linux用户和用户组相关概念、理解、操作

一、相关概念

用户

概念：

多用户
用户在系统中是分角色的，在Linux 系统中，由于角色不同，权限和所完成的任务也不同；值得注意的是用户的角色是通过UID和识别的，特别是UID；在系统管理中，系统管理员一定要坚守UID 唯一的特性；
首先我们要知道为什么使用多用户：

多用户系统从事实来说对系统管理更为方便。从安全角度来说，多用户管理的系统更为安全，比如beinan用户下的某个文件不想让其它用户看到，只是设置一下文件的权限，只有beinan一个用户可读可写可编辑就行了，这样一来只有beinan一个用户可以对其私有文件进行操作，Linux
在多用户下表现最佳，Linux能很好的保护每个用户的安全，但我们也得学会Linux
才是，再安全的系统，如果没有安全意识的管理员或管理技术，这样的系统也不是安全的。

从服务器角度来说，多用户的下的系统安全性也是最为重要的，我们常用的Windows
操作系统，它在系纺权限管理的能力只能说是一般般，根本没有没有办法和Linux或Unix 类系统相比；

通过前面对 多用户的理解，我们明白Linux 是真正意义上的多用户操作系统，所以我们能在Linux系统中建若干用户（user）。比如我们的同事想用我的计算机，但我不想让他用我的用户名登录，因为我的用户名下有不想让别人看到的资料和信息（也就是隐私内容）这时我就可以给他建一个新的用户名，让他用我所开的用户名去折腾，这从计算机安全角度来说是符合操作规则的；

当然用户（user）的概念理解还不仅仅于此，在Linux系统中还有一些用户是用来完成特定任务的，比如nobody和ftp 等，我们访问LinuxSir.Org 的网页程序，就是nobody用户；我们匿名访问ftp 时，会用到用户ftp或nobody ；

root 用户：系统唯一，是真实的，可以登录系统，可以操作系统任何文件和命令，拥有最高权限；
虚拟用户：这类用户也被称之为伪用户或假用户，与真实用户区分开来，这类用户不具有登录系统的能力，但却是系统运行不可缺少的用户，比如bin、daemon、adm、ftp、mail等；这类用户都系统自身拥有的，而非后来添加的，当然我们也可以添加虚拟用户；
普通真实用户：这类用户能登录系统，但只能操作自己家目录的内容；权限有限；这类用户都是系统管理员自行添加的；

必须了解用户查询和管理；
1.用户管理主要通过修改用户配置文件完成；用户管理控制工具最终目的也是为了修改用户配置文件。
2. 什么是用户查询和管理控制工具呢？
用户查询和控制工具是查询、添加、修改和删除用户等系统管理工具，比如查询用户的id和finger命令，添加用户的useradd 或adduser 、userdel 用户的删除 、设置密码的passwd命令 、修改用户usermod 等等；
3.我们需要知道的是通过用户查询和控制工具所进行的动作的最终目的也是修改用户配置文件；所以我们进行用户管理的时候，直接修改用户配置文件一样可以达到用户管理的目的；
意识到用户（User）配置文件的重要性；其实用户和用户组在系统管理中是不可分割的。

用户组

概念：
用户组（group）就是具有相同特征的用户（user）的集合体；比如有时我们要让多个用户具有相同的权限，比如查看、修改某一文件或执行某个命令，这时我们需要用户组，我们把用户都定义到同一用户组，我们通过修改文件或目录的权限，让用户组具有一定的操作权限，这样用户组下的用户对该文件或目录都具有相同的权限，这是我们通过定义组和修改文件的权限来实现的；

举例：我们为了让一些用户有权限查看某一文档，比如是一个时间表，而编写时间表的人要具有读写执行的权限，我们想让一些用户知道这个时间表的内容，而不让他们修改，所以我们可以把这些用户都划到一个组，然后来修改这个文件的权限，让用户组可读，这样用户组下面的每个用户都是可读的；

