Linux基础介绍【第七篇】

linux用户分类

超级用户：UID=0，root

普通用户：UID 500起，由超级用户或具有超级用户权限的用户创建的用户。

虚拟用户：UID 1—499，为了满足文件或服务启动的需要而存在，一般都不能登录，只是傀儡用户。

用户关联的四个文件：

/etc/passwd：用户的账号文件

/etc/shadow：用户的密码文件

/etc/group：组的账号文件

/etc/gshadow：组的密码文件

账号管理

useradd（增）：同adduser命令，执行此命令可在系统中添加用户。

userdel（删）：执行此命令可删除用户及相关用户的配置或文件。

usermod（改）：修改用户的命令，可以通过usermod来修改登录名、用户的家目录等。

usermod -s /sbin/nologin oldboy

usermod -s /bin/bash oldboy

id（查）：查看用户的UID、GID及所归属的用户组。

passwd：执行此命令可为用户设置密码，更改/etc/shadow。

chage：修改用户密码有效期限，管理/etc/shadow。

su：用户角色切换工具。

sudo：sudo是通过另一个用户来执行命令，su是用来切换用户，然后通过切换到的用户来完成相应的任务，但sudo能在命令后面直接接命令执行，比如sudo ls /root，不需要root密码就可以执行只有root才能执行相应的命令或具备的目录权限；这个权限需要通过visudo命令或直接编辑/etc/sudoers来实现。

visudo：visudo配置sudo权限的编辑命令，也可以直接用vi编辑/etc/sudoers实现，推荐使用visudo来操作（会自动检查语法）。

/etc/skel目录

/etc/skel目录是用来存放新用户配置文件的目录，当我们添加新用户时，这个目录下的所有文件会自动被复制到新添加的用户的家目录下；默认情况下，/etc/skel目录下的所有文件都是隐藏文件（以点开头的文件）；通过修改、添加、删除/etc/skel目录下的文件，可以为新建的用户提供统一的、标准的、初始化用户环境。

删除/home/用户家目录 中的.bash_logout、.bash_profile、.bashrc产生的效果：-bash-4.1$

1. [root@oldboy xiao1]# rm -f .bash
2. .bash_logout .bash_profile .bashrc
3. [root@oldboy xiao1]# rm -f .bash*
4. [root@oldboy xiao1]# su - xiao1
5. -bash-4.1$

解决办法：

从/etc/skel中拷贝.bash_logout、.bash_profile、.bashr到用户家目录即可解决。

1. -bash-4.1$ cp /etc/skel/.bash* /home/xiao1/
2. -bash-4.1$ logout
3. [root@oldboy ~]# su - xiao1

/etc/login.defs配置文件

/etc/login.defs文件是用来定义创建用户时需要的一些用户的配置信息。如创建用户时，是否需要家目录，UID和GID的范围，用户及密码的有效期限等。

/etc/default/useradd文件

/etc/default/useradd文件是在使用useradd添加用户时的一个需要调用的一个默认文件，可以使用"useradd -D 参数"，这样的命令格式来修改文件里面的内容。

1. [root@oldboy ~]# cat /etc/default/useradd
2. # useradd defaults file
3. GROUP=100 #依赖于/etc/login.defs的USERGROUPS_ENAB参数，如果为no则此处控制。
4. HOME=/home #把用户的家目录创建在/home中
5. INACTIVE=-1 #是否启用账号过去停权，-1表示不启用
6. EXPIRE= #账号终止日期，不设置表示不启用
7. SHELL=/bin/bash #新用户默认所用的shell类型
8. SKEL=/etc/skel #配置新用户家目录的默认文件存放存放路径，当用useradd添加用户时，用户家目录下的文件，都从这里配置的目录中复制过去。
9. CREATE_MAIL_SPOOL=yes #创建mail文件

