第三章 用户管理

3.1 用户/组概览

Linux系统是多用户、多任务的分时操作系统，系统上每一个进程都有一个特定的文件，每个文件都被一个特定的用户所拥有。每个用户都属于一个用户组或者多个组，系统可以对一个用户组中的所有用户进行集中管理。

3.1.1 用户标识：UID与GID

Linux系统并不能识别用户名信息，所以每个用户都有唯一的系统可识别的UID。id命令可以查看当前用户登录信息。UID为用户的ID，GID为用户所属组的ID，groups为用户所有组的ID。

3.1.2 用户/组相关文件

在Linux系统中，所有用户的用户名和密码都存放在/etc/passwd和/etc/shadow这两个文件中。在/etc/passwd文件中，一行记录对应一个用户，每行记录又被冒号分隔为七个字段，依次为用户名称、密码占位符、用户UID、主组GID、注释性描述、用户主目录、用户的Shell；在/etc/shadow文件中，每行记录也由冒号分隔为九个字段，依次为用户名称、加密后的密码、最近改动密码时间、密码不可变更时间、密码重新变更时间、密码过期时间、密码过期宽恕时间、用户失效时间、保留。

3.1.3 超级用户

root用户可以拥有所有系统权限，而且root用户有权力覆盖文件系统上的所有普通权限。系统中大多数设备只能由root控制，如安装或删除软件、管理系统文件和目录等。

3.2 管理用户/组

管理用户与用户组主要是创建、更改与删除等操作。

3.2.1 创建用户/组

使用useradd命令创建用户，不指定任何选项，然后使用grep命令过滤出该用户信息。如果在使用useradd命令时加入了错误的设置数据，或者要对一些信息进行详细的修改，除了直接在/etc/passwd和/etc/shadow这两个文件中修改，也可以使用usermod与gpasswd命令。一个用户可以属于很多组。用户组的信息保存在/etc/group文件中，上面创建的组在该文件的尾部，使用tail命令查看新创建组并没有成员。

3.2.2 删除用户/组

如果一个用户需要被删除，可以使用userdel命令，但若想同时在/home目录与mail spool中删除该用户，则需要添加“-r”参数。若用户已不存在，可以使用“rm-rf”手动删除。

删除一个用户组可以使用groupdel命令，如果某个初始用户正在使用该用户组，则无法删除，此时需要修改该用户的GID或者直接删除该用户。

3.2.3 修改用户密码

任何用户都可以通过passwd命令修改自己的密码，只有root用户可以修改其他用户的密码。普通用户修改密码需要提供原密码。

3.2.4 安全用户

在创建用户时，通过“-s”参数指定用户的登录Shell为/sbin/nologin，可以将其设置为安全用户。当指定某个用户的登录Shell为/sbin/nologin时，此用户无论通过本地还是远程登录的方式都将不能登录系统，也无法实现系统管理。该用户仍可以使用FTP和邮件服务者这种不需要登录系统的服务。因此，这样的用户一般称为安全用户。

3.2.5 配置文件

/etc/login.defs与/etc/default/useradd是命令useradd的配置文件，决定useradd创建用户默认的参数，文件的配置对root用户无效。打开/etc/login.defs文件，第15行为邮件目录，第25~28行为密码相关配置，第71行为密码相关配置。

3.2.6 su/sudo命令

su命令可以进行身份切换，普通用户切换至root用户需要密码，root用户切换至普通用户则不需要密码；加入wheel组的普通用户可以使用sudo命令来执行系统相关操作，用户使用sudo时，必须先输入密码，之后有5分钟的有效时间，超过时限则必须重新输入密码。

3.3 本章小结

本章首先介绍用户与用户组标识符的意义、用户的Shell作用以及如何对用户与用户组进行增、删、改、查等操作；

其次，讲解了如何设置在/etc/passwd和/etc/shadow这两个文件以及useradd的文件配置；最后，演示了用户如何使用su命令进行身份切换，普通用户如何使用sudo命令提权。