用户和用户组的关系
一对一：某个用户可以是某个组的唯一成员；
多对一：多个用户可以是某个唯一的组的成员，不归属其它用户组；比如beinan和linuxsir两个用户只 归属于beinan用户组；
一对多：某个用户可以是多个用户组的成员；比如beinan可以是root组成员，也可以是linuxsir用户组成员，还可以是adm用户组成员；
多对多：多个用户对应多个用户组，并且几个用户可以是归属相同的组；其实多对多的关系是前面三条的扩展；理解了上面的三条，这条也能理解；

二、相关目录

用户相关目录

与用户相关的系统配置文件主要有/etc/passwd 和/etc/shadow。
/etc/passwd 用户（user）的配置文件；
/etc/shadow 用户（user）影子口令文件；
/etc/shadow是用户资讯的加密文件，比如用户的密码口令的加密保存等；
/etc/passwd 和/etc/shadow 文件是互补的；我们可以通过对比两个文件来差看他们的区别；

深入理解用户目录作用

/etc/passwd 是系统识别用户的一个文件，做个不恰当的比喻，/etc/passwd 是一个花名册，系统所有的用户都在这里有登录记载；当我们以beinan 这个账号登录时，系统首先会查阅 /etc/passwd 文件，看是否有beinan 这个账号，然后确定beinan的UID，通过UID 来确认用户和身份，如果存在则读取/etc/shadow 影子文件中所对应的beinan的密码；如果密码核实无误则登录系统，读取用户的配置文件；

内容理解

在/etc/passwd 中，每一行都表示的是一个用户的信息；一行有7个段位；每个段位用:号分割，比如下面是我的系统中的/etc/passwd 的两行；

beinan:x:500:500:beinan sun:/home/beinan:/bin/bash

linuxsir:x:505:502:linuxsir open,linuxsir office,13898667715:/home/linuxsir:/bin/bash

beinan:x:500:500:beinan sun:/home/beinan:/bin/bash

linuxsir:x:501:502::/home/linuxsir:/bin/bash

第一字段：用户名（也被称为登录名）；在上面的例子中，我们看到这两个用户的用户名分别是 beinan 和linuxsir；

第二字段：口令；在例子中我们看到的是一个x，其实密码已被映射到/etc/shadow 文件中；

第三字段：UID ；请参看本文的UID的解说；

第四字段：GID；请参看本文的GID的解说；

第五字段：用户名全称，这是可选的，可以不设置，在beinan这个用户中，用户的全称是beinan sun ；而linuxsir 这个用户是没有设置全称；

第六字段：用户的家目录所在位置；beinan 这个用户是/home/beinan ，而linuxsir 这个用户是/home/linuxsir ；

第七字段：用户所用SHELL 的类型，beinan和linuxsir 都用的是 bash ；所以设置为/bin/bash ；

/etc/shadow文件是/etc/passwd 的影子文件，这个文件并不由/etc/passwd
而产生的，这两个文件是应该是对应互补的；shadow内容包括用户及被加密的密码以及其它/etc/passwd
不能包括的信息，比如用户的有效期限等；这个文件只有root权限可以读取和操作，权限如下：

-r-------- 1 root root 1.5K 10月 16 09:49 /etc/shadow

/etc/shadow 的权限不能随便改为其它用户可读，这样做是危险的。如果您发现这个文件的权限变成了其它用户组或用户可读了，要进行检查，以防系统安全问题的发生；

如果我们以普通用户查看这个文件时，应该什么也查看不到，提示是权限不够：

[beinan@localhost ~]$ more /etc/shadow

/etc/shadow: 权限不够

shadow 文件的内容包括9个段位

每个段位之间用:号分割；我们以如下的例子说明；

beinan:$1$VE.Mq2Xf$2c9Qi7EQ9JP8GKF8gH7PB1:13072:0:99999:7:::

linuxsir:$1$IPDvUhXP$8R6J/VtPXvLyXxhLWPrnt/:13072:0:99999:7::13108:

第一字段：用户名（也被称为登录名），在/etc/shadow中，用户名和/etc/passwd 是相同的，这样就把passwd 和shadow中用的用户记录联系在一起；这个字段是非空的；