useradd命令

useradd参数选项	注释说明
-c comment	新账号passwd挡的说明栏
-d home_dir	新账号每次登入时所使用的home_dir。预设值为default_home内login名称，并当成登入时目录名称。
-e expire_date	账号终止日期。日期的指定格式为MM/DD/YY。
-f inactive_days	账号过期几日后永久停权。当值为0时账号则立刻被停权。而当值为-1时则关闭此功能，预设值为-1。
-g initial_group	group名称或以数字来做为用户登入起始用户组（group）。用户组名须为系统现有存在的名称。用户组数字也须为现有存在的用户组。预设的用户组数字为1。
-G group,[…]	定义此用户为多个不同groups的成员。每个用户组使用","逗号分隔。用户组名同-g选项的限制。默认值为用户的起始用户组。
-m	用户目录如不存在则自动建立。如使用-k选项，skeleton dir内的档案将复制至用户目录下。然而在/etc/skel目录下的档案也会复制过去。任何在skeleton_diror /etc/skel的目录也相同会在用户目录下一一建立。The-k同-m不建立目录以及不复制任何档案为预设值。
-M	不建立用户家目录，优先于/etc/login.defs文件的设定。一般创建虚拟用户时不建立家目录，部署服务时需要创建虚拟用户。
-n	默认情况下用户的用户组与用户的名称会相同。如果命令加了-n参数就不会生成和用户名的用户组了。
-s shell	用户登入后使用的shell名称。默认值为不填写，这样系统会指定预设的登入shell（根据/etc/default/useradd预设的值）。
-u uid	用户的ID值。这个值必须是唯一的，除非用-o选项。数字不可为负值。

useradd -e、-u、-G、-s、-d多参数组合的例子：

添加用户oldboy，并设置用户注释信息为HandsomeBoy，UID指定为806，归属为用户组root、oldboy、sa成员，其shell类型为/bin/sh，设置家目录为/oldboy。

1. [root@oldboy ~]# useradd -c "HandsomeBoy" -u 806 -G root,sa,oldboy -s /bin/sh -d /oldboy6 oldboy6
2. [root@oldboy ~]# tail -1 /etc/passwd
3. oldboy6:x:806:806:HandsomeBoy:/oldboy6:/bin/sh
4. [root@oldboy ~]# id oldboy6
5. uid=806(oldboy6) gid=806(oldboy6) groups=806(oldboy6),0(root),510(oldboy),511(sa)

groupadd命令

groupadd参数选项	注释说明
-g gid	指定用户组GID值。除非接-o参数（如：groupadd -g gid）否则ID值必须是唯一的数字（不能为负数）。如果不指定会从500开始。

passwd命令

passwd参数选项	注释说明
--stdin	从stdin读入密码
-k --keep-tokens	保留即将过期的用户在期满后仍能使用
-d --delete	删除用户密码，仅能以root权限操作
-l --lock	锁住用户无权更改其密码，仅能通过root权限操作
-u --unlock	解除锁定
-f --force	强制操作，仅root权限才能操作
-x --maximum=DAYS	两次密码修改的最大天数，后面接数字，仅能root权限操作
-n --mininum=DAYS	两次密码修改的最小天数，后面接数字，仅能root权限操作
-w --warning=DAYS	在距多少天提醒用户修改密码，仅能root权限操作
-i --inactive=DAYS	在密码过期后多少天，用户被禁掉，仅能root权限操作
-S --status	查询用户的密码状态，仅能root权限操作

1. [root@oldboy ~]# echo 123456|passwd --stdin oldboy
2. 或
3. [root@oldboy ~]# echo 123456 >p.log
4. [root@oldboy ~]# passwd --stdin < p.log

oldboy用户7天内不能更改密码，60天以后必须修改密码，过期前10天提示，过期后30天后禁止用户登录。

1. [root@oldboy ~]# passwd -n 7 -x 60 -w 10 -i 30 oldboy
2. Adjusting aging data for user oldboy.
3. passwd: Success
4. [root@oldboy ~]# chage -l oldboy
5. Last password change : Dec 29, 2016 #最后密码更换时间
6. Password expires : Feb 27, 2017 #密码过期时间
7. Password inactive : Mar 29, 2017 #密码停权时间
8. Account expires : never
9. Minimum number of days between password change : 7 #最小修改时间间隔
10. Maximum number of days between password change : 60 #最大修改时间间隔
11. Number of days of warning before password expires : 10 #警告时间
12. [root@oldboy ~]#

