从0开始学习Linux——用户管理
往期目录:
上节教程中我们学习了进程的管理,这节教程我们来学习用户管理。
一、基本概念
用户管理是系统管理员必备的技能之一。它包括添加、修改、删除用户以及管理用户组、权限等方面。
1、用户(User):
- 用户名(Username):用来标识用户的名称。
- UID(User ID):每个用户都有一个唯一的数字标识符。
- 主目录(Home Directory):用户登录后的默认目录。
- Shell:用户登录时启动的命令行界面或程序。
2、用户组(group):
- 主用户组(Primary Group):每个用户默认会有一个主组,主组通常与用户名相同。
- 附加用户组(Secondary Groups):用户可以属于多个附加组,通常用于管理权限。
3、权限(Permisssion):
Linux 使用文件权限来控制哪些用户和组可以访问特定的文件或目录:
- 读(r):可以查看文件内容。
- 写(w):可以修改文件内容。
- 执行(x):可以执行文件(如果文件是脚本或程序)。
二、用户管理
2.1 创建用户
我们可以使用useradd命令去创建用户。
useradd 用户名
上述命令会创建一个名为tom的用户。
当然useradd命令可以结合其它参数去创建更为详细的用户信息,常见参数如下所示:
- -d:指定用户的主目录
- -m:如果用户主目录不存在则自动创建
- -s:指定用户登录的shell
- -g:指定用户的主用户组
- -G:指定用户的附加用户组
上图中的命令执行以后就会去创建一个jeffrey的用户,并且指定/home/jeffrey/目录为jeffery用户的主目录,若我们不去指定,系统也会自动创建,只是目录名称和用户名保持一致,对于用户组我们没有指定的话默认用户组和用户名同名,同时我们给jeffery登录的shell指定为bash,当然我们不去指定系统分配的默认值也是bash。
补充:
在 CentOS 7 中,shell 是一个用户与操作系统之间的交互界面,它充当了命令行解释器。用户通过shell输入命令,shell 将命令解析、执行并返回输出。CentOS 7 是基于 Red Hat Enterprise Linux (RHEL) 的 Linux 发行版,因此其shell也遵循了常见的 Linux 系统约定。
1、shell的功能
- 命令解释器:用户输入的命令通过 shell 进行解析,并将其传递给操作系统内核进行执行。
- 脚本编程:用户可以编写 shell 脚本来自动化执行任务。
- 管道与重定向:shell 支持管道 (
|
) 和重定向 (>
、<
) 来控制输入输出流的流向。- 环境管理:Shell 能够设置和管理环境变量,如
PATH
、HOME
、USER
等。2、常见的shell类型
- Bash (Bourne Again Shell):CentOS 7 默认的 shell,几乎所有的 Linux 系统都会使用它。它是基于传统的 Bourne Shell (sh) 的增强版,增加了许多功能,如命令补全、历史记录、变量支持、流程控制结构等。
- sh (Bourne Shell):最早的 Unix shell 之一,CentOS 7 中通常通过符号链接指向 bash。
- zsh (Z Shell):一个功能强大的 shell,提供了更多的功能,支持强大的自动补全和插件系统。
- tcsh (TENEX C Shell):一种基于 C shell 的增强版 shell,适合喜欢 C 语言风格语法的用户。
3、shell启动文件
在 CentOS 7 中,bash 会在启动时读取一系列配置文件来初始化环境和设置。常见的启动文件包括:
- /etc/profile:全局配置文件,为所有用户提供初始化环境设置。
- ~/.bash.profile:用户级别的配置文件,通常用于设置用户特定的环境变量和启动程序。
- ~/.bashrc:每次启动一个新的 shell 会话时读取的配置文件,常用于设置别名、函数和 shell 选项。
- /etc/bashrc:系统级别的 bashrc 文件,影响所有用户。
2.2 设置用户密码
我们在创建好用户以后需要给用户设置密码。
对于密码的设置我们可以使用passwd命令。
passwd 用户名
上述命令在执行的时候说我们输入的密码过于简单,因为我设置的密码是”123456“不符合字典要求。
当然我们也可以不去管它,继续输入刚才我们输入的密码,也是可以成功的。
注意:我们在修改密码时要输入两次,第一次输入密码,第二次重复第一次输入的密码。
这里我们无视系统的提示密码也是可以修改成功的,到此为止jeffery用户的密码就是”123456“。
密码修改成功以后我们可以使用ssh命令去检查一下或者使用XSHELL工具用jeffery账户去登录Linux系统,看是否能够登录成功。
补充:
Linux启用了密码强度检查,以确保密码的复杂性足够强。
Linux 系统可能会要求密码至少包含以下内容:
- 大写字母(A-Z)
- 小写字母(a-z)
- 数字(0-9)
- 特殊字符(例如
!
