桓台市痴梦科技公司

目录

一. 用户和用户组管理

1.1　新增组的命令groupadd

1.2　删除组的命令groupdel

1.3　增加用户的命令useradd

1.4　删除账户的命令userdel

二. 用户密码管理

2.1　认识/etc/passwd和/etc/shadow

2.2　/etc/passwd解说

2.3　使用命令chfn更改用户的finger

2.4　/etc/shadow解说

2.5　命令passwd

三. 用户身份切换

3.1　命令su

3.2　命令sudo

3.3　不允许root远程登录Linux

四. 更改文件权限

4.1　命令chmod

4.2　命令umask

4.3　命令chgrp

4.4　命令chown

         Linux系统是一个多用户系统，每个账号用来干什么，我们必须了如指掌，因为这涉及安全问题。

        安装完系统后，我们就一直使用root账号来操作，其实这并不安全。因为root账号权限太高，容易误操作。建议你以后在工作中尽量避免直接使用root账号登录系统，使用普通用户也可以完成大部分工作。

命令的格式为 ，示例命令如下：

如果不加选项，则按照系统默认的创建组。跟一样，也是从1000开始的。我们也可以按如下操作自定义：

有时，我们会有删除组的需求，此时可进行如下操作：

命令没有特殊选项，但有一种情况不能删除组，如下所示：

上例中，user1组中包含user1账户，只有删除user1账户后才可以删除该组。

        从字面意思上来看，就是增加用户，该命令的格式为，其中各个选项的具体含义如下。

• ：表示自定义UID。
• ：表示使新增用户属于已经存在的某个组，后面可以跟组，也可以跟组名。
• ：表示自定义用户的家目录。

下面我们先来新建一个用户test10，示例命令如下：

        如果不加任何选项，直接跟用户名，则会创建一个跟用户名同名的组。当然，很多时候需要我们自己去定义、或者所属的组，示例命令如下：

        命令的格式为，其中选项的作用是，当删除用户时，一并删除该用户的家目录。下面我们先来看看user12的家目录，示例命令如下：

如果不加选项，则会直接删除用户user12，但保留其家目录，如下所示：

此时user12的家目录还在，那么我们再加上选项删除user1用户，如下所示：

此时user1的家目录已经不复存在。

密码对于一个用户来说是非常关键的，而密码管理也是系统管理员的一项非常重要的任务。

        这两个文件可以说是Linux系统中最重要的文件之一。如果没有这两个文件或者这两个文件出了问题，则无法正常登录系统。下面咱们先来看看/etc/passwd文件，示例命令如下：

前面的符号，我们称为管道符，它的作用是把前面的命令的输出再输入给后面的命令。cat /etc/passwd | head 代表显示文件的前10行。

        /etc/passwd由：分割成7个字段，每个字段的具体含义如下所示。

• 第1个字段为用户名（如第1行中的root就是用户名），它是代表用户账号的字符串。用户名中的字符可以是大小写字母、数字、减号（不能出现在首位）、点或下划线，其他字符不合法。虽然用户名中可以出现点，但不建议使用，尤其是首位。另外，减号也不建议使用，容易造成混淆。
• 第2个字段存放的是该账号的口令。这里为什么是x呢？早期的Unix系统口令确实存放在这里，但基于安全因素，后来就将其存放到/etc/shadow中了，这里只用一个x代替。
• 第3个字段为一个数字，这个数字代表用户标识号，也称为uid。系统就是通过这个数字识别用户身份的。这里的0就是root，也就是说我们可以修改test用户的uid为0，那么系统会认为root和test为同一个账户。uid的取值范围是0~65535，0是超级用户（root）的标识号，CentOS 7的普通用户标识号从1000开始。如果我们自定义建立一个普通用户，你会看到该账户的标识号是大于或等于1000的。
• 第4个字段也是数字，表示组标识号，也称为gid。这个字段对应着/etc/group中的一条记录，其实/etc/group和/etc/passwd基本类似。
• 第5个字段为注释说明，没有实际意义。通常记录该用户的一些属性，例如姓名、电话、地址等。
• 第6个字段为用户的家目录，当用户登录时，就处在这个目录下。root的家目录是/root，普通用户的家目录则为/home/username，用户家目录是可以自定义的。
• 最后一个字段为用户的shell。用户登录后，要启动一个进程，用来将用户下达的指令传给内核，这就是shell。Linux的shell有sh、csh、ksh、tcsh、bash等多种，而Red Hat/CentOS的shell就是bash。查看/etc/passwd文件，该字段中除了/bin/bash，还有很多/sbin/nologin，它表示不允许该账号登录。如果想建立一个不允许登录的账号，可以把该字段改成/sbin/nologin，默认是/bin/bash。