第二字段：密码（已被加密），如果是有些用户在这段是x，表示这个用户不能登录到系统；这个字段是非空的；

第三字段：上次修改口令的时间；这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔（天数），您可以通过passwd 来修改用户的密码，然后查看/etc/shadow中此字段的变化；

第四字段：两次修改口令间隔最少的天数；如果设置为0,则禁用此功能；也就是说用户必须经过多少天才能修改其口令；此项功能用处不是太大；默认值是通过/etc/login.defs文件定义中获取，PASS_MIN_DAYS 中有定义；

第五字段：两次修改口令间隔最多的天数；这个能增强管理员管理用户口令的时效性，应该说在增强了系统的安全性；如果是系统默认值，是在添加用户时由/etc/login.defs文件定义中获取，在PASS_MAX_DAYS 中定义；

第六字段：提前多少天警告用户口令将过期；当用户登录系统后，系统登录程序提醒用户口令将要作废；如果是系统默认值，是在添加用户时由/etc/login.defs文件定义中获取，在PASS_WARN_AGE 中定义；

第七字段：在口令过期之后多少天禁用此用户；此字段表示用户口令作废多少天后，系统会禁用此用户，也就是说系统会不能再让此用户登录，也不会提示用户过期，是完全禁用；

第八字段：用户过期日期；此字段指定了用户作废的天数（从1970年的1月1日开始的天数），如果这个字段的值为空，帐号永久可用；

第九字段：保留字段，目前为空，以备将来Linux发展之用；

如果更为详细的，请用 man shadow来查看帮助，您会得到更为详尽的资料；

UID

UID 是用户的ID 值，在系统中每个用户的UID的值是唯一的，更确切的说每个用户都要对应一个唯一的UID ，系统管理员应该确保这一规则。系统用户的UID的值从0开始，是一个正整数，至于最大值可以在/etc/login.defs 可以查到，一般Linux发行版约定为60000； 在Linux 中，root的UID是0，拥有系统最高权限；

UID 在系统唯一特性，做为系统管理员应该确保这一标准，UID 的唯一性关系到系统的安全，应该值得我们关注！比如我在/etc/passwd
中把beinan的UID
改为0后，你设想会发生什么呢？beinan这个用户会被确认为root用户。beinan这个帐号可以进行所有root的操作；
UID 是确认用户权限的标识，用户登录系统所处的角色是通过UID 来实现的，而非用户名，切记；把几个用户共用一个UID 是危险的，比如我们上面所谈到的，把普通用户的UID 改为0，和root共用一个UID
，这事实上就造成了系统管理权限的混乱。如果我们想用root权限，可以通过su或sudo来实现；切不可随意让一个用户和root分享同一个UID
；
一般情况下，每个Linux的发行版都会预留一定的UID和GID给系统虚拟用户占用，虚拟用户一般是系统安装时就有的，是为了完成系统任务所必须的用户，但虚拟用户是不能登录系统的，比如ftp、nobody、adm、rpm、bin、shutdown等；
在Fedora 系统会把前499 个UID和GID 预留出来，我们添加新用户时的UID 从500开始的，GID也是从500开始，至于其它系统，有的系统可能会把前999UID和GID预留出来；以各个系统中/etc/login.defs中的
UID_MIN 的最小值为准； Fedora 系统 login.defs的UID_MIN是500，而UID_MAX
值为60000，也就是说我们通过adduser默认添加的用户的UID的值是500到60000之间；而Slackware
通过adduser不指定UID来添加用户，默认UID 是从1000开始；

用户组相关目录

与用户组相关的系统配置文件主要有/etc/group和/etc/gshadow。
/etc/group 注：用户组（group）配置文件；
/etc/gshadow 注：用户组（group）的影子文件；

深入理解用户组目录作用

/etc/group 文件是用户组的配置文件，内容包括用户和用户组，并且能显示出用户是归属哪个用户组或哪几个用户组，因为一个用户可以归属一个或多个不同的用户组；同一用户组的用户之间具有相似的特征。比如我们把某一用户加入到root用户组，那么这个用户就可以浏览root用户家目录的文件，如果root用户把某个文件的读写执行权限开放，root用户组的所有用户都可以修改此文件，如果是可执行的文件（比如脚本），root用户组的用户也是可以执行的；
用户组的特性在系统管理中为系统管理员提供了极大的方便，但安全性也是值得关注的，如某个用户下有对系统管理有最重要的内容，最好让用户拥有独立的用户组，或者是把用户下的文件的权限设置为完全私有；另外root用户组一般不要轻易把普通用户加入进去，

