Linux用户管理终极指南：从基础到进阶，一篇就够！-mengmeng

glab-mary的博客

首页　| 　博文目录　| 　关于我

mengmeng_921

博客访问： 1211
博文数量： 24
博客积分： 0
博客等级：民兵
技术积分： 250
用户组：普通用户
注册时间： 2018-03-18 14:10

个人简介

10+从业经验，3CCIE、HCIE、红帽RHCA、VCP。获取Linux资料，可+v：glab-mary

文章分类

全部博文（24）

Linux命令大全（4）
未分配的博文（20）

文章存档

2025年（7）

2024年（17）

我的朋友

1.用户基本概述

1.什么是用户?

用户指的是能够正常登录Linux或Windows系统(可以理解为你租了房子，能够正常入驻)

F:那Linux与Windows系统的用户有什么区别? Q:本质都是登陆系统，只不过Linux支持多个用户同时登陆。

F:难道Windows就不算多用户操作系统吗? Q:其实不是，在Windows系统中可以创建多个用户，但不允许同一时刻多个用户登陆系统，但Linux系统则允许同一时刻多个用户同时登陆，登陆后相互之间操作并不影响。

2.Linux下的用户有什么用

或者说我们为什么要创建用户？

1.系统上的每一个进程(运行的程序)，都需要一个特定的用户运行 2.通常在公司是使用普通用户管理服务器，因为root权限过大，容易造成故障。

3.查看用户

如何查看系统中所存在的用户

1.查看当前登录的用户信息

点击(此处)折叠或打开

[root@bgx ~]# id #查看当前所登陆的用户信息
# uid:用户id，系统只能识别uid，不能识别名字，人看名字
# gid：组id
uid=0(root) gid=0(root) groups=0(root)
[root@bgx ~]# id oldboy #查看其它用户的信息
uid=1000(oldboy) gid=1000(oldboy) groups=1000(oldboy)

用户UID	系统中约定的含义
0	超级管理员，{BANNED}最佳高权限，有着极强的破坏能力
1~200	系统用户，用来运行系统自带的进程，默认已创建
201~999	系统用户，用来运行用户安装的程序，所以此类用户无需登录系统
1000+	普通用户，正常可以登陆系统的用户，权限比较小，能执行的任务有限

2.每一个进程都会由一个用户身份运行

点击(此处)折叠或打开

[root@bgx ~]# ps aux|less #简单使用一下，不用理解

root 33782 0.0 0.0 0 0 ? R 02:46 0:00 [kworker/u256:0]

root 35637 0.0 0.0 0 0 ? R 05:11 0:03 [kworker/0:2]

4.用户存存放位置

Linux系统会将用户的信息存放在/etc/passwd，记录了用户的信息，但没有密码信息，密码被存放在/etc/shadow中。

也就是说这两个文件非常的重要，不要轻易删除与修改。

1./etc/passwd 配置文件解释如下图，或者man 5 passwd

2./etc/shadow 配置文件解释如下图，或者man 5 shadow

PS: 使用change修改密码过期时间示例

4.{BANNED}最佳后我们需要了解下系统对用户的一个约定？(约定娶你，就真的会娶吗？)

用户UID 系统中约定的含义

0 超级管理员，{BANNED}最佳高权限，有着极强的破坏能力

1~200 系统用户，用来运行系统自带的进程，默认已创建

201~999 系统用户，用来运行用户安装的程序，所以此类用户无需登录系统

1000+ 普通用户，正常可以登陆系统的用户，权限比较小，能执行的任务有限

超级管理员用户 root 0

普通用户

系统用户：用来启动系统的一些服务和进程的用户，不可以登陆 1-999（centos7）1-499 （centos6）

可登陆用户：能登录系统的用户 1000-65535（centos7）500-65535（centos6）

2.用户相关命令

下面我们就围绕着用户的创建、变更、删除等来讲讲涉及到的命令: useradd、usermod、userdel

1.新增用户

使用useradd命令，注意: adduser命令软链接指向useradd命令

useradd

点击(此处)折叠或打开

Usage: useradd [options] LOGIN

       useradd -D

       useradd -D [options]

