本文共 7300 字,大约阅读时间需要 24 分钟。
| 用户类别 | 用户ID |
|---|---|
| 管理员 | 0 |
| 普通用户 | 1-65535 |
其中普通用户又分为系统用户和登录用户两种:
| 用户类别 | 用户ID |
|---|---|
| 系统用户 | 1-499(为守护类进程获取系统资源而完成权限指派的用户) |
| 登录用户 | 500-60000(为了完成交互式登录使用的用户) |
| 用户组类别 | 特性 |
|---|---|
| 主组 | 创建用户时,如果没有为其指定所属的组, 系统会自动为其创建一个与用户名相同的组 |
| 附加组 | 默认组以外的其它组 |
| 配置文件 | 作用 |
|---|---|
| /etc/passwd | 用户及其属性信息(名称、uid、基本组id等等) |
| /etc/shadow | 用户密码及其相关属性 |
| /etc/group | 组及其属性信息 |
| /etc/gshadow | 组密码及其相关属性。在用户执行基本组切换时使用 |
[root@localhost ~]# cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinoperator:x:11:0:operator:/root:/sbin/nologingames:x:12:100:games:/usr/games:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologinsystemd-network:x:192:192:systemd Network Management:/:/sbin/nologindbus:x:81:81:System message bus:/:/sbin/nologinpolkitd:x:999:998:User for polkitd:/:/sbin/nologinsshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologinpostfix:x:89:89::/var/spool/postfix:/sbin/nologin[root@localhost ~]# 一共有7个字段,分别代表着 用户名 、 控制密码、UID、GID、注释、用户家目录、登录shell
用户名(如第一行中的root就是用户名),代表用户账号的字符串。
存放的就是该账号的口令,为什么是 ‘x’ 呢?早期的unix系统口令确实是存放在这里,但基于安全因素,后来就将其存放到 ‘/etc/shadow’ 中了,在这里只用一个 ‘x’ 代替。
这个数字代表用户标识号,也叫做uid。系统识别用户身份就是通过这个数字来的,0就是root,也就是说你可以修改test用户的uid为0,那么系统会认为root和test为同一个账户。
表示组标识号,也叫做gid。这个字段对应着/etc/group 中的一条记录,其实/etc/group和/etc/passwd基本上类似。
注释说明,该字段没有实际意义,通常 useradd -c “注释信息” wyh
用户的家目录,当用户登录时就处在这个目录下。root的家目录是/root,普通用户的家目录则为/home/username,这个字段是可以自定义的,比如你建立一个普通用户test1,要想让test1的家目录在/data目录下,只要修改/etc/passwd文件中test1那行中的该字段为/data即可。
shell,用户登录后要启动一个进程,用来将用户下达的指令传给内核,这就是shell。Linux的shell有很多种sh, csh, ksh, tcsh, bash等,而Redhat/CentOS的shell就是bash。查看/etc/passwd文件,该字段中除了/bin/bash外还有/sbin/nologin比较多,它表示不允许该账号登录。如果你想建立一个账号不让他登录,那么就可以把该字段改成/sbin/nologin,默认是/bin/bash
[root@localhost ~]# head -n 3 /etc/shadowroot:$6$htJvSx/4ZVQWgMSW$pEWDszCMrOOX9N.Fy6kiBeag3ujYk6dviXj0P220j4739A5GVHYoxgQ.xe4sKbc9siGONzvSVP/h9sfLtM1Nz0::0:99999:7:::bin:*:17632:0:99999:7:::daemon:*:17632:0:99999:7:::[root@localhost ~]# 再来看看/etc/shadow这个文件,和/etc/passwd类似,用 ‘:’ 分割成9个字段。
1.用户名,跟/etc/passwd对应。
2.用户密码,这个才是该账号的真正的密码,不过这个密码已经加密过了,但是有些黑客还是能够解密的。所以,该文件属性设置为000,但是root账户是可以访问或更改的。
[root@localhost ~]# ls -l /etc/shadow---------- 1 root root 719 5月 10 09:02 /etc/shadow
3.上次更改密码的日期,这个数字是这样计算得来的,距离1970年1月1日到上次更改密码的日期,例如上次更改密码的日期为2012年1月1日,则这个值就是 ‘365 x (2012-1970) + (2012-1970)/4 + 1 = 15341’. 因为如果是闰年,则有366天。