内容理解

/etc/group

/etc/group
文件是用户组的配置文件，内容包括用户和用户组，并且能显示出用户是归属哪个用户组或哪几个用户组，因为一个用户可以归属一个或多个不同的用户组；同一用户组的用户之间具有相似的特征。比如我们把某一用户加入到root用户组，那么这个用户就可以浏览root用户家目录的文件，如果root用户把某个文件的读写执行权限开放，root用户组的所有用户都可以修改此文件，如果是可执行的文件（比如脚本），root用户组的用户也是可以执行的；
用户组的特性在系统管理中为系统管理员提供了极大的方便，但安全性也是值得关注的，如某个用户下有对系统管理有最重要的内容，最好让用户拥有独立的用户组，或者是把用户下的文件的权限设置为完全私有；另外root用户组一般不要轻易把普通用户加入进去，

内容具体分析

/etc/group 的内容包括用户组（Group）、用户组口令、GID及该用户组所包含的用户（User），每个用户组一条记录；格式如下：

group_name:passwd:GID:user_list

在/etc/group 中的每条记录分四个字段：

第一字段：用户组名称；

第二字段：用户组密码；

第三字段：GID

第四字段：用户列表，每个用户之间用,号分割；本字段可以为空；如果字段为空表示用户组为GID的用户名；

我们举个例子：

root:x:0:root,linuxsir 注：用户组root，x是密码段，表示没有设置密码，GID是0,root用户组下包括root、linuxsir以及GID为0的其它用户（可以通过/etc/passwd查看）；；

beinan:x:500:linuxsir 注：用户组beinan，x是密码段，表示没有设置密码，GID是500,beinan用户组下包括linuxsir用户及GID为500的用户（可以通过/etc/passwd查看）；

linuxsir:x:502:linuxsir 注：用户组linuxsir，x是密码段，表示没有设置密码，GID是502,linuxsir用户组下包用户linuxsir及GID为502的用户（可以通过/etc/passwd查看）；

helloer:x:503: 注：用户组helloer，x是密码段，表示没有设置密码，GID是503,helloer用户组下包括GID为503的用户，可以通过/etc/passwd查看；

而/etc/passwd 对应的相关的记录为：

root:x:0:0:root:/root:/bin/bash

beinan:x:500:500:beinan sun:/home/beinan:/bin/bash

linuxsir:x:505:502:linuxsir open,linuxsir office,13898667715:/home/linuxsir:/bin/bash

helloer:x:502:503::/home/helloer:/bin/bash

由此可以看出helloer用户组包括 helloer用户；所以我们查看一个用户组所拥有的用户，可以通过对比/etc/passwd和/etc/group来得到；

/etc/gshadow

/etc/gshadow是/etc/group的加密资讯文件，比如用户组（Group）管理密码就是存放在这个文件。/etc/gshadow和/etc/group是互补的两个文件；对于大型服务器，针对很多用户和组，定制一些关系结构比较复杂的权限模型，设置用户组密码是极有必要的。比如我们不想让一些非用户组成员永久拥有用户组的权限和特性，这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性，这时就要用到用户组密码；
/etc/gshadow 格式如下，每个用户组独占一行；

groupname:password:admin,admin,...:member,member,...