普通用户的id是递增，系统用户的id是递减的

-d 用来指定用户的家目录

-g 指定用户组的id

-G 指定用户的附加组

-k 指定复制那个文件夹下的内容，需要和-m一起使用

-m 创建用户的家目录

-c "message" 指定用户的描述信息

-N 不创建同名的组，以users为组

-s 指定用户登录后使用的shell

-u 指定用户的id

—D 显示系统的默认配置

-D [options] 可以修改系统的默认配置

-r 创建系统用户

相关文件

/etc/default/useradd 创建用户的默认文件

/etc/skel/* 默认复制的文件

点击(此处)折叠或打开

#选项

# -u 指定要创建用户的UID,不允许冲突

# -g 指定要创建用户默认组

# -G 指定要创建用户附加组,逗号隔开可添加多个附加组

# -d 指定要创建用户家目录

# -s 指定要创建用户的bash shell /bin/bash /sbin/nologin

# -c 指定要创建用户注释信息

# -M 给创建的用户不创建家目录

# -r 创建系统账户，默认无家目录

#1.创建bgx用户，UID5001,基本组students，附加组sa 注释信息:2019 new student,登陆shell:/bin/bash

[root@bgx ~]# groupadd sa

[root@bgx ~]# groupadd students

[root@bgx ~]# useradd -u 5001 -g students -G sa -c "2019 new student" -s /bin/bash bgx

#2.创建mysql系统用户，-M不建立用户家目录 -s指定nologin使其用户无法登陆系统

[root@bgx ~]# useradd mysql -M -s /sbin/nologin

[root@bgx ~]# useradd -r dba -s /sbin/nologin

# 3

useradd od -u 7777 -G sa -d /tmp/od -s /sbin/nologin

grep "7777" /etc/passwd

# 4 SELinux

getenforce # 查看

setenforce 0 # 临时关闭

cat /etc/selinux/config

SELINUX=disabled

2.修改用户信息

使用usermod命令修改用户信息

用户修改usermode

点击(此处)折叠或打开

-c 修改描述信息

-d 修改家目录，默认不会创建新目录，如果想移动家目录，则需要使用-m

-g 修改用户组

-G 修改用户的附加组，默认情况下是替换

-a 追加附加组

-l newname 修改用户的登录名称

-L 锁定用户，不能登录系统，修改密码默认情况下回解锁

-U 解锁用户

-s 修改用户登录后的shell

-u 修改用户的uid

-e 年-月-日修改用户的过期时间，过期以后不能登录

点击(此处)折叠或打开

#选项# -u 指定要修改用户的UID# -g 指定要修改用户基本组# -G 指定要修改用户附加组，使用逗号隔开多个附加组, 覆盖原有的附加组，-aG追加# -d 指定要修改用户家目录 -md 旧家搬新家# -s 指定要修改用户的bash shell# -c 指定要修改用户注释信息# -l 指定要修改用户的登陆名# -L 指定要锁定的用户# -U 指定要解锁的用户

#1.检查此前创建的用户信息[root@bgx ~]# grep "bgx" /etc/passwdbgx:x:5001:503:2019 new student:/home/bgx:/bin/bash

#2.修改bgx用户uid、gid，附加组 -a表示追加[root@bgx ~]# groupadd -g 5008 network_sa[root@bgx ~]# groupadd -g 5009 devops[root@bgx ~]# usermod -u 6001 -g5008 -a -G 5009 bgx

#3.修改bgx用户的注释信息, 用户家目录, 登录shell, 登录名 -l：改名字，-md，把环境也带过去[root@bgx ~]# usermod -c "2019 new student" -md /bgx -s /bin/sh -l change_bgx bgx

#检查是否修改成功[root@bgx ~]# grep "bgx" /etc/passwdbgx_lqz:x:6001:5008:2019 new student:/bgx:/bin/sh[root@bgx ~]# id change_bgxuid=6001(change_bgx) gid=5008(network_sa) groups=5008(network_sa),503(sa),5009(devops)[root@bgx ~]# ll -d /bgxdrwx------. 2 bgx_lqz network_sa 4096 2014-09-23 00:13 /bgx

#4.锁定用户[扩展][root@bgx ~]# echo "123" |passwd --stdin change_bgx[root@bgx ~]# usermod -L change_bgx #锁定后会无法登陆系统