4.要过多少天才可以更改密码,默认是0,即不限制。
5.密码多少天后到期。即在多少天内必须更改密码,例如这里设置成30,则30天内必须更改一次密码,否则将不能登录系统,默认是99999,可以理解为永远不需要改。
6.密码到期前的警告期限,若这个值设置成7,则表示当7天后密码过期时,系统就发出警告告诉用户,提醒用户他的密码将在7天后到期。
7.账号失效期限。你可以这样理解,如果设置这个值为3,则表示:密码已经到期,然而用户并没有在到期前修改密码,那么再过3天,则这个账号就失效了,即锁定了。
8.账号的生命周期,跟第三段一样,是按距离1970年1月1日多少天算的。它表示的含义是,账号在这个日期前可以使用,到期后账号作废。
9.作为保留用的,没有什么意义。
命令 : groupadd
语法 : groupadd [-g GID] groupname
[root@localhost ~]# groupadd test #创建一个名字叫test的组[root@localhost ~]# tail -n 1 /etc/grouptest:x:502:
该命令没有特殊选项,但有一种情况不能删除组:
[root@localhost ~]# groupdel user1groupdel: cannot remove the primary group of user 'user1'这是因为user1组中包含user1账户,只有删除user1账户后才可以删除该组
增加账户
命令 : useradd
语法 : useradd [-u UID] [-g GID] [-d HOME] [-M] [-s]‘-u’ 自定义UID‘-g’ 使其属于已经存在的某个组,后面可以跟组id, 也可以跟组名‘-d’ 自定义用户的家目录‘-M’ 不建立家目录‘-s’ 自定义shell
[root@localhost ~]# groupadd admin[root@localhost ~]# useradd -u 666 -g admin -M -s /sbin/nologin haha # 创建一个haha用户,属组为admin ,且没有家目录,不能登录[[root@localhost ~]# tail -n 2 /etc/passwdhaha:x:666:1000::/home/haha:/sbin/nologin
useradd’ 不加任何选项直接跟用户名,则会创建一个跟用户名同样名字的组。
[root@localhost ~]# useradd xiaofan[root@localhost ~]# ls /home/xiaofan[root@localhost ~]#
语法 : userdel [-r] username
[root@localhost ~]# ls /home/hbs xiaofan[root@localhost ~]# userdel xiaofan[root@localhost ~]# ls /home/hbs xiaofan[root@localhost ~]# tail -n 2 /etc/passwdhaha:x:666:1000::/home/haha:/sbin/nologinhbs:x:1001:1002::/home/hbs:/bin/bash[root@localhost ~]#
[root@localhost ~]# userdel -r hbs[root@localhost ~]# ls /home/xiaofan[root@localhost ~]# tail -n 2 /etc/passwdpostfix:x:89:89::/var/spool/postfix:/sbin/nologinhaha:x:666:1000::/home/haha:/sbin/nologin[root@localhost ~]#
加 -r 可以删除家目录,不加-r 家目录不会删除
语法 : passwd [username]
等创建完账户后,默认是没有设置密码的,虽然没有密码,但该账户同样登录不了系统。只有设置好密码后方可登录系统。为用户创建密码时,为了安全起见,请尽量设置复杂一些。你可以按照这样的规则来设置密码:
长度大于10个字符; 密码中包含大小写字母数字以及特殊字符 ‘*’, ‘&’, ‘%’ 等; 不规则性(不要出现root, happy, love, linux, 7758520, 111111等等单词或者数字); 不要带有自己名字、公司名字、自己电话、自己生日等。
[root@localhost ~]# passwd更改用户 root 的密码 。新的 密码:重新输入新的 密码:passwd: 所有的身份验证令牌已经成功更新。“passwd” 后面不加username则是修改当前账户的密码。如果你登陆的是root账户,后面可以跟普通账户的名字,意思是修改指定账户的密码。
修改user11 的密码
[root@localhost ~]# passwd user11更改用户 user11 的密码 。新的 密码:重新输入新的 密码:passwd: 所有的身份验证令牌已经成功更新。只有root才可以修该其他账户的密码,普通账户只能修改自己的密码,其他账户的密码是不可以修改的。