（change finger的简写）命令用于更改用户的finger，这里只简单介绍一下。finger其实就是在/etc/passwd文件第5个字段中显示的信息，那么如何去设定这个信息呢？这就要用到命令了，其具体用法如下：

命令可以修改用户的finger信息，比如、、以及。修改完后，就会在/etc/passwd文件user11的那一行的第5个字段中看到相关信息了。

/etc/shadow和/etc/passwd类似，由：分割成9个字段，示例命令如下：

        每个字段的含义如下所示。

• 第1个字段为用户名，与/etc/passwd对应。
• 第2个字段为用户密码，是该账号的真正密码。这个密码已经加密，但是有些黑客还是能够解密的。所以，将该文件属性设置为，但root账户是可以访问或更改的。
• 第3个字段为上次更改密码的日期，这个数字以1970年1月1日和上次更改密码的日期为基准计算而来。例如，上次更改密码的日期为2012年1月1日，则这个值就是365* (2012-1970)+(2012-1970)/4+1=15341。如果是闰年，则有366天。
• 第4个字段为要过多少天才可以更改密码，默认是0，即不受限制。
• 第5个字段为密码多少天后到期，即在多少天内必须更改密码。例如，这里设置成30，则30天内必须更改一次密码；否则，将不能登录系统。默认是99999，可以理解为永远不需要改。
• 第6个字段为密码到期前的警告期限。若这个值设置成7，则表示当7天后密码过期时，系统就发出警告，提醒用户他的密码将在7天后到期。
• 第7个字段为账号失效期限。如果这个值设置为3，则表示密码已经到期，然而用户并没有在到期前修改密码，那么再过3天，这个账号便失效，即锁定。
• 第8个字段为账号的生命周期。跟第3个字段一样，这个周期是按距离1970年1月1日多少天算的。它表示的含义是，账号在这个日期前可以使用，到期后账号将作废。
• 最后一个字段作为保留用的，没有什么意义。

        为用户设置密码时，可以使用命令，其格式为。该命令后面若不加用户名字，则是为自己设定密码，示例命令如下：

        如果你登录的是root账户，后面可以跟普通账户的名字，意思是修改指定账户的密码，示例命令如下：

需要注意的是，只有root才可以修改其他账户的密码，普通账户只能修改自己的密码。

        Linux系统中，有些事情只有root用户才能做，普通用户是不能做的，这时就需要临时切换到root身份了。下面我们做一个小试验，创建test账户，并修改其密码，这样我们就可以使用test账户登录Linux了。具体操作方法如下：

然后用test账户登录Linux，示例命令如下：

        登录后，使用命令查看，发现当前用户是test。普通用户和root用户的shell提示符号有些区别，root账户是#，普通用户是$。

        命令的格式为，普通用户的命令不加时，就是切换到root用户。当然，root用户同样可以使用命令切换到普通用户。

        该命令后面可以跟，也可以不跟。加上后，会初始化当前用户的各种环境变量。

        接下来做个简单的试验来说明加与不加的区别，示例命令如下：

        如果不加切换到root账户时，当前目录没有变化；而加上切换到root账户时，当前目录为root账户的家目录。这跟直接登录root账户是一样的。当由root切换到普通用户时，是不需要输入密码的。

        用可以切换用户身份，而且，如果每个普通用户都允许切换到root身份，那就需要每个每个普通用户都知道root密码。如果某个用户不小心泄漏了root的密码，那岂不是系统非常不安全？没错，为了改进这个问题，Linux系统工程师设计了这个命令。使用命令执行一个只有root才能执行的命令是可以办到的，但是需要输入密码。这个密码并不是root的密码，而是用户自己的密码。