#5.解锁用户[扩展][root@bgx ~]# usermod -U change_bgx

3.删除账户

使用userdel命令删除账户

删除用户 userdel

点击(此处)折叠或打开

默认删除用户不删除用户的家目录

-r 删除家目录

-f 强制删除

默认情况下，用户登录状态下是不能删除用户，强制删除用户以后，用户还是可以用的

点击(此处)折叠或打开

#选项 -r 删除用户同时删除它的家目录

#1.删除user1用户，但不删除用户家目录和 mail spool[root@bgx ~]# userdel user1[root@bgx ~]# ls /var/spool/mail/

#2.-r参数可以连同用户家目录一起删除(慎用)[root@bgx ~]# userdel -r user1

4.其他

使用finger命名查询用户信息以及登录信息(yum install finger)，示例: finger UserName

使用chfn命令修改用户信息(其实是修改注释)，示例: chfn UserName

使用chsh命令修改用户登录Bash Shell，示例: chsh UserName

使用who(当前有哪些用户登录了)、whoami、w检查用户登陆情况

查看用户相关信息id

点击(此处)折叠或打开

-g 只显示组id

-G 只显示附加组id

-u 只显示用户id

-n 显示名称，需要和guG来配合使用

3.用户扩展知识

1.创建流程

前面我们学习如何创建、修改、删除用户，接下来了解下用户的？

1.useradd创建用户时，系统会以/etc/login.defs、/etc/defaults/useradd两个配置文件作为参照物，

如果在创建用户时指定了参数则会覆盖/etc/login.defs、/etc/defaults/useradd文件默认配置，如未指定则使用默认。

点击(此处)折叠或打开

[root@bgx ~]# grep -Ev "^#|^$" /etc/login.defs

[root@bgx ~]# cat /etc/login.defs

MAIL_DIR /var/spool/mail # 定义了邮件路径放在哪

PASS_MAX_DAYS 99999 # 密码过期时间

PASS_MIN_DAYS 0 # 密码{BANNED}最佳少0天

PASS_MIN_LEN 5 # 密码长度

PASS_WARN_AGE 7 # 7天提醒

UID_MIN 1000

UID_MAX 60000

SYS_UID_MIN 201

SYS_UID_MAX 999

GID_MIN 1000

GID_MAX 60000

SYS_GID_MIN 201

SYS_GID_MAX 999

CREATE_HOME yes # 是否创建home

UMASK 077

USERGROUPS_ENAB yes # 用户不指定组，默认创建一个同名组

ENCRYPT_METHOD SHA512 # 密码加密算法

[root@bgx ~]# cat /etc/default/useradd

GROUP=100

HOME=/home #把用户的家目录建在/home中。

INACTIVE=-1 #是否启用账号过期停权,-1表示不启用。

EXPIRE= #账号终止日期,不设置表示不启用。

SHELL=/bin/bash #新用户默认所有的shell类型。

SKEL=/etc/skel #配置新用户家目录的默认文件存放路径。

CREATE_MAIL_SPOOL=yes #创建mail文件。

2.当使用useradd创建用户时，创建的用户家目录下会存在 .bash_ 环境变量相关的文件，这些环境变量文件默认从/etc/skel目录中拷贝。

这个默认拷贝环境变量位置是由/etc/defaults/useradd配置文件中定义的。

点击(此处)折叠或打开

#故障案例，在当前用户家目录执行了rm -rf .，下次登录系统时出现-bash-4.1$，如何解决！

-bash-4.1$ cp -a /etc/skel/.bash ./

-bash-4.1$ exit

[root@bgx ~]# #重新连接即可恢复

2.设置、修改密码

创建用户后，如需要使用该用户登陆系统则需要为用户设定密码，设定密码使用passwd命令。建议密码复杂度高一些、长度大于10、出现各种特殊字符、无任何规律(不要出现名字，电话，生日等)