/etc/shadow中查看

1. [root@oldboy ~]# grep "oldboy" /etc/shadow
2. oldboy:!!:17164:7:60:10:30::

批量创建10个用户stu01-stu10，并且设置随机8位密码，要求不能用shell循环（for、while等），只能用命令及管道实现。

echo stu{1..10}|tr " " " "|sed -r 's#(.*)#useradd 1#g';

使用SHA算法来加密日期，并输出结果的前8个字符：

date +%s | sha256sum | base64 | head -c 8 ; echo

echo stu{01..10}|tr " " " "|sed -r 's#(.*)#useradd 1 ; pass=$((RANDOM+10000000)); echo "$pass"|passwd --stdin 1; echo -e "1 `echo "$pass"`">>/tmp/oldboy.log#g'|bash

修改用户密码有效期限相关命令chage

用法：chage [选项] 用户名

chage参数选项	注释说明
-d --lastday	最近日期，将最近一次密码设置时间设为"最近日期"
-E --expiredate	将账户过期时间设为"过期日期"，日期写法：MM/DD/YY
-h --help	显示此帮助信息并退出
-l --list	显示账户年龄信息
-m --mindays	最小天数，将两次改变密码之间相距的最小天数设为"最小天数"
-M --maxdays	最大天数，将两次改变密码之间相距的最大天数设为"最大天数"
-W --warndays	警告天数，将过期警告天数设为"警告天数"
-I --inactive	失效天数，在密码过期后多少天，用户被禁掉

修改账户过期时间：

1. [root@oldboy ~]# chage -E ""2017/01/01 oldboy

查看账户的状态：

1. [root@oldboy ~]# chage -l oldboy
2. Last password change : Dec 29, 2016
3. Password expires : Feb 27, 2017
4. Password inactive : Mar 29, 2017
5. Account expires : Jan 01, 2017
6. Minimum number of days between password change : 7 #7天内禁止修改密码
7. Maximum number of days between password change : 60 #60天后必须修改密码
8. Number of days of warning before password expires : 10 #过期前10天提醒oldboy修改密码

oldboy用户8天内不能更改密码，61天以后必须修改密码，过期前11通知用户，过期后31天后禁止用户登录。

1. [root@oldboy ~]# chage -m 8 -M 61 -W 11 -I 31 oldboy
2. [root@oldboy ~]# chage -l oldboy
3. Last password change : Dec 29, 2016
4. Password expires : Feb 28, 2017
5. Password inactive : Mar 31, 2017
6. Account expires : Jan 01, 2017
7. Minimum number of days between password change : 8
8. Maximum number of days between password change : 61
9. Number of days of warning before password expires : 11

与passwd -n 8 -x 61 -w 11 -i 31 oldboy、chage -m8 -M61 -W10 -I30 oldboy功能相同只是参数不一样。

删除用户相关命令userdel

语法格式：userdel 用户名 或语法格式：userdel 用户名 -r

在生产场景中，不要轻易使用-r参数，这会在删除用户的同时删除用户家目录下的所有的文件和目录。如果一定要删除家目录，那么在删除前先备份。直接在/etc/passwd中注释要删除的用户记录是生产场景中常用的方法。

删除用户组相关命令groupdel

groupdel是用来删除用户组的，要求用户组名必须是已存在的。用groupdel删除用户组实际修改/etc/group（用户组文件）和/etc/gshadow（用户组加密文件）。

语法格式：groupdel 用户组

查看用户组：

grep 用户组 /etc/group

grep 用户组 /etc/gshadow

用户信息修改相关命令usermod

usermod参数选项	注释说明
-e expire_date	加上用户账号停止日期。日期格式为MM/DD/YY。
-g initial_group	更新用户新的起始登入用户组。用户组名必须已存在。
-U	取消冻结用户的密码，使恢复登录，实际同样是修改/etc/shadow的
-G group,[…]	定义用户为一堆groups的成员。每个用户组只用","逗号隔开。
-l login_name	变更用户login时的名称为login_name。其余信息不变。usermod -l newname oldname
-s shell	指定新登入shell。
-u uid	指定用户UID只。这个值必须是唯一的，除非接-o参数，如usermod -u 505 -o oldboy（不能为负数）
-L	冻结用户的密码，使无法登陆。
-c	修改用户账号的备注信息
-d	修改用户家目录
-f	修改在密码过期后多少天关闭该账号

