不創(chuàng)建主目錄
-e date ??? 指定賬戶(hù)過(guò)期的日期。日期格式為 MM/DD/YY
-f days ??? 帳號(hào)過(guò)期幾日后永久停權(quán)。若指定為 -，則立即被停權(quán)，若為 - 1，則關(guān)閉此功能
-g 用戶(hù)組???? 指定將用戶(hù)加入到哪個(gè)用戶(hù)組，該用戶(hù)組必須存在
-G 用戶(hù)組列表 指定用戶(hù)同時(shí)加入的用戶(hù)組列表，各組用逗分隔
-n????????? 不為用戶(hù)創(chuàng)建私有用戶(hù)組
-s shell??? 指定用戶(hù)登錄時(shí)使用的 shell，默認(rèn)為 / bin/bash
-r????????? 創(chuàng)建一個(gè)用戶(hù) ID 小于 500 的系統(tǒng)賬戶(hù)，默認(rèn)不創(chuàng)建對(duì)應(yīng)的主目錄
-u 用戶(hù) ID??? 手動(dòng)指定新用戶(hù)的 ID 值，該值必須唯一，且大于 499
-p password 為新建用戶(hù)指定登錄密碼。此處的 password 是對(duì)應(yīng)登錄密碼經(jīng) MD5 加密后所得到的密碼值，不實(shí)真實(shí)密碼原文，因此在實(shí)際應(yīng)用中，該參數(shù)選項(xiàng)使用較少，通常單獨(dú)使用 passwd 命令來(lái)為用戶(hù)設(shè)置登錄密碼。

示例：

若要?jiǎng)?chuàng)建一個(gè)名為 nisj 的用戶(hù)，并作為 babyfish 用戶(hù)組的成員，則操作命令為：
[root@localhost ~]# useradd -g babyfish nisj
[root@localhost ~]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish)
[root@localhost ~]# tail -1 /etc/passwd
nisj502:/home/nisj:/bin/bash
添加用戶(hù)時(shí)，若未用 - g 參數(shù)指定用戶(hù)組，則系統(tǒng)默認(rèn)會(huì)自動(dòng)創(chuàng)建一個(gè)與用戶(hù)帳號(hào)同名的私有用戶(hù)組。若不需要?jiǎng)?chuàng)建該私有用戶(hù)組，則可選用 - n 參數(shù)。
比如，添加一個(gè)名為 nsj820 的賬戶(hù)，但不指定用戶(hù)組，其操作結(jié)果為：
[root@localhost ~]# useradd nsj820
[root@localhost ~]# id nsj820
uid=503(nsj820) gid=503(nsj820) groups=503(nsj820)
[root@localhost ~]# tail -1 /etc/passwd
nsj820503:/home/nsj820:/bin/bash
[root@localhost ~]# tail -2 /etc/passwd
nisj502:/home/nisj:/bin/bash
nsj820503:/home/nsj820:/bin/bash #系統(tǒng)自動(dòng)創(chuàng)建了名為 nsj820 的用戶(hù)組，ID 號(hào)為 503

創(chuàng)建用戶(hù)賬戶(hù)時(shí)，系統(tǒng)會(huì)自動(dòng)創(chuàng)建該用戶(hù)對(duì)應(yīng)的主目錄，該目錄默認(rèn)放在 / home 目錄下，若要改變位置，可以利用 - d 參數(shù)指定；對(duì)于用戶(hù)登錄時(shí)使用的 shell，默認(rèn)為 / bin/bash，若要更改，則使用 - s 參數(shù)指定

例如，若要?jiǎng)?chuàng)建一個(gè)名為 vodup 的賬戶(hù)，主目錄放在 / var 目錄下，并指定登錄 shell 為 / sbin/nologin，則操作命令為：

[root@localhost ~]#? useradd -d /var/vodup -s /sbin/nologin vodup
[root@localhost ~]# id vodup
uid=504(vodup) gid=504(vodup) groups=504(vodup)
[root@localhost ~]# tail -1 /etc/passwd
vodup504:/var/vodup:/sbin/nologin
[root@localhost ~]# tail -1 /etc/group
vodup504:

5、設(shè)置帳號(hào)屬性

對(duì)于已創(chuàng)建好的用戶(hù)，可使用 usermod 命令來(lái)修改和設(shè)置賬戶(hù)的各項(xiàng)屬性，包括登錄名，主目錄，用戶(hù)組，登錄 shell 等，該命令用法為：

usermod [option] username
部分 option 選項(xiàng)