PS: 注意事项

1.普通用户只允许变更自己的密码，无法修改其他人密码，并且密码长度必须8位字符

2.管理员用户允许修改任何人的密码，无论密码长度多长或多短。

点击(此处)折叠或打开

#1.使用passwd命令修改用户密码

# passwd #给当前用户修改密码

# passwd root #给root用户修改密码

# passwd oldboy #给oldboy用户修改密码，普通用户只能自己修改自己

#2.验证如下几项指标

# passwd #root管理员用户登陆，修改root用户密码

# passwd lqz #root用户登陆，修改其他用户的密码

$ passwd root #普通用户修改root管理员密码

# echo "123" | passwd --stdin lqz #非交互式修改密码

# 批量创建100个用户，密码都为123456

for i in {1..100}

do

  useradd test$1

  echo "123456" |passwd --stdin test$1

done

#3.系统内置变量生成随机字符串（对随机字符串进行md5加密）

[root@bgx ~]# echo $RANDOM|md5sum|cut -c 1-10

d09fe9b1xs

[root@bgx ~]# echo $(echo $RANDOM|md5sum |cut -c 5-14) |tee pass.txt| passwd --stdin lqz

#4.mkpasswd生成随机字符串, -l设定密码长度,-d数子,-c小写字母,-C大写字母,-s特殊字符

[root@bgx ~]# yum install -y expect //需要安装扩展包

[root@bgx ~]# mkpasswd -l 10 -d 2 -c 2 -C 2 -s 4

|K&13bR)i/

PS: 推荐密码保存套件工具，支持windows、MacOS、Iphone以及浏览器插件Lastpass官方网站

/etc/passwd文件

用户名称

密码，使用x来占位

uid

gid

描述信息

家目录

登录后使用的shell

设置密码passwd

点击(此处)折叠或打开

passwd [OPTION...] <accountName>

-d 删除指定用户的密码，删除密码之后就不能登录

-l 锁定用户

-u 解锁用户

-e 在下次登录以后强制用户修改密码

-f 强制操作

-x maxday 密码的{BANNED}最佳长使用时间

-n minday 密码的{BANNED}最佳短使用时间

-w warnday 密码过期前多长时间提醒

-i inactiveday 密码过期多长时间以后禁用

--stdin 从标准输入读取密码 echo '123'|passwd --stdin peiqi

存放文件/etc/shadow

用户名

密码 $加密方式 (默认 s ha 512)$ 盐 $加密后的字符串$

从1970年1月1日到{BANNED}最佳近一次修改密码经过的时间

密码的{BANNED}最佳短使用时间（0表示随时可以修改）

密码的{BANNED}最佳长使用时间（99999表示永不过期）

密码过期多长时间提醒（默认是一周）

密码过期多长时间锁定

从1970年1月1日开始算起，多长时间后账号失效

点击(此处)折叠或打开

qiao:$6$HBl7BPCJk6JaLtw2$B4NzlqpCrMczVkK51Rjimw7Wp.oRfsCzrKEzmhiBEAfk9T7h.YleYZ3h3qV6Fv.bZnJh666tr36TBJHhCi6M90::0:99999:7:::

点击(此处)折叠或打开

密码的复杂性策略

必须包括数字、大小写、特殊字符

密码必须12位以上

不能为弱口令

必须为随机密码

3个月或者半年修改一次

机器免密登录

非对称加密，公钥登录(在已登录上机器机器上生成公钥，copy公钥给要登录的机器）：

go

代码解读

复制代码

点击(此处)折叠或打开

ssh-keygen 一路回车

ssh-copy-id 要登录的机器

修改用户密码策略 chage

点击(此处)折叠或打开

-E

-I

-m

-M

-W

change login 可以使用交互式的修改密码策略

chfn 修改用户的个人描述信息

4.用户如何提权

往往公司的服务器对外都是禁止root用户直接登录，所以我们通常使用的都是普通用户，那么问题来了？

当我们使用普通用户执行/sbin目录下的命令时，会发现没有权限运行，这种情况下我们无法正常的管理服务器，那如何才能不使用root用户直接登录系统，同时又保证普通用户能完成日常工作？

PS: 我们可以使用如下两种方式: su、sudo

1.su切换用户，使用普通用户登录，然后使用su命令切换到root。优点:简单缺点:需要知道root密码

2.sudo提权，当需要使用root权限时进行提权，而无需切换至root用户，优点:安全、方便缺点:复杂

1.su身份切换

在使用su切换前，我们需要了解一些预备知识，比如shell分类、环境变量配置文件有哪些

1.Linux Shell主要分为如下几类交互式shell，等待用户输入执行的命令(终端操作,需要不断提示) 非交互式shell，执行shell脚本,

脚本执行结束后shell自动退出登陆shell，需要输入用户名和密码才能进入Shell，日常接触的{BANNED}最佳多的一种非登陆shell，不需要输入用户和密码就能进入Shell,比如运行bash会开启一个新的会话窗口