第一字段：用户组

第二字段：用户组密码，这个段可以是空的或!，如果是空的或有!，表示没有密码；

第三字段：用户组管理者，这个字段也可为空，如果有多个用户组管理者，用,号分割；

第四字段：组成员，如果有多个成员，用,号分割；

举例：

beinan:!::linuxsir

linuxsir:oUS/q7NH75RhQ::linuxsir

第一字段：这个例子中，有两个用户组beinan用linuxsir

第二字段：用户组的密码，beinan用户组无密码；linuxsir用户组有已经，已经加密；

第三字段：用户组管理者，两者都为空；

第四字段：beinan用户组所拥有的成员是linuxsir ，然后还要对照一下/etc/group和/etc/passwd 查看是否还有其它用户，一般默认添加的用户，有时同时也会创建用户组和用户名同名称； linuxsir 用户组有成员linuxisir ；

如何设置用户组的密码？ 我们可以通过 gpasswd 来实现；不过一般的情况下，没有必要设置用户组的密码；不过自己实践一下也有必要；下面是一个为linuxsir用户组设置密码的例子；

gpasswd 的用法： gpasswd 用户组

root@localhost ~]# gpasswd linuxsir

正在修改 linuxsir 组的密码

新密码：

请重新输入新密码：

用户组之间的切换，应该用 newgrp ，这个有点象用户之间切换的su ；我先举个例子：

[beinan@localhost ~]$ newgrp linuxsir

密码：

[beinan@localhost ~]$ mkdir lingroup

[beinan@localhost ~]$ ls -ld lingroup/

drwxr-xr-x 2 beinan linuxsir 4096 10月 18 15:56 lingroup/

[beinan@localhost ~]$ newgrp beinan

[beinan@localhost ~]$ mkdir beinangrouptest

[beinan@localhost ~]$ ls -ld beinangrouptest

drwxrwxr-x 2 beinan beinan 4096 10月 18 15:56 beinangrouptest

说明：我是以beinan用户组切换到linuxsir用户组，并且建了一个目录，然后再切换回beinan用户组，又建了一个目录，请观察两个目录属用户组的不同；还是自己体会吧；

GID

GID和UID类似，是一个正整数或0，GID从0开始，GID为0的组让系统付予给root用户组；系统会预留一些较靠前的GID给系统虚拟用户（也被称为伪装用户）之用；每个系统预留的GID都有所不同，比如Fedora
预留了500个，我们添加新用户组时，用户组是从500开始的；而Slackware
是把前100个GID预留，新添加的用户组是从100开始；查看系统添加用户组默认的GID范围应该查看 /etc/login.defs 中的
GID_MIN 和GID_MAX 值；

我们可以对照/etc/passwd和/etc/group 两个文件；我们会发现有默认用户组之说；我们在 /etc/passwd 中的每条用户记录会发现用户默认的GID ；在/etc/group中，我们也会发现每个用户组下有多少个用户；在创建目录和文件时，会使用默认的用户组；我们还是举个例子；

比如我把linuxsir 加为root用户组，在/etc/passwd 和/etc/group 中的记录相关记录为：

linuxsir用户在 /etc/passwd 中的记录；我们在这条记录中看到，linuxsir用户默认的GID为502；而502的GID 在/etc/group中查到是linuxsir用户组；

linuxsir:x:505:502:linuxsir open,linuxsir office,13898667715:/home/linuxsir:/bin/bash

linuxsir 用户在 /etc/group 中的相关记录；在这里，我们看到linuxsir用户组的GID 为502，而linuxsir 用户归属为root、beinan用户组；

root:x:0:root,linuxsir

beinan:x:500:linuxsir

linuxsir:x:502:linuxsir

我们用linuxsir 来创建一个目录，以观察linuxsir用户创建目录的权限归属；

[linuxsir@localhost ~]$ mkdir testdir

[linuxsir@localhost ~]$ ls -lh

总用量 4.0K

drwxrwxr-x 2 linuxsir linuxsir 4.0K 10月 17 11:42 testdir

通过我们用linuxsir 来创建目录时发现，testdir的权限归属仍然是linuxsir用户和linuxsir用户组的；而没有归属root和beinan用户组，明白了吧；

但值得注意的是，判断用户的访问权限时，默认的GID 并不是最重要的，只要一个目录让同组用户可以访问的权限，那么同组用户就可以拥有该目录的访问权，在这时用户的默认GID 并不是最重要的；

相关操作

用户相关操作

创建新用户(useradd -m)

语法：useradd -m 新用户名 解释：创建新的用户名，-m 表示在/home 目录下会创建一个子目录，目录名与用户名相同 命令：
useradd -m user 创建新用户 user