（1）改變用戶(hù)帳戶(hù)名

使用 - l 參數(shù)來(lái)實(shí)現(xiàn)，命令用法為：
usermod -l 新用戶(hù)名 原用戶(hù)名

例如，若要將用戶(hù) nsj820 更名為 nsj0820，則操作命令為：
[root@localhost ~]# usermod -l nsj0820 nsj820
[root@localhost ~]# id nsj0820
uid=503(nsj0820) gid=503(nsj820) groups=503(nsj820)
[root@localhost ~]# tail -1 /etc/passwd
nsj0820503:/home/nsj820:/bin/bash
從輸出結(jié)果可見(jiàn)，用戶(hù)名已更改為 nsj0820。主目錄仍為原來(lái)的 / home/nsj820，若也要更改為 / home/nsj0820，則可通過(guò)執(zhí)行以下命令來(lái)實(shí)現(xiàn)
[root@localhost ~]# usermod -d /home/nsj0820 nsj0820
[root@localhost ~]# id nsj0820
uid=503(nsj0820) gid=503(nsj820) groups=503(nsj820)
[root@localhost ~]# tail -1 /etc/passwd
nsj0820503:/home/nsj0820:/bin/bash
[root@localhost home]# mv /home/nsj820 /home/nsj0820

（2）鎖定賬戶(hù)

若要臨時(shí)禁止用戶(hù)登錄，可將該用戶(hù)賬戶(hù)鎖定。鎖定賬戶(hù)可利用 - L 參數(shù)來(lái)實(shí)現(xiàn)，其命令用法為：

usermod -L 要鎖定的賬戶(hù)

linux 鎖定用戶(hù)，是通過(guò)在密碼文件 shadow 的密碼字段前加 “！” 來(lái)標(biāo)識(shí)該用戶(hù)被鎖定。

[root@localhost home]# usermod -L nsj0820
[root@localhost home]# tail -1 /etc/shadow
nsj0820:!$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK3007:::

但通過(guò) root 用戶(hù)進(jìn)去，然后 su 到被鎖定的用戶(hù)，是可以進(jìn)去的。

（3）解鎖賬戶(hù)

要解鎖賬戶(hù)，可以使用帶?-U?參數(shù)的 usermod 命令來(lái)實(shí)現(xiàn)。

[root@localhost ~]# usermod -U nsj0820
[root@localhost ~]# tail -1 /etc/shadow
nsj0820:$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK3007:::

6、刪除賬戶(hù)

要?jiǎng)h除賬戶(hù)，可以使用 userdel 命令來(lái)實(shí)現(xiàn)，其用法為：
userdel [-r] 帳戶(hù)名

-r 為可選項(xiàng)，若帶上該參數(shù)，則在刪除該賬戶(hù)的同時(shí)，一并刪除該賬戶(hù)對(duì)應(yīng)的主目錄。

[root@localhost ~]# userdel -r nsj0820

若要設(shè)置所有用戶(hù)賬戶(hù)密碼過(guò)期的時(shí)間，則可通過(guò)修改 / etc/login.defs 配置文件中的 PASS_MAX_DAYS 配置項(xiàng)的值來(lái)實(shí)現(xiàn)，其默認(rèn)值為 99999，代表用戶(hù)賬戶(hù)密碼永不過(guò)期。其中 PASS_MIN_LEN 配置項(xiàng)用于指定賬戶(hù)密碼的最小長(zhǎng)度，默認(rèn)為 5 個(gè)字符。

7、設(shè)置用戶(hù)登錄密碼

使用 passwd 命令來(lái)設(shè)置，其命令用法為：
passwd [帳戶(hù)名]
若指定了帳戶(hù)名稱(chēng)，則設(shè)置指定賬戶(hù)的登錄密碼，原密碼自動(dòng)被覆蓋。只有 root 用戶(hù)才有權(quán)設(shè)置指定賬戶(hù)的密碼。一般用戶(hù)只能設(shè)置或修改自己賬戶(hù)的密碼（不帶參數(shù)）。

例如, 若要設(shè)置 nisj 賬戶(hù)的登陸密碼，則操作命令為：
[root@localhost home]# passwd nisj
Changing password for user nisj.
New password:?
BAD PASSWORD: it is too short
BAD PASSWORD: is too simple
Retype new password:?
passwd: all authentication tokens updated successfully.
賬戶(hù)登錄密碼設(shè)置后，該賬戶(hù)就可以登錄系統(tǒng)了。