2.bash shell配置文件介绍(文件主要保存用户的工作环境) 个人配置文件：~/.bash_profile ~/.bashrc 。

全局配置文件：/etc/profile /etc/profile.d/*.sh /etc/bashrc profile类文件, 设定环境变量, 登陆前运行的脚本和命令。

bashrc 类文件, 设定本地变量, 定义命令别名 PS: 如果全局配置和个人配置产生冲突，以个人配置为准。

3.登陆系统后，环境变量配置文件的应用顺序是? 登录式shell配置文件执行顺序: /etc/profile->/etc/profile.d/ .sh->/.bash_profile->/.bashrc->/etc/bashrc

非登陆式shell配置文件执行顺序: ~/.bashrc->/etc/bashrc->/etc/profile.d/ .sh PS: 验证使用echo在每行添加一个输出即可

4.说了这么多预备知识，那这些和su命令切换用户有什么关系? su - username属于登陆式shell，su username属于非登陆式shell，区别在于加载的环境变量不一样。 su username 属于非登陆式shell

普通用户su -可以直接切换至root用户，但需要输入root用户的密码。超级管理员root用户使用su - username切换普通用户不需要输入任何密码。

点击(此处)折叠或打开

#1.普通用户使用su切换root[lqz@node1 ~]$ su 密码：#输入root的密码[root@node1 lqz]# pwd/home/lqz

#2.普通用户使用su -切换到root，会加载root的环境变量[lqz@node1 ~]$ su -密码：[root@node1 ~]# pwd/root

#3.以某个用户的身份执行某个服务，使用命令su -c username[root@bgx ~]# su - lqz -c 'ifconfig'[root@bgx ~]# su - lqz -c 'ls ~'

#4 其他yum provides pstreeyum install psmiscpstree

# 5 关闭root远程登陆，普通用户登进来，su - 切换到root用户vim /etc/ssh/sshd_configPermitRootLogin yes # 设成no

切换用户

点击(此处)折叠或打开

su [options] [-] [USER [arg]...]

切换用户的方式

完整切换：su - username 登录式切换，环境变量等都会切换

不完整切换：su username 不会切换用户的环境变量家目录等

root切换普通用户不需要密码，非root用户切换需要密码

切换用户执行命令，并在切换会来

点击(此处)折叠或打开

[root@localhost ~]#su - peiqi -c "whoami"

peiqi

2.sudo提权

su命令在切换用户身份时，如果每个普通用户都能拿到root用户的密码，当其中某个用户不小心泄漏了root的密码，那系统会变得非常不安全。为了改进这个问题，从而产生了sudo这个命令。

其实sudo就相当于给某个普通用户埋下了浩克(hulk)的种子，当需要执行一些高级操作时，进行发怒，但正常情况下还是普通人，还是会受到限制。

1.如何快速埋下hulk的种子呢？

点击(此处)折叠或打开

#1.快速配置sudo方式[先睹为快][root@node1 ~]# usermod bgx -G wheel # 把用户加到wheel组中[root@node1 ~]$ sudo tail -f /var/log/secure #sudo审计日志

#2.一般正常配置sudo方式[root@www ~]# #visudo => vim /etc/sudoers#1.用户名 2.主机名=(角色名） 4.命令名bgx ALL=(ALL) /usr/bin/yum,/usr/sbin/useradd #允许使用sudo执行命令oldboy ALL=(ALL) NOPASSWD:/bin/cp, /bin/rm #NOPASSWD不需要使用密码

visudo -c # 检查刚刚编辑的是否有错误sudo -l # 对主机有哪些权限

2.埋下了hulk种子后又如何提权使用呢？

点击(此处)折叠或打开

#1.切换普通用户[root@bgx ~]# su - lqz

#2.检查普通用户能提权的命令[lqz@lqz ~]$ sudo -lUser lqz may run the following commands on this host: (ALL) ALL

