3.2　用户管理

Linux用户管理是Linux的优良特性之一，通过本节读者可以了解Linux中用户的登录过程和登录用户的类型。

3.2.1　Linux的用户类型

Linux用户类型分为3类：超级用户、系统用户和普通用户。举一个简单的例子，机房管理员可以出入机房的任意一个地方，而普通用户就没有这个权限。

（1）超级用户：用户名为root或USER ID（UID）为0的账号，具有一切权限，可以操作系统中的所有资源。root可以进行基础的文件操作及特殊的系统管理，还可进行网络管理，可以修改系统中的任何文件。日常工作中应避免使用此类账号，错误的操作可能带来不可估量的损失，只有必要时才能用root登录系统。

（2）系统用户：正常运行系统时使用的账户。每个进程运行在系统里都有一个相应的属主，比如某个进程以何种身份运行，这些身份就是系统里对应的用户账号。注意，系统账户是不能用来登录的，比如bin、daemon、mail等。

（3）普通用户：普通使用者能使用Linux的大部分资源，一些特定的权限受到控制。用户只对自己的目录有写权限，读写权限受一定的限制，从而有效保证了Linux的系统安全，大部分用户属于此类。

3.2.2　用户管理机制

Linux中的用户管理涉及用户账号文件/etc/passwd、用户密码文件/etc/shadow、用户组文件/etc/group。本小节将简要介绍这些文件的作用及格式。

1．用户账号文件/etc/passwd

该文件为纯文本文件，可以使用cat、head等命令查看。该文件记录了每个用户的必要信息，文件中的每一行对应一个用户的信息，每行的字段之间使用“:”分隔，共7个字段：

  用户名称:用户密码:USER ID:GROUP ID:相关注释:主目录:使用的Shell

根据以下示例分析：

  root:x:0:0:root:/root:/bin/bash

（1）用户名称：在Linux系统中用唯一的字符串区分不同的用户，用户名可以由字母、数字和下划线组成，注意Linux系统中对字母大小写是敏感的，比如USERNAME1和username1分别属于不同的用户。

（2）用户密码：在用户校验时验证用户的合法性。超级用户root可以更改系统中所有用户的密码，普通用户登录后可以使用passwd命令来更改自己的密码。在/etc/passwd文件中该字段一般为x，这是因为出于安全考虑该字段加密后的密码数据已经移至/etc/shadow中。注意/etc/shadow文件是不能被普通用户读取的，只有超级用户root才有权读取。

（3）用户标识号（USER ID，UID）：是一个数值，用于唯一标识Linux系统中的用户来区别不同的用户。在Linux系统中最多可以使用65535个用户名，用户名和UID都可以用于标识用户。相同UID的用户可以认为是同一用户，同时它们也具有相同的权限，当然对于用户而言用户名更容易记忆和使用。

（4）组标识号（GROUP ID，GID）：当前用户所属的默认用户组标识。当添加用户时，系统默认会建立一个和用户名一样的用户组，多个用户可以属于相同的用户组。用户的组标识号存放在/etc/passwd文件中。用户可以同时属于多个组，每个组也可以有多个用户，除了在/etc/passwd文件中指定其归属的基本组之外，/etc/group文件中也指明一个组所包含的用户。

（5）相关注释：用于存放用户的一些其他信息，比如用户含义说明、用户地址等信息。

（6）主目录：该字段定义了用户的主目录，登录后Shell将把该目录作为用户的工作目录。登录系统后可以使用pwd命令查看。超级用户root的工作目录为/root。每个用户都有自己的主目录，默认一般在/home下建立与用户名一致的目录，同时建立用户时可以指定其他目录作为用户的主目录。

（7）使用的Shell：Shell是当用户登录系统时运行的程序名称，通常是/bin/bash。同时系统中可能存在其他的Shell，比如tsh。用户可以自己指定Shell，也可以随时更改，比较流行的是/bin/bash。

2．用户密码文件/etc/shadow

该文件为文本文件，但这个文件只有超级用户才能读取，普通用户没有权限读取。任何用户对/etc/passwd文件都有读的权限，虽然密码经过加密，但是可能还是有人会获取加密后的密码。通过把加密后的密码移动到shadow文件中并限制只有超级用户root才能够读取，有效保证了Linux用户密码的安全性。