        默认情况下，只有root用户能使用命令，普通用户想要使用，是需要root预先设定的。使用命令编辑/etc/sudoers配置文件（必须要使用root用户，如果没有这个命令，请使用命令安装。），在文档中加入一行（test ALL=(ALL) ALL）

此时可以验证一下test账户的权限了，方法如下（如下操作是在root账号下进行的）：

        由于切换到test账户后当前目录还是/root，test账户没有任何权限，所以使用命令查看时，提示权限不够。然而使用命令输入test账户自身的密码后，就有权限了。初次使用命令时，会出现上面的一大段提示，当再次使用命令时则不再提示。

        如果每增加一个用户就设置一行，这样太麻烦了，所以可以这样设置：把前面的去掉，让这一行生效。它的意思是，wheel这个组的所有用户都拥有了的权利。接下来，只要把需要设置权限的所有用户加入到wheel这个组中即可。如下所示：

        /etc/ssh/sshd_config为sshd服务的配置文件，默认允许root账户通过ssh远程登录Linux。要想不允许root用户远程登录Linux，具体操作方法为：修改配置文件/etc/ssh/sshd_config，在文件中查找#PermitRootLogin yes并修改为 PermitRootLogin no。保存配置文件后，需要重启sshd服务，如下所示：

需要注意的是，这个方法只适用于通过ssh远程登录Linux的情况。

        Linux的文件调用权限分为三级 : 文件所有者（Owner）、用户组（Group）、其它用户（Other Users）。

        为了方便更改文件的权限，Linux使用数字代替，具体规则为：等于4，等于2，等于1，等于0。

        例如，用数字表示就是770，其具体算法为：，，。

        命令（change mode的简写）用于改变用户对文件/目录的读写执行权限，其格式为： 文件名（这里的表示数字，-R 表示递归操作）。

还支持使用的方式来设置权限。从之前的介绍中可以发现，基本上就9个属性。我们可以使用、和来分别表示、和的属性，用代表（即全部）。示例命令如下：

        这样可以把dir3/test3的文件权限修改为。此外，我们还可以针对、、和，增加或者减少它们的某个权限（读、写或执行），示例命令如下：

        默认情况下，目录的权限值为755，普通文件的权限值为644，那么这个值是由谁规定的呢？究其原因，便涉及了。

        命令用于改变文件的默认权限，其格式为：（这里的代表3个数字）。如果要查看的值，只要在命令行输入，然后回车即可，如下所示：

        这里的预设值是0022，这表示什么含义呢？咱们先来看以下两条规则。

• 若用户建立普通文件，则预设没有可执行权限，只有、两个权限，最大值为666（）。
• 若用户建立目录，则预设所有权限均开放，即777（）。

数值代表的含义为以上两条规则中的默认值（文件为666，目录为777）需要减掉的权限，所以：

的值是可以自定义的，比如设定为002，你再创建目录或者文件时，默认权限分别为：

示例命令如下：

        这里我们可以看到创建的目录的默认权限变为775，而文件的默认权限变为664。如果要把改回来，具体操作方法如下：

可以在/etc/bashrc里面更改，默认情况下，root的为022，而一般使用者则为002。可写的权限非常重要，因此预设会去掉写权限。系统里面是4位，而我们讲的是3位，因为最前面还有一个0，这个0加与不加没有影响，它表示数值是八进制的。

（change group的简写）命令可以更改文件的所属组，其格式为：，示例命令如下：

上例中用到了命令，其含义为增加一个用户组。

命令还可以更改目录的所属组，示例命令如下：

        上例中，命令只更改了目录本身，而目录下的文件并没有更改。如果要想级联更改子目录以及子文件，加选项可以实现，示例命令如下：

命令不常用，因为还有一个命令可以替代它，那就是。

（change owner的简写）命令可以更改文件的所有者，其格式为：或者。这里的选项只适用于目录，作用是级联更改，即不仅更改当前目录，连目录里的目录或者文件也全部更改。示例命令如下：