将oldboy用户的注释信息修改为OldBoy，UID修改为1806，归属修改为用户组root、sa成员，其shell类型修改为/bin/tcsh，设置家目录为/tmp/oldboy。

1. [root@oldboy ~]# grep oldboy /etc/passwd
2. oldboy:x:806:806:HandsomeBoy:/oldboy:/bin/sh
3. [root@oldboy ~]# grep "oldboy" /etc/passwd
4. [root@oldboy ~]# usermod -c OldBoy -u 1806 -G root,sa -s /bin/tcsh -d /tmp/oldboy oldboy
5. [root@oldboy ~]# grep oldboy /etc/passwd
6. oldboy:x:1806:806:OldBoy:/tmp/oldboy:/bin/tcsh

使用户在2012-01-22后过期

1. [root@oldboy ~]# usermod -e 01/22/12 oldboy #chage -E 01/22/12 oldboy一样
2. [root@oldboy ~]# chage -l oldboy
3. Last password change : Dec 29, 2016
4. Password expires : never
5. Password inactive : never
6. Account expires : Jan 22, 2012
7. Minimum number of days between password change : 0
8. Maximum number of days between password change : 99999
9. Number of days of warning before password expires : 7

w、who、users、last、lastlog命令

w：显示已经登录的用户，并且都做了什么的信息。查看的信息与/var/run/utmp文件有关。

1. [root@oldboy ~]# w
2.  14:37:32 up 3:47, 1 user, load average: 0.00, 0.00, 0.00
3. USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
4. root pts/0 192.168.31.1 11:43 0.00s 0.13s 0.00s w

who：显示哪些用户在登录，终端及登录时间，来源主机。

1. [root@oldboy ~]# who
2. root pts/0 2016-12-30 11:43 (192.168.31.1)

users：仅仅显示哪些用户在登录

1. [root@oldboy ~]# users
2. root

last：显示已登录的用户列表及登录时间等，查看的信息与/var/log/wtmp及/var/log/btmp两个文件有关。

1. [root@oldboy ~]# last
2. root pts/0 192.168.31.1 Fri Dec 30 11:43 still logged in
3. reboot system boot 2.6.32-504.el6.x Fri Dec 30 10:50 - 14:40 (03:50)
4. test tty1 Fri Dec 30 09:01 - down (01:24)
5. test tty1 Fri Dec 30 09:01 - 09:01 (00:00)
6. root pts/0 192.168.31.1 Fri Dec 30 08:27 - down (01:59)
7. reboot system boot 2.6.32-504.el6.x Fri Dec 30 08:26 - 10:26 (02:00)
8. root pts/1 192.168.31.1 Thu Dec 29 21:04 - 00:06 (03:01)
9. root pts/1 192.168.31.1 Thu Dec 29 21:04 - 21:04 (00:00)
10. root pts/0 192.168.31.1 Thu Dec 29 18:28 - down (05:39)

lastlog：报告最近的所有系统用户的登录信息，查看的信息与/var/log/lastlog日志有关。

1. [root@oldboy ~]# lastlog
2. Username Port From Latest
3. root pts/0 192.168.31.1 Fri Dec 30 11:43:36 +0800 2016
4. saslauth **Never logged in**
5. postfix **Never logged in**
6. sshd **Never logged in**
7. tcpdump **Never logged in**
8. test tty1 Fri Dec 30 09:01:52 +0800 2016
9. oldgirl **Never logged in**
10. xiao1 **Never logged in**