和/etc/passwd文件类似，shadow文件由9个字段组成：

  用户名:密码:上次修改密码的时间:两次修改密码间隔的最少天数:两次修改密码间隔的最多天数:提前多
少天警告用户密码过期:在密码过期多少天后禁用此用户:用户过期时间:保留字段

根据以下示例分析：

  root:$1$qb1cQvv/$ku20Uld75KAOx.4WK6d/t/:15649:0:99999::::

（1）用户名：也称为登录名，/etc/shadow中的用户名和/etc/passwd相同，每一行是一一对应的，这样就把passwd和shadow中的用户记录联系在一起。

（2）密码：该字段是经过加密的，如果有些用户在这段的开头是“!”，就表示这个用户已经被禁止使用，不能登录系统。

（3）上次修改密码的时间：该列表示从1970年1月1日起到最近一次修改密码的时间间隔，以天数为单位。

（4）两次修改密码间隔的最少天数：该字段如果为0，就表示此功能被禁用；如果是不为0的整数，就表示用户必须经过多少天需要修改其密码。

（5）两次修改密码间隔的最多天数：主要作用是管理用户密码的有效期，增强系统的安全性，该示例中为99999，表示密码基本不需要修改。

（6）提前多少天警告用户密码将过期：在快超出有效期时，当用户登录系统后，系统程序会提醒用户密码将要作废，以便及时更改。

（7）在密码过期多少天后禁用此用户：此字段表示用户密码作废多少天后系统会禁用此用户。

（8）用户过期时间：此字段指定了用户作废的天数，从1970年的1月1日开始的天数，如果这个字段的值为空，就表示该账号永久可用，注意与第7个字段密码过期的区别。

（9）保留字段：目前为空，将来可能会用。

3．用户组文件/etc/group

该文件用于保存用户组的所有信息，通过它可以更好地对系统中的用户进行管理。对用户分组是一种有效的手段，用户组和用户之间属于多对多的关系，一个用户可以属于多个组，一个组也可以包含多个用户。用户登录时默认的组存放在/etc/passwd中。

此文件的格式也类似于/etc/passwd文件，字段含义如下：

  用户组名:用户组密码:用户组标识号:组内用户列表

根据以下示例分析：

  root::0:root

（1）用户组名：可以由字母、数字和下划线组成，用户组名是唯一的，和用户名一样，不可重复。

（2）用户组密码：该字段存放的是用户组加密后的密码字。这个字段一般很少使用，Linux系统的用户组都没有密码，即这个字段一般为空。

（3）用户组标识号：GROUP ID，简称GID，和用户标识号UID类似，也是一个整数，用户唯一标识一个用户组。

（4）组内用户列表：属于这个组的所有用户的列表，不同用户之间用逗号分隔，不能有空格。这个用户组可能是用户的主组，也可能是附加组。

3.2.3　用命令行管理用户账号

要管理用户账号，需要有相应的接口，Linux提供了一系列命令来管理系统中的用户账号。本节主要介绍用户的添加、删除、修改和用户组的添加、删除。Linux提供了一系列的命令来管理用户账户，常用的命令有useradd、userdel、usermod、passwd等。

1．添加用户

添加用户的命令是useradd，语法如下：

  useradd [-mMnr][-c <备注>][-d <登录目录>][-e <有效期限>][-f <缓冲天数>][-g <群组>][-G
<群组>][-s <shell>][-u <uid>][用户账号] 或useradd -D [-b][-e <有效期限>][-f <缓冲天
数>][-g <群组>][-G <群组>][-s <shell>]

该命令支持丰富的参数，常用的参数含义介绍如表3.6所示。示例3-9演示了如何添加用户。

表3.6　useradd常用参数说明

【示例3-9】

  #添加用户user1
  [root@localhost ~]# useradd user1
  #添加user1用户后/etc/passwd文件中的变化
  [root@localhost ~]# cat /etc/passwd|grep user1
  user1:x:1002:100::/home/user1:/bin/bash
  #添加user1用户后/etc/shadow文件中的变化
  [root@localhost ~]# cat /etc/shadow|grep user1
  user1:!:15769:0:99999:7:::
  #添加user1用户后/etc/group文件中的变化
  [root@localhost ~]# cat /etc/group|grep user1
  dialout:x:16:goss，user1