#3.普通用户正常情况下是无法删除opt目录的[lqz@lqz ~]$ rm -rf /opt/rm: cannot remove `/opt: Permission denied

#4.使用sudo提权，需要输入普通用户的密码。[lqz@lqz ~]$ sudo rm -rf /opt

3.开启某个命令的使用权限

提升的权限太大，能否有办法限制仅开启某个命令的使用权限？其他命令不允许？

{BANNED}中国第一种方式:使用sudo中自带的别名操作,将多个用户定义成一个组,这个组只有sudo认可

点击(此处)折叠或打开

[root@bgx ~]# visudo #也可以使用vi /etc/sudoers来配置# 1.使用sudo定义分组,这个系统group没什么关系User_Alias OPS = oldboy,alexUser_Alias DEV = bgx,py

# 2.定义可执行的命令组,便于后续调用Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/pingCmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yumCmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl startCmnd_Alias STORAGE = /bin/mount, /bin/umountCmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrpCmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

# 3.使用sudo开始分配权限OPS ALL=(ALL) NETWORKING,SOFTWARE,SERVICES,STORAGE,DELEGATING,PROCESSESDEV ALL=(ALL) SOFTWARE,PROCESSES

#4.登陆对应的用户使用 sudo -l 验证权限

第二种方式:使用groupadd添加组,然后给组分配sudo的权限,如果有新用户加入,直接将用户添加到该组.

点击(此处)折叠或打开

#1.添加两个真实的系统组, group_dev group_op[root@www ~]# groupadd group_dev[root@www ~]# groupadd group_op

#2.添加两个用户, group_dev(user_a user_b) group_op(user_c user_d)[root@www ~]# useradd user_a -G group_dev[root@www ~]# useradd user_b -G group_dev[root@www ~]# useradd user_c -G group_op[root@www ~]# useradd user_d -G group_op

#3.记得添加密码[root@www ~]# echo "1" | passwd --stdin user_a[root@www ~]# echo "1" | passwd --stdin user_b[root@www ~]# echo "1" | passwd --stdin user_c[root@www ~]# echo "1" | passwd --stdin user_d

#4.在sudo中配置规则[root@www ~]# visudo Cmnd_Alias NETWORKING = /sbin/ifconfig, /bin/ping Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/yum Cmnd_Alias SERVICES = /sbin/service, /usr/bin/systemctl start Cmnd_Alias STORAGE = /bin/mount, /bin/umount Cmnd_Alias DELEGATING = /bin/chown, /bin/chmod, /bin/chgrp Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

    %group_dev ALL=(ALL) SOFTWARE %group_op ALL=(ALL) SOFTWARE,PROCESSES

#5.检查sudo是否配置有错[root@www ~]# visudo -c/etc/sudoers: parsed OK

#6.检查user_a,和user_d的sudo权限[user_a@www.oldboyedu.com ~]$ sudo -lUser user_a may run the following commands on www: (ALL) /bin/rpm, /usr/bin/yum

[user_d@www.oldboyedu.com ~]$ sudo -lUser user_d may run the following commands on www: (ALL) /bin/rpm, /usr/bin/yum, /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