在/etc/下的passwd文件最后添加一行  userx:1002:1003::/home/user:/bin/bash

用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell ​ ​ id XXX可以查看 XXX的id信息 ​ ​
useradd 选项 用户名 参数说明： 选项:
-c comment 指定一段注释性描述。
-d 目录 指定用户主目录，如果此目录不存在，则同时使用-m选项，可以创建主目录。
-g 用户组 指定用户所属的用户组。
-G 用户组，用户组 指定用户所属的附加组。
-s Shell文件 指定用户的登录Shell。
-u 用户号 指定用户的用户号，如果同时有-o选项，则可以重复使用其他用户的标识号。 用户名: 指定新账号的登录名。 ​ useradd –d /usr/sam -m sam
此命令创建了一个用户sam，其中-d和-m选项用来为登录名sam产生一个主目录/usr/sam（/usr为默认的用户主目录所在的父目录）。

设置用户新密码【passwd】 注意：root 是超级管理员，提示符：# ​ user 是普通用户，提示符：$ 语法： passwd 用户名
解释：为新创建的用户设置一个至少 8 位数的密码 命令： passwd user 设置用户 user 的新密码 ​
******** 密码设置不会回显

注意： root 是超级管理员，提示符：# user 是普通用户，提示符：$

passwd 选项 用户名 可使用的选项：
-l 锁定口令，即禁用账号。
-u 口令解锁。
-d 使账号无口令。
-f 强迫用户下次登录时修改口令。 ​
passwd -d sam 此命令将用户sam的口令删除，这样用户sam下一次登录时，系统就不再询问口令。
passwd -l sam
此命令将用户sam的口令锁定，使其不能登录 Linux系统都把加密后的口令字分离出来，单独存放在一个文件中
(/etc/shadow文件)。 有超级用户才拥有该文件读权限，这就保证了用户密码的安全性。
登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志

设置用户新密码(passwd)

注意：root 是超级管理员，提示符：# ​ user 是普通用户，提示符：$ 语法： passwd 用户名
解释：为新创建的用户设置一个至少 8 位数的密码 命令： passwd user 设置用户 user 的新密码 ​
******** 密码设置不会回显 ​ ​ 注意： root 是超级管理员，提示符：# ​ user 是普通用户，提示符：$ ​ ​ passwd 选项 用户名 ​ 可使用的选项：
-l 锁定口令，即禁用账号。
-u 口令解锁。
-d 使账号无口令。
-f 强迫用户下次登录时修改口令。 ​
passwd -d sam 此命令将用户sam的口令删除，这样用户sam下一次登录时，系统就不再询问口令。 passwd -l sam
此命令将用户sam的口令锁定，使其不能登录
Linux系统都把加密后的口令字分离出来，单独存放在一个文件中 (/etc/shadow文件)。 有超级用户才拥有该文件读权限，这就保证了用户密码的安全性。
登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志

修改用户名(usermod)

语法：usermod -l 新用户名 旧用户名 解释：修改旧用户名为新用户名，但该用户所在组名不变 你可以使用新用户名登录
Linux，但旧用户名就不能再登录 Linux 了。 ​
命令： usermod -l newuser user 修改 user 用户名为
newuser 用户名 ​ 当前使用的用户不能修改用户名 ​ 查看当前系统登录用户：W ​ 先用“who”命令查询当前登录的用户 ​
然后用“ps -u 用户名”命令查看该用户的pid ​ 再使用“kill pid”命令，杀掉他的sshd或者是shell进程

删除用户(userdel -r)

语法：userdel [参数] 用户名 解释：删除用户
1.[无] 只删除用户，不删除/home/用户名目录。
2.-r 既删除用户，又删除/home/用户名目录。 命令： userdel newuser userdel -r newuser

用户组操作

创建新用户组(groupadd)