当执行完useradd user1以后，对应的/etc/passwd、/etc/shadow、/etc/group会增加对应的记录，表示此用户已经成功添加了。

添加完用户后，新添加的用户是没有可读写目录的。要指定用户的主目录，以便进行文件操作，可以在建立用户时指定，如示例3-10所示。

【示例3-10】

  #添加用户user2并指定主目录为/data/user2
  [root@localhost ~]# useradd -d /data/user2 user2
  #添加用户后目录没有自动建立，需要配合其他参数使用
  [root@localhost ~]# ls /data/user2
  /bin/ls: /data/user2: No such file or directory
  #通过使用-m参数，自动创建用户的主目录
  [root@localhost ~]# useradd -d /data/user3 user3 –m
  [root@localhost ~]# ls /data/user3
  public_html  Documents  bin

2．更改用户

对已有的用户信息进行修改时，可以使用usermod命令，除了可以修改用户的主目录外，还可以修改其他信息，语法如下：

  usermod [-LU][-c <备注>][-d <登录目录>][-e <有效期限>][-f <缓冲天数>][-g <群组>][-G
<群组>][-l <账号名称>][-s ][-u ][用户账号]

常用参数含义如表3.7所示。

表3.7　usermod常用参数说明

usermod的使用方法如示例3-11和示例3-12所示。

【示例3-11】

  #添加用户user2
  [root@localhost ~]# useradd user2
  #这时用户user2的主目录为/home/user2
  [root@localhost ~]# cat /etc/passwd|grep user2
  user2:x:1004:100::/home/user2:/bin/bash
  #修改用户的主目录为/data/user2
  [root@localhost ~]# usermod -d /data/user2 user2
  [root@localhost ~]# cat /etc/passwd|grep user2
  user2:x:1004:100::/data/user2:/bin/bash

【示例3-12】

  #将用户user2修改为user3用户
  [root@localhost ~]# usermod -l user3 user2
  #user2用户已经不存在，user3接管了user2的所有权限
  [root@localhost ~]# cat /etc/passwd|grep user
  user3:x:1004:100::/data/user2:/bin/bash
  [root@localhost ~]# cat /etc/shadow|grep user
  user3:!:15769:0:99999:7:::
  [root@localhost ~]# cat /etc/group|grep user
  dialout:x:16:goss，user3
  users:x:100:

此命令执行后原来的user2已经不存在，user2拥有的主目录/data/user2等资源将会变更为user3所有。如果有用user2启动的进程，当使用ps –ef查看时，就会发现该进程已经属于user3用户了。

3．删除用户

如果用户不需要了，可以使用userdel来删除。userdel的命令语法为：

  userdel [-r][用户账号]

此命令常用参数含义如表3.8所示，使用方法如示例3-13所示。

表3.8　userdel常用参数说明

【示例3-13】

  #添加user4用户并自动创建主目录
  [root@localhost ~]# useradd -d /data/user4 user4 –m
  [root@localhost ~]# ls /data/user4
  public_html  Documents  bin
  #删除user4目录，此时用户的主目录是不删除的
  [root@localhost ~]# userdel user4
  no crontab for user4
  [root@localhost ~]# ls /data/user4
  public_html Documents bin
  [root@localhost ~]# useradd -d /data/user5 user5 -m
  #连带删除用户的主目录
  [root@localhost ~]# userdel -r user5
  no crontab for user5
  #用户的主目录已经被删除
  [root@localhost ~]# ls /data/user5
  /bin/ls: /data/user5: No such file or directory

4．更改或设置用户密码

出于系统安全考虑，当添加用户后，需要设置其对应的密码。修改Linux用户的密码可以使用passwd命令。超级用户root可以修改任何用户的密码，普通用户只能修改自己的密码。

为避免密码被破解，选取密码时应遵守如下规则：

●　密码应该至少有8位字符。

●　密码应该包含大小写字母、数组和其他字符组。

如果直接输入passwd命令，那么修改的是当前用户的密码。想更改其他用户密码时，输入passwd username即可。示例3-14演示了如何修改用户密码。

【示例3-14】

  #root用户修改user6的密码
  [root@localhost ~]# passwd user6
  Changing password for user7.
  New Password:
  Reenter New Password:
  Password changed.
  [root@localhost ~]# su - user6
  #普通用户修改user6的密码
  [root@localhost ~]# passwd user6
  Changing password for user7.
  Old Password:
  New Password:
  Reenter New Password:
  Password changed.