8、鎖定 / 解鎖賬戶(hù)密碼及查詢(xún)密碼狀態(tài)、刪除賬戶(hù)密碼

在 linux 中，除了用戶(hù)賬戶(hù)可被鎖定外，賬戶(hù)密碼也可被鎖定，任何一方被鎖定后，都將無(wú)法登錄系統(tǒng)。只有 root 用戶(hù)才有權(quán)執(zhí)行該命令，鎖定賬戶(hù)密碼使用帶 - l 選項(xiàng)的 passwd 命令，其用法為：

passwd -l 帳戶(hù)名
passwd -u 帳戶(hù)名??? #解鎖賬戶(hù)密碼
[root@localhost home]# passwd -l nisj
Locking password for user nisj.
passwd: Success
[root@localhost home]# passwd -u nisj
Unlocking password for user nisj.
passwd: Success

要查詢(xún)當(dāng)前賬戶(hù)的密碼是否被鎖定，可以使用帶 - S 參數(shù)的 passwd 命令來(lái)實(shí)現(xiàn)，其用法為：
passwd -S 賬戶(hù)名
例如
[root@localhost home]# passwd -S nisj
nisj PS 2016-04-18 0 99999 7 -1 (Password set, MD5 crypt.)

如要?jiǎng)h除賬戶(hù)的密碼，使用帶 - d 參數(shù)的 passwd 命令來(lái)實(shí)現(xiàn)，該命令也只有 root 用戶(hù)才有權(quán)執(zhí)行，其用法為：
passwd -d 帳戶(hù)名
帳戶(hù)密碼被刪除后，將不能登錄系統(tǒng)，除非重新設(shè)置密碼。

9、創(chuàng)建用戶(hù)組

用戶(hù)和用戶(hù)組屬于多對(duì)多關(guān)系，一個(gè)用戶(hù)可以同時(shí)屬于多個(gè)用戶(hù)組，一個(gè)用戶(hù)組可以包含多個(gè)不同的用戶(hù)。

創(chuàng)建用戶(hù)組使用 groupadd 命令，其命令用法為：
groupadd [-r] 用戶(hù)組名稱(chēng)

若命令帶有 - r 參數(shù)，則創(chuàng)建系統(tǒng)用戶(hù)組，該類(lèi)用戶(hù)組的 GID 值小于 500；若沒(méi)有 - r 參數(shù)，則創(chuàng)建普通用戶(hù)組，其 GID 值大于或等于 500.

10、修改用戶(hù)組屬性

用戶(hù)組創(chuàng)建后，根據(jù)需要可對(duì)用戶(hù)組的相關(guān)屬性進(jìn)行修改。對(duì)用戶(hù)組屬性的修改，主要是修改用戶(hù)組的名稱(chēng)和用戶(hù)組的 GID 值。
（1）改變用戶(hù)組的名稱(chēng)
若要對(duì)用戶(hù)組進(jìn)行重命名，可使用帶 - n 參數(shù)的 groupmod 命令來(lái)實(shí)現(xiàn)，其用法為：
groupmod -n 新用戶(hù)組名? 原用戶(hù)組名

對(duì)于用戶(hù)組改名，不會(huì)改變其 GID 的值

比如，若要將 student 用戶(hù)組更名為 teacher 用戶(hù)組，則操作命令為：
[root@localhost home]# groupadd student
[root@localhost home]# tail -1 /etc/group
student505:
[root@localhost home]# groupmod -n teacher student
[root@localhost home]# tail -1 /etc/group
teacher505:

（2）重設(shè)用戶(hù)組的 GID
用戶(hù)組的 GID 值可以重新進(jìn)行設(shè)置修改，但不能與已有用戶(hù)組的 GID 值重復(fù)。對(duì) GID 進(jìn)行修改，不會(huì)改變用戶(hù)名的名稱(chēng)。

要修改用戶(hù)組的 GID，可使用帶 - g 參數(shù)的 groupmod 命令，其用法為：
groupmod -g new_GID 用戶(hù)組名稱(chēng)

例如，若要將 teacher 組的 GID 更改為 506，則操作命令為：
[root@localhost home]#? groupmod -g 506 teacher
[root@localhost home]# tail -1 /etc/group
teacher506:

11、刪除用戶(hù)組

刪除用戶(hù)組使用 groupdel 命令來(lái)實(shí)現(xiàn)，其用法為：
groupdel 用戶(hù)組名

在刪除用戶(hù)組時(shí)，被刪除的用戶(hù)組不能是某個(gè)賬戶(hù)的私有用戶(hù)組，否則將無(wú)法刪除，若要?jiǎng)h除，則應(yīng)先刪除引用該私有用戶(hù)組的賬戶(hù)，然后再刪除用戶(hù)組。

[root@localhost home]# groupdel teacher
[root@localhost ~]# grep teacher /etc/group??? #沒(méi)有輸出，說(shuō)明 teacher 用戶(hù)組以不存在，刪除成功

12、添加用戶(hù)到指定的組 / 從指定的組中移除用戶(hù)

可以將用戶(hù)添加到指定的組，使其成為該組的成員。其實(shí)現(xiàn)命令為：
gpasswd -a 用戶(hù)賬戶(hù)? 用戶(hù)組名

若要從用戶(hù)組中移除某用戶(hù)，其實(shí)現(xiàn)命令為：
gpasswd -d 用戶(hù)賬戶(hù)? 用戶(hù)組名
例如:
[root@localhost home]# groupadd student
[root@localhost home]# gpasswd -a nisj student
Adding user nisj to group student
[root@localhost home]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish),505(student)
[root@localhost home]# gpasswd -d nisj student
Removing user nisj from group student
[root@localhost home]# id nisj
uid=502(nisj) gid=500(babyfish) groups=500(babyfish)
[root@localhost home]# groups nisj
nisj : babyfish

13、設(shè)置用戶(hù)組管理員

添加用戶(hù)到組和從組中移除某用戶(hù)，除了 root 用戶(hù)可以執(zhí)行該操作外，用戶(hù)組管理員也可以執(zhí)行該操作。

要將某用戶(hù)指派為某個(gè)用戶(hù)組的管理員，可使用以下命令來(lái)實(shí)現(xiàn)；

gpasswd -A 用戶(hù)賬戶(hù) 要管理的用戶(hù)組
命令功能：將指定的用戶(hù)設(shè)置為指定用戶(hù)組的用戶(hù)管理員。用戶(hù)管理員只能對(duì)授權(quán)的用戶(hù)組進(jìn)行用戶(hù)管理 (添加用戶(hù)到組或從組中刪除用戶(hù))，無(wú)權(quán)對(duì)其他用戶(hù)組進(jìn)行管理。

[root@localhost home]# gpasswd -a nisj student
Adding user nisj to group student
[root@localhost home]# gpasswd -A nisj student
[root@localhost home]# useradd stu
[root@localhost home]# gpasswd -a stu student
Adding user stu to group student
[root@localhost home]# groups stu
stu : stu student
[root@localhost home]# su - nisj
[nisj@localhost ~]$ gpasswd -d stu student
Removing user stu from group student
[nisj@localhost ~]$ gpasswd -d stu stu
gpasswd: Permission denied.

14、用戶(hù)其他相關(guān)

另外，linux 還提供了 id，whoami 和 groups 等命令，用來(lái)查看用戶(hù)和組的狀態(tài)。id 命令用于顯示當(dāng)前用戶(hù)的 uid，gid 和所屬的用戶(hù)組的列表；whoami 用于查詢(xún)當(dāng)前用戶(hù)的名稱(chēng)；groups 用于產(chǎn)看指定用戶(hù)所隸屬的用戶(hù)組。

同時(shí)，我們可以使用圖形界面來(lái)管理用戶(hù)和用戶(hù)組，系統(tǒng) ---> 管理 ---> 用戶(hù)和組群可以打開(kāi)相應(yīng)的配置界面。

附：將用戶(hù)添加到組中，也可以如下操作
將一個(gè)用戶(hù)添加到用戶(hù)組中，千萬(wàn)不能直接用：?
usermod -G groupA?
這樣做會(huì)使你離開(kāi)其他用戶(hù)組，僅僅做為這個(gè)用戶(hù)組 groupA 的成員。?
應(yīng)該用 加上 -a 選項(xiàng)：?
usermod -a -G groupA user
(FC4: usermod -G groupA,groupB,groupC user)
-a 代表 append， 也就是 將自己添加到 用戶(hù)組 groupA 中，而不必離開(kāi)其他用戶(hù)組。

編輯：黃飛

?