4.sudo命令的执行流程

普通用户执行sudo命令时, 会检查/var/db/sudo是否存在时间戳缓存

如果存在则不需要输入密码, 否则需要输入用户与密码

输入密码会检测是否该用户是否拥有该权限

如果有则执行，否则报错退出

执行本身不能执行的命令

sudo 配置文件为/etc/sudoers

点击(此处)折叠或打开

peiqi ALL=(ALL) NOPASSWD:ALL

其中的NOPASSWD 是不需要输入密码

5.用户组的管理

1.什么是用户组

其实就是一种逻辑层面的定义，逻辑上将多个用户归纳至一个组，当我们对组操作，其实就相当于对组中的所有用户操作。

2.组有类别

对于用户来说，组有几种类别？

基本组，用户只能有一个基本组，创建时可通过-g指定，如未指定则创建一个默认的组(与用户同名)，简称私有组

附加组，基本组不能满足授权要求，创建附加组，将用户加入该组，用户可以属于多个附加组

3.组的信息位置

组账户信息保存在/etc/group和/etc/gshadow两个文件中。重点关注group

1./etc/group 配置文件解释如下图

点击(此处)折叠或打开

head -1 /etc/group

点击(此处)折叠或打开

head -1 /etc/group

2./etc/gshadow 配置文件解释如下图

超级用户组 root 0

普通用户组

系统用户组 1-999（centos7） 1-499（centos6）

可登陆用户组 1000-65535（centos7）500-65535 （centos6）

点击(此处)折叠或打开

groupadd
-g 指定组id
-r 创建系统用户组

组的文件

/etc/group

组名

密码占位

gid

组成员

/etc/gshadow

组名

密码

组管理员的密码

组成员

1 groupadd新增组

使用groupadd命令新增组，groupadd [-g GID] groupname

点击(此处)折叠或打开

#创建基本组, 不指定gid[root@bgx ~]# groupadd no_gid[root@bgx ~]# tail -n1 /etc/groupno_gid:x:1000:

#创建基本组, 指定gid为5555[root@bgx ~]# groupadd -g 5555 yes_gid[root@bgx ~]# tail -n1 /etc/groupyes_gid:x:5555:

#创建系统组，gid从201-999[root@bgx ~]# groupadd -r sys_group[root@bgx ~]# tail -n1 /etc/groupsys_group:x:990:

2 groupmod修改组

使用groupmod命令修改组

点击(此处)折叠或打开

#创建基本组, 不指定gid[root@bgx ~]# groupadd no_gid[root@bgx ~]# tail -n1 /etc/groupno_gid:x:1000:
#创建基本组, 指定gid为5555[root@bgx ~]# groupadd -g 5555 yes_gid[root@bgx ~]# tail -n1 /etc/groupyes_gid:x:5555:
#创建系统组，gid从201-999[root@bgx ~]# groupadd -r sys_group[root@bgx ~]# tail -n1 /etc/groupsys_group:x:990:

3.groupdel删除组，

删除时需要注意，如果用户存在基本组则无法直接删除该组，如果删除用户则会移除默认的私有组，而不会移除基本组。

点击(此处)折叠或打开

# 私有组的情况，直接删除用户，组也就没了[root@bgx ~]# userdel jack
#删除组[root@bgx ~]# groupdel active_group
#删除用户附加组[root@bgx ~]# id lqzuid=1069(lqz) gid=5005(lqz) groups=5005(lqz),5004(devops)[root@bgx ~]# groupdel devops[root@bgx ~]# id lqzuid=1069(lqz) gid=5005(lqz) groups=5005(lqz)
#无法删除用户基本组[root@bgx ~]# groupdel network_sagroupdel: cannot remove the primary group of user 'bgx_lqz'#只有删除用户或者用户变更基本后,方可删除该组

4 gpasswd设置组密码

使用gpasswd设置组密码[扩展，可以不会

点击(此处)折叠或打开

[root@bgx ~]# groupadd devops
[root@bgx ~]# gpasswd devops
Changing the password for group devops
New Password:
Re-enter new password:

5 newgrp切换基本组身份

使用newgrp命令切换基本组身份[扩展，可以不会

点击(此处)折叠或打开

#1.检查账户信息[root@bgx ~]# useradd lqz[root@bgx ~]# id lqzuid=1069(lqz) gid=5005(lqz) groups=5005(lqz)
#2.切换普通用户[root@bgx ~]# su - lqz
#3.创建新文件,查看文件的属主和属组[lqz@bgx ~]$ touch file_roots[lqz@bgx ~]$ ll-rw-rw-r-- 1 lqz lqz 0 Jun 13 10:06 file_roots
#4.使用newgrp切换到devops组[lqz@bgx ~]$ newgrp devopsPassword:
#5.创建文件，检查属主和属组[lqz@bgx ~]$ touch file_test[lqz@bgx ~]$ ll-rw-rw-r-- 1 lqz lqz 0 Jun 13 10:06 file_roots-rw-r--r-- 1 lqz devops 0 Jun 13 10:08 file_test

修改组信息

groupmod

点击(此处)折叠或打开

-g 修改gid
-n 修改组名

删除组

groupdel 删除组

阅读(34) | 评论(0) | 转发(0) |

上一篇：华为交换机18个实用配置方案

下一篇：避免磁盘空间不足：Linux df 与 du 命令的实用技巧

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6