这个命令经常用来生成密码,省的自己去想。默认你的Linux是没有这个命令的,需要安装一个包 “expect”, 如果你的CentOS可以上网,请使用命令 yum install -y expect 即可完成安装。安装好后,输入命令:
[root@localhost ~]# mkpasswdHXut8oy*8
生成的随机字符串就可以作为一个密码,只不过这个密码不容易记忆,没有关系,等会介绍一个小工具来帮你记录密码,而且很安全。
Linux系统中,有时候普通用户有些事情是不能做的,除非是root用户才能做到。这时就需要临时切换到root身份来做事了
[root@localhost ~]# useradd xixi #创建用户嘻嘻[root@localhost ~]# echo "123456"|passwd --stdin xixi 给用户更改密码Changing password for user xixi.passwd: all authentication tokens updated successfully.[root@localhost ~]# 这里介绍了另外一种改密码方式echo "xx"|passwd --stdin xx
切换用户身份:
[root@localhost ~]# su xixi [xixi@localhost root]$ [root@localhost ~]# su - xixiLast login: Fri Nov 15 21:10:02 CST 2019 on pts/0[xixi@localhost ~]$ 注意:root用户是“#”,普通用户模式“$”如果不加 ‘-‘ 切换到root账户下时,当前目录没有变化,而加上 ‘-‘ 切换到root账户后,当前目录为root账户的家目录,这跟直接登陆root账户是一样的。当用root切换普通用户时,是不需要输入密码的。这也体现了root用户至高无上的权利
用su是可以切换用户身份,如果每个普通用户都能切换到root身份,如果某个用户不小心泄漏了root的密码,那岂不是系统非常的不安全?没有错,为了改进这个问题,产生了sudo这个命令。使用sudo执行一个root才能执行的命令是可以办到的,但是需要输入密码,这个密码并不是root的密码而是用户自己的密码。默认只有root用户能使用sudo命令,普通用户想要使用sudo,是需要root预先设定的,即,使用 visudo 命令去编辑相关的配置文件/etc/sudoers. 如果没有visudo这个命令,请使用 yum install -y sudo 安装。
默认root能够sudo是因为这个文件中有一行 “root ALL=(ALL) ALL” 在该行下面加入 “test ALL=(ALL) ALL” 就可以让test用户拥有了sudo的权利。
[root@localhost ~]# visudo # =可以使用 vi /etc/sudoersvisudo: /etc/sudoers.tmp unchanged[root@localhost ~]# ……## Allow root to run any commands anywhereroot ALL=(ALL) ALLxixi ALL=(ALL) /usr/sbin/useradd,/usr/sbin/userdel[root@localhost ~]# grep xixi /etc/sudoersxixi ALL=(ALL) /usr/sbin/useradd,/usr/sbin/userdel #xixi 可以怎加,删除用户[root@localhost ~]#
安装好后,运行keepass,首先创建一个新的密码库文件。 点菜单栏 “file” 然后选择 “new” , 为密码库文件找一个安全的地方存放。接下来,为我们的密码文件创建一个 “master password” , 这个密码以后每次我们查看密码的时候都需要输入,输入正确后才可以查看,这样的设计也是为了安全。设置好密码后连续点两个 “ok” 完成创建密码库文件。增加一个group 鼠标选中左侧的 “NewDatebase”, 点右键选择 “Add Group”, 单击后创建新组,然后更改组名,比说叫做 “test”. 当然组下面还可以创建组,方法一样的。创建一个Entry 鼠标左键先点一下刚才创建的组 “test” , 然后在右侧空白处右键单击,选择 “Add Entry”. 弹出一个会话窗口,Title 自定义,方便我们以后查找; User name 用来记录密码的用户是谁; Password 这个默认就存在了,也可以更改,点一下后面的 ”...” 图标可以查看密码的内容,再点一下变为不可见状态; URL 用来记录网址,方便我们跳转,比如这个密码为某个网站的某个会员的密码,那如果在这里填写了该网址地址,则可以直接跳转到那个网站,可以留空;Notes 用来写一些与这个密码相关的信息,方便我们记忆,可以留空。修改Entry信息 在右侧窗口,选中要修改的Entry那行,鼠标移动到Title区域,双击则会跳出一个会话窗口,我们可以更改Entry的各项信息。获取Entry密码 同样是在右侧窗口,选中要获取的密码那行,鼠标移动到Password区域,直接双击,就把密码复制到剪切板了,密码会在剪切板中保存12s,过期会失效,所以你应该在12s内把密码粘贴。
转载地址:http://dramz.baihongyu.com/