按提示输入相关信息，如果没有错误，则会提示密码被成功修改。

3.2.4　用命令行管理用户组

Linux提供了一系列的命令管理用户组。用户组就是具有相同特征的用户集合。每个用户都有一个用户组，系统能对一个用户组中的所有用户进行集中管理，可以把相同属性的用户定义到同一用户组，并赋予该用户组一定的操作权限，这样用户组下的用户对该文件或目录就都具备了相同的权限。通过对/etc/group文件的更新实现对用户组的添加、修改和删除。

一个用户可以属于多个组，/etc/passwd中定义的用户组为基本组，用户所属的组有基本组和附加组。如果一个用户属于多个组，则该用户所拥有的权限是它所在组的权限之和。

1．添加用户组

groupadd命令可实现用户组的添加，常见参数的含义如表3.9所示。

表3.9　groupadd常用参数说明

示例3-15演示了如何添加用户组。

【示例3-15】

  #添加用户组group1
  [root@localhost ~]# groupadd  group1
  [root@localhost ~]# cat /etc/group|grep group
  group1:!:1000:

2．删除用户组

需要从系统中删除群组时，可使用groupdel命令来完成这项工作。如果该群组中仍包括某些用户，则必须先删除这些用户后才能删除群组。示例3-16演示了如何删除用户组，当有该组的用户存在时，该用户组是不能被删除的，当属于该组的用户被删除后，该组可以被成功删除。

【示例3-16】

  #添加用户组
  [root@localhost ~]# groupadd group2
  [root@localhost ~]# cat /etc/group|grep group
  group2:!:1000:
  #添加用户user7并设置组为group2
  [root@localhost ~]# useradd -g group2 user7
  [root@localhost ~]# cat /etc/passwd|grep user7
  user7:x:1003:1000::/home/user7:/bin/bash
  #当有属于该组的用户时，组是不允许被删除的
  [root@localhost ~]# groupdel group2
  groupdel: GID `1000' is primary group of 'user7'.
  groupdel: Cannot remove user's primary group.
  #删除用户user7
  [root@localhost ~]# userdel -r user7
  no crontab for user7
  [root@localhost ~]# cat /etc/passwd|grep user7
  #组被成功删除
  [root@localhost ~]# groupdel group2
  [root@localhost ~]# cat /etc/group|grep group

3．修改用户组

groupmod可以更改用户组的用户组ID或用户组名称，常用参数含义如表3.10所示。

表3.10　groupmod常用参数说明

示例3-17演示了如何修改用户组。

【示例3-17】

  [root@localhost ~]# groupadd group3
  [root@localhost ~]# cat /etc/group|grep group3
  group3:!:1000:
  #修改用户组ID
  [root@localhost ~]# groupmod -g 1001 group3
  [root@localhost ~]# cat /etc/group|grep group3
  group3:!:1001:
  #修改用户组名称
  [root@localhost ~]# groupmod -n group4 group3
  [root@localhost ~]# cat /etc/group|grep group
  group4:!:1001:

4．查看用户所在的用户组

用户所属的用户组可以通过/etc/passwd或id命令来查看，查看方法如下：

  #使用id命令查看当前用户的信息
  [root@localhost ~]# id user10
  uid=512(user10) gid=512(user10) ?=512(user10)
  #通过查看相关文件获取用户相关信息
  [root@localhost ~]# grep user10 /etc/passwd
  user10:x:512:512::/data/user10:/bin/bash
  #查找512对应的用户组名
  [root@localhost ~]# grep 512 /etc/group
  user10:x:512:

3.2.5　使用图形化工具管理用户

在Linux系统中除了使用命令管理用户之外，还可以使用图形化工具管理用户。在桌面左上角依次单击【活动】|【显示应用程序】|【系统工具】|【设置】命令，将弹出全部设置窗口。在全部设置窗口的系统分类下单击【用户】，即可弹出图形化用户管理工具，如图3.2所示。

图3.2　图形化用户管理工具

如果要添加用户，可以在用户界面中单击按钮，在弹出的添加窗口中输入用户名和密码即可。删除用户时，只需要在用户中选中要删除的用户，再单击按钮即可。