账户与安全

1 用户及组管理

1、

UID：用户ID

GID：组ID

ID：1-999为系统保留ID，1000及以上为普通用户ID ，0为超级管理员ID

2、创建用户

只能在超级管理员（root权限）下建立新的用户

1.1

useradd （用户名）  创建新用户（=adduser）

-c：设置账号的描述信息，一般为账号的全称

-d：设置账号的家目录，默认为/home/用户名

-e：设置账号的失效日期，格式为YYYY-MM——DD

-g：设置账户的基本组

-G：设置账户的附加组，多个附加组用逗号隔开

-M：不创建账号的家目录，一般与-s结合使用

-s：审核账户的登录Shell，默认为bash

-u：指定账户的UID

例如：

useradd Frank    创建普通账户Frank，以及对应的组

1.2

groupadd  （=addgroup）

描述：创建组用户

用法：groupadd（选项）组名称

选项：-g          设置组ID号

例如：

    groundadd tom       创建tom组

    addgroup -g 1000 jerry         创建GIO为1000的组jerry

1.3

id

描述：显示账户及组信息

例如：id root      查看root账户及组信息

 

2 修改账户及组

2.1.passwd

描述：更新账号认证信息

用法：passwd(选项）（账户名称）

选项：-l    锁定账户，仅root可以使用此选项

          --stdin    从文件或者管道读取密码

          -u    解锁账户

          -d    快速清空账号密码，仅root权限可以使用此选项

例如：passwd    为当前用户设置新密码

          当出现（current）UNIX password，输入原始密码以修改新密码

          当出现new password        ，输入新密码

          当出现Retype new password    ，再次输入密码进行确认

          当出现passwd;all authentication tokens updated successfully    信息修改成功。

例如

    passwd tom    指定修改tom的密码

                echo “qwer0987”| passwd --stdin tom    设置tom的密码为qwer0987

    passwd -l tom    锁定tom账户

    passwd -u tom    解锁账户tom

    passwd -d tom    清空tom的密码 ，此时无密码可登录系统

2.2 修改账户及组

usermod

描述：修改账户信息

用法：usermod（选项）账户名称

选项：

    -d    修改账户的家目录

    -e    修改账户失效日期

    -g    修改账户所属基本组    

    -G    修改账户所属附加组

    -s    修改账户登录的shell

    -u    修改账户的UID

例如：

usermod -d /home/tomcat tom    tom的家目录改为/home/tomcat，此目录必须要存在

usermod -e 2017-10-01 tom        修改tom的账户失效时间为2017-10-01

usermod -g mail tom                              修改tom的基本组为mail

usermod -G mail tom        修改ton的附加组为mail

usermod -s /bin/bash user2        修改user2的登录shell为bash

usermod -u 1001 tom        修改tom的UID为1001

 

3删除账户及组

3.1

userdel

描述：删除账户及相关文件

用法：userdel（选项）账户名称

选项：-r        删除账户及相关文件

例如：

    userdel tom    删除账户tom，但该账户的文件不删

    userdel -r tom    删除账户tom，并删除相应的家目录

3.2

groupdel

描述：删除组账户

例如：groupdel jerry    删除组jerry

3.4账户与组文件解析

 

4.1账户文件信息

保存位置：/etc/passwd

文件以冒号为分隔符，第一列为账户名称，第二列为密码占位符（ x

表示该账户需要密码才可以登录，为空时，账户无须密码即可登

录），第三列为账户 UID,第四列为 GID，第五列为账户附加基本信

息，一般存储账户名全称、联系方式等信息，第六列为账户家目录

位置，第七列为账户登录 Shell， /bin/bash 为可登录系统 Shell，

/sbin/nologin 表示账户无法登录系统。

4.2账户密码文件

账户密码信息被保存在/etc/shadow文件中

文件以冒号为分割符，第一列为账户名称，第二列为密码（账户未

设置密码时为！！，设置密码后加密显示， CentOS 7 默认采用

SHA-512 算法），第三列为上次修改密码的时间距离 1970 年 01 月

01 日有多少天（依次推算最后一次修改密码的日期），第四列为密

码最短有效天数（密码至少使用多少天， 0 代表无限制），第五列

密码最长有效天数（默认为 99999 天，可以理解为永不过期），第

六列为过期前的警告天数（默认过期前提前 7 天警告，但进入警告

日期后仍可以使用旧密码登录系统），第七列为密码过期后的宽限

天数（密码过期后，预留几天给账户修改密码，此时已无法使用旧

密码登录系统），第八列为账户失效日期（从 1970 年 01 月 01 日

起多少天后账户失效），第九列暂时保留未使用。

4.3组账户信息文件

组账户信息被保存在/etc/group 文件中，文件已冒号为分隔符，第一列为组账户名称，第二列为密码占位符，第三列为 GID，第四列为组成员信息（注意，这里仅显示附加成员，基本成员不显示）。

4.4组账户密码文件

组账户密码信息被保存在/etc/gshadow文件中，通过命令 cat/etc/gshadow 查看内容。

文件已冒号为分隔符，第一列为组账号名称，第二列为组密码（一般为组管理员密码），第三列为组管理员，第四列为组成员（与/etc/group 第四列相同）。通过<gpasswd 组名>的方式可以为组设置密码，通过<gpasswd -A账户名称 组账户名称>可以为组添加管理员。

通过<gpasswd 组名>的方式可以为组设置密码，通过<gpasswd -A账户名称 组账户名称>可以为组添加管理员。

例如：

gpasswd admin # 设置组密码

gpasswd -A mail admin # 将 mail 账户设置为组 admin 的管理员