2 用户管理

2.1 用户和组的基本概念和作用

2.1.1 账户实质

账户实质就是一个用户在系统上的标识，系统依据账户ID来区分每个用户的文件、进程、任务，给每个用户提供特定的工作关键（如用户的工作目录、SHELL版本以及环境配置等），使每个用户的工作都能独立不受干扰地进行。

2.1.2 用户和组

在Linux系统中，每次登录系统都必须以一个用户的身份登录，并且登录后的权限也会根据用户身份来确定。 每一个进程在执行时，也会有其用户，该用户也和进程所能控制的资源有关。Linux系统下的每一个目录、文件，都会有其属于的用户和用户组，我们称其为属主和属组。

• 用户账户分类

·普通用户账户：在系统上的任务是进行普通工作。
·超级用户账户（或管理员账户）：在系统上的任务是对普通用户和整个系统进行管理。

每个用户都被分配了一个唯一的用户ID号：
·超级用户：UID=0，GID=0
·普通用户：UID>=1000
·系统用户（伪用户，不可登录）：0<UID<1000

·当用户登录时，他们被分配了一个主目录和一个运行的程序（通常是 shell）。
·若无适当权限，用户无法读取、写入或执行彼此的文件。

组账户

·组是用户的集合
·每个组都被分配了一个唯一的组ID号（GID） 
·组和GID被保存在 /etc/group 文件中 
·每个用户都有他们自己的私有组 
·每个用户都可以被添加到其他组中来获得额外的存取权限 
·组中的所有用户都可以共享属于该组的文件

• 组账户的分类 标准组：

·标准组可以容纳多个用户
·若使用标准组，在创建一个新的用户时就应该指定他所属于的组

私有组：

·私有组中只有用户自己
·当在创建一个新用户时， 若没有指定他所属于的组，RHEL/CentOS就建立一个和该用户同名的私有组，且用户被分配到这个私有组中
·优点：防止新文件归 “公共” 组所有 
·缺点：可能会鼓励创建 “任何人都可以访问” 的文件

• 用户和组的关系

·组是用户的集合。
·一个标准组可以容纳多个用户。
·同一个用户可以同属于多个组，这些组可以是私有组，也可以是标准组。
·当一个用户同属于多个组时，将这些组分为：
    主组（初始组）：用户登录系统时的组。
    附加组：登录后可切换的其他组。

2.1.3 存储用户信息的文件

• /etc/passwd：文件中每行定义一个用户账号，每行分为多个字段定义不同用户账号的不同属性，各字段间用“：”分隔。

例：root：x：0：0：root：/root：/bin/bash
=用户名：x：uid：gid：描述：HOME：shell
（7列）

·name：这是用户登录系统时使用的用户名，在系统之是唯一的。
·password：在此文件中的口令是X，这表示用户的口令是被/etc/shadow文件保护的。
​
·uid：用户的识别号，是一个数字。每个用户的UID都是唯一的。
·gid：用户的组的识别号，也是一个数字。每个用户账户在建立好后都会有一个主组。主组相同的账户其GID相同。
​
·description：用户的个人资料，包括地址、电话等信息。
·home：用户的主目录，通常在/home下，目录名和账户名相同。
·shell：用户登录后启动的shell，默认是/bin/bash。

例：查看linux支持的shell类型

/etc/shells 

• /etc/shadow：保存经过加密的用户口令

例：root:$6$Bqh7RXBwbxb3o1X0$/Yuh7GE.LgPbZqf.8CUG6ag/HUUyx9u.U83K0MTW3xdYf9xFiK0GxqumIZjHaYUhIiGKOm2RV84/4MQoULds20::0:99999:7:::
​
bin:*:16659:0:99999:7:::
​
=用户名：口令：最后一次修改时间：最小时间间隔：最大时间间隔：警告时间：不活动时间：失效时间：保留位
（8列）

·用户名：用户登录名
·口令：用户的密码，$1$，MD5加密；$2$，Blowfish加密；$5$，SHA-256加密；$6$，SHA-512加密；*，用户不能用；！！，密码过期
·最后一次修改的时间：从1970年1月1日起，到用户最后一次更改密码的天数
·最小时间间隔：从最后一次修改时间到用户可以更改密码的天数（0，当天可以修改密码；x，修改密码x天后才能再次修改）
·最大时间间隔：从1970年1月1日起，到用户必须更改密码的天数（99999表示密码有效期无限）
·警告时间：在用户密码过期之前多少天提醒用户更新
·不活动时间：在用户密码过期之后到禁用账户的天数
·失效时间：从1970年1月1日起，到账户被禁用的天数

• /etc/group

例：
root:x:0:
=组名：组口令：GID：组成员

组名：用户登录系统时的默认组名，它在系统中是唯一的
口令：组口令，由于安全性原因，已不使用该字段保存口令，用“x”占位 
GID：是一个整数，系统内部用它来标识组
组内用户列表：属于该组的所有用户名表，列表中多个用户间用“,”分隔

• /etc/gshadow

例：
root:::
=组名：组口令：组的管理员账户：组成员

组名：组名称，该字段与group文件中的组名称对应 
加密的组口令：用于保存已加密的口令
组的管理员账号：管理员有权对该组添加删除账号
组内用户列表：属于该组的用户成员列表，列表中多个用户间用“,”分隔