数据文件查看，数据文件不能用cat查看。

1. [root@oldboy ~]# file /var/log/lastlog
2. /var/log/lastlog: data

groups命令

语法格式：groups 用户名

1. [root@oldboy ~]# groups oldboy #查询oldboy所属的用户组
2. oldboy : oldboy root sa #oldboy用户分别为oldboy、root、sa三个组的成员

su命令

语法格式：su [选项参数] 用户名

su参数选项	注释说明
-，-l，-login	make the shell a login shell，使一个shell成为登陆的shell，如执行su - oldboy，并且使用oldboy用户的环境变量配置，如/home/oldboy/.bash_profile等。
-c，--command=COMMAND	切换到一个shell下，执行一个命令，然后退出所切换的用户环境。
-m，--preserve-environment	切换用户时，不重置用户环境变量，-p的功能同-m。
-s，--shell=SHELL	如果/etc/shells允许，则运行指定的shell。

su命令总结：

1、普通用户切换到root用户，可以使用su - 或su – root，必须输入root的密码才能完成切换。

2、root用户切换到普通用户，可以使用"su – 用户名"的写法，不需要输入密码就能切换完成。在切换到普通用户后，在执行一些命令如ifconfig时，可能会遭遇到环境变量PATH路径问题而找不到系统命令（一般是/sbin，/usr/sbin等下面的命令），这时就需要将普通用户的PATH，配置成root的PATH。

3、如果仅仅希望以某个用户的角色执行命令，而不直接切换到该用户下操作，可以使用"su - 用户名 -c 命令" 的方式执行。

1. [root@oldboy ~]# su - oldboy -c "touch a.txt"
2. [root@oldboy ~]# ls -la /home/oldboy/a.txt
3. -rw-rw-r-- 1 oldboy oldboy 0 Dec 30 16:05 /home/oldboy/a.txt

sudo命令

sudo工作原理

语法格式：sudo [参数选项] 命令

sudo参数选项	注释说明
-l	列出用户在主机上可用的和被禁止的命令，当配置好sudo授权规则后，可用这个参数来查看授权情况。
-v	验证用户的时间戳，当用户运行sudo，输入用户的密码后，在短时间内可以不用输入口令直接进行sudo操作，用-v可以跟踪最新的时间戳。
-u	指定以某个用户身份执行特定的命令操作。oldboy ALL=(ALL) /bin/cp
-k	同-K，删除时间戳，下一个sudo命令要求提供密码，前提是该用户授权中不能有NOPASSWD:参数。时间戳默认5分钟失效。

visudo相当于vi /etc/sudoers。

visudo -c检查语法

主机别名：

13 # Host_Alias FILESERVERS = fs1, fs2

14 # Host_Alias MAILSERVERS = smtp, smtp2

用户别名：

定义系统管理用户别名ADMINS，包含成员oldboy，mikem及sa组的成员。

User_Alias ADMINS = oldboy, mikem, %sa

注意定义的规范。

定义用户别名NETADMINS来管理网络，包含成员leo，maya。

User_Alias NETADMINS = leo, maya

定义用户别名USERADMINS来管理用户，包含成员zuma。

User_Alias USERADMINS = zuma

特别说明：为了方便管理，要尽可能使用有意义的名称作为别名。

命令别名：

27 # Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

案例：

1. User_Alias ADMINS = oldboy,%sa
2. User_Alias CHUJIADMIN = oldboy,oldgirl
3.  
4. Host_Alias SERVERS = oldboy,test
5.  
6. Cmnd_Alias ADMINCMD = /bin/rm
7. Cmnd_Alias USER = /usr/bin/useradd
8.  
9. Runas_Alias OP = root
10. Runas_Alias OP1 = oldboy
11.  
12. ADMINS SERVERS =(OP) NOPASSWD:ADMINCMD,USER
13. CHUJIADMIN SERVERS =(OP) NOPASSWD:USER

sudo配置文件/etc/sudoers授权规则注意事项总结：

1、授权规则中的所有ALL字符串必须为大写字母。

2、禁止的命令尽量放在后面，使用!排除（!/sbin/fdisk）。

3、一行内容超长可以用""斜线换行。

4、"!"叹号表示非，就是命令取反的意思，即禁止执行的命令。