语法：groupadd 新用户组名 ​ 解释：创建新的用户组 新组的组标识号是在当前已有的最大组标识号的基础上加1。 ​ 命令：
groupadd usergroup 创建新用户组 usergroup ​ 在/etc/下的group文件最后添加一行

 usergroup:x:1004:   1004位置上的数字表示用户组的ID(标识号) ​

用户组的所有信息都存放在/etc/group文件中。 组名:口令:组标识号:组内用户列表 ​ ​ ​ groupadd 选项 用户组
可以使用的选项有：
-g GID 指定新用户组的组标识号（GID）。
-o 一般与-g选项同时使用，表示新用户组的GID可以与系统已有用户组的GID相同。 ​ roupadd -g 101 group2 此命令向系统中增加了一个新组group2，同时指定新组的组标识号是101

修改用户组名(groupmod -n)

语法：groupmod -n 新用户组名 旧用户组名
解释：修改旧用户组名为新用户组名 ​ -n 设置新用户组名 ​
命令： groupmod -n newusergroup usergroup 将用户组名 usergroup 修改为 newusergroup

将用户添加用户组中(usermod -g)

语法：usermod -g 用户组名 用户名 解释：将用户添加到用户组中去 ​
解释：-g 修改用户所属的用户组
命令： usermod -g newusergroup newuser 将 newuser 用户添加到 newusergroup 用户组中

删除用户组(groupdel)

语法：groupdel 用户组 解释：删除用户组 ​
注意：只能删除空用户组，如果用户组中有用户，则不能删除。
命令：
groupdel
newusergroup

为普通用户配置sudo权限

在/etc/sudoers 文件中找到 root 这一行，在下面添加一行，内容如下，保存并退出 ​ 不一定修改成功。
sudo，可以理解为超级管理员执行的操作， 通常是系统级别的指令，只有超级管理员才有这个权限。 ​
如果一个普通用户想执行超级管理员的系统级别的指令，如创建新用户等，那是不可能的。 除非超级管理员授予普通用户 sudo 权限。 ​
下面我们就来让超级管理员 root 授予普通用户 user 的 sudo 权限。 ​ 以 root 超级管理员登录，
输入：vi
/etc/sudoers这是一个只读文件。 ​ 在/etc/sudoers 文件中找到 root 这一行， root ALL=(ALL)
ALL 在下面添加一行，内容如下，保存并退出不一定修改成功。 user ALL=(ALL) ALL

查询命令的帮助：man命令

如：man ls

1）管理用户（user）的工具或命令； ​ useradd 注：添加用户 adduser 注：添加用户 passwd
注：为用户设置密码 usermod 注：修改用户命令，可以通过usermod 来修改登录名、用户的家目录等等； pwcov
注：同步用户从/etc/passwd 到/etc/shadow pwck
注：pwck是校验用户配置文件/etc/passwd 和/etc/shadow 文件内容是否合法或完整； pwunconv
注：是pwcov 的立逆向操作，是从/etc/shadow和 /etc/passwd 创建/etc/passwd ，然后会删除
/etc/shadow 文件； finger 注：查看用户信息工具 id
注：查看用户的UID、GID及所归属的用户组 chfn 注：更改用户信息工具 su
注：用户切换工具 sudo 注：sudo 是通过另一个用户来执行命令（execute a command as
another user），su 是用来切换用户，然后通过切换到的用户来完成相应的任务，但sudo 能后面直接执行命令，比如sudo
不需要root 密码就可以执行root 赋与的执行只有root才能执行相应的命令；但得通过visudo
来编辑/etc/sudoers来实现； visudo 注：visodo 是编辑 /etc/sudoers
的命令；也可以不用这个命令，直接用vi 来编辑 /etc/sudoers 的效果是一样的； sudoedit 注：和sudo 功能差不多；
​ ​ 2）管理用户组（group）的工具或命令； ​ groupadd 注：添加用户组； groupdel
注：删除用户组； groupmod 注：修改用户组信息 groups 注：显示用户所属的用户组 grpck ​
grpconv 注：通过/etc/group和/etc/gshadow 的文件内容来同步或创建/etc/gshadow
，如果/etc/gshadow 不存在则创建； ​ grpunconv 注：通过/etc/group 和/etc/gshadow
文件内容来同步或创建/etc/group ，然后删除gshadow文件