,@
,#
,$
等
当然我们也可以去更改密码策略文件。
系统密码策略通常由/etc/security/pwquality.conf文件进行控制。
该文件中一些常见的选项如下所示:
- minlen:设置最小密码长度。
- minclass:设置密码必须包含多少种不同类型的字符(大写字母、小写字母、数字、特殊字符)。
- maxrepeat:允许的最大重复字符数。
2.3 查看用户信息
id 用户名
2.4 修改用户属性
我们可以使用usermod命令来修改用户的属性,包括用户名、主目录、默认 shell 等。
usermod命令常见参数如下所示:
- -d:新的用户主目录
- -e:新的过期日期
- -f:指定日期后密码失效
- -g:指定新的主用户组
- -G:指定新的附加用户组
- -l:新的登录名称
- -L:锁定用户账号
- -U:解锁用户账号
- -u:新的用户uid
- -p:修改密码
- -s:新的用户登录shell类型
修改用户信息除了用usermod命令也可以用其它命令。
修改用户主目录
usermod -d 新的用户主目录 -m 用户名
配置用户的默认shell
chsh或usermod -s shell路径 用户名
查看用户账户的密码过期信息
chage -l username
设置用户账户的过期日期
chage -E YYYY-MM-DD 用户名
2.5 删除用户
对于用户的删除我们可以使用userdel命令来完成。
当然如果我们要强制删除一个用户可以加上-r参数。
userdel 用户名
userdel -r 用户名
三、用户组管理
上述我们在创建和修改用户信息的时候提到了用户组这个概念,那么什么是用户组呢?
3.1 概念
用户组 是 Linux 系统中的一种重要的权限管理机制,它可以将多个用户组织到一起,从而允许对这些用户进行统一的管理。每个用户可以属于一个或多个用户组,而每个用户组通常用于控制用户对文件和资源的访问权限。
用户组的几个概念如下所示:
- 组名:每个用户组有一个名称,用来标识该组。
- 组ID(GID):每个用户组有一个唯一的组ID(Group ID),类似于用户ID(UID)。该ID用于系统内部标识该组。
- 用户与组的关系:每个用户至少属于一个用户组,用户可以通过用户组来管理访问权限。一个用户也可以是多个用户组的成员。
3.2 用户组的必要性
简化权限管理
用户组可以帮助系统管理员以更高效的方式管理权限。例如,如果有一组用户都需要访问同一个资源,管理员可以将这些用户放入同一个用户组,并为该组设置访问权限。这样就不需要单独为每个用户配置权限,从而简化了管理工作。例如,假设有三个用户user1、user2和user3需要访问一个特定的文件夹,那么可以将这三个用户都加入同一个用户组(比如group1),然后设置该组对文件夹的读写权限,所有组内用户都能继承该权限。
增强安全性
通过合理使用用户组,系统管理员能够更容易地控制谁可以访问哪些资源。每个用户组可以有不同的访问权限,确保只有授权的用户可以访问敏感信息。例如,某些文件或目录可以设置只允许特定用户组(如管理员组)访问,而其他用户组则无法访问。
便于管理和维护
当用户人数较多时,逐个管理用户的权限非常繁琐。使用用户组可以将相同权限需求的用户集中管理。例如,某些用户可能只需要读取文件,而另一些用户则需要修改文件。通过创建不同的用户组(如只读组和读写组),管理员可以根据不同的工作需求将用户分配到相应的组中,从而使权限管理更加高效。
方便软件与服务的权限控制
许多软件和服务(如Web服务器、数据库、应用程序等)在运行时会用到用户组权限。例如,Apache HTTP 服务器可能会以某个特定用户组运行,为了让该服务能够访问指定的文件,管理员可以将该服务的运行用户添加到相关的用户组中,进而授权访问相应的资源。
防止资源冲突
通过合理的用户组管理,管理员可以防止不同用户之间对同一资源的访问冲突。如果用户之间的权限和访问控制设计不当,可能会导致一些问题,比如多个用户同时修改同一个文件。通过将具有相似访问需求的用户组织到一个用户组内,可以减少这类问题的发生。
3.3 创建用户组
groupadd命令可以用于创建一个新的用户组。
groupadd 用户组名称
我们使用groupadd命令创建好用户组以后就会在/etc/group文件里面创建添加对应的值。
上述文件中存储的用户组的格式是group_name:x:GID:user1,user2,user3,它的含义为:
- group_name:组名
- x:密码字段,通常不使用
- GID:用户组id
- user:属于该用户组的用户
3.4 用户添加到用户组
如果我们想要将某个用户添加到指定的用户组,我们可以使用usermod命令,这个命令前面我们已经了解过了。
usermod -aG 用户组名 用户
上述命令中的两个参数-a和-G的含义如下所示:
- -a:表示追加(附加)到组,而不会将用户从其他组中移除。
- -G:表示指定要添加的组名。
3.5 删除用户组
如果我们想要删除某个用户组,可以使用groupdel命令。
groupdel 用户组名
3.6 查看用户组信息
查看某个用户所属的用户组
groups 用户名
查看某个用户组有哪些用户
getent group 用户组名
四、sudo命令
4.1 简介
sudo是 SuperUser Do 的缩写,它是一种用于以管理员权限执行命令的工具。通过sudo,用户能够执行需要 root 权限的操作,而不需要切换到 root 用户。使用sudo可以减少误操作的风险,因为普通用户仅能执行被授权的命令。
4.2 sudo工作原理
-
用户验证: 每次使用sudo时,系统会要求用户输入自己的密码,而不是 root 用户的密码。系统会验证该用户是否有权限使用sudo执行指定的命令。
-
权限配置: sudo的权限配置通常存储在/etc/sudoers文件中。该文件定义了哪些用户或用户组可以使用sudo,以及他们可以执行哪些命令。
-
执行命令: 如果用户有权限,sudo会以 root 用户的身份执行命令。命令执行完成后,用户返回到原始权限状态。
4.3 sudo操作
【sudo安装】
在Centos7系统上一般默认是安装了sudo命令。
如果没有安装可以使用下述命令进行安装。
su -c "yum install sudo"
【sudo命令】
sudo 其它命令
【sudo常见权限】
sudo命令常见选项如下所示:
- -u:以其他用户身份运行命令
- -i:以交互模式运行一个新的 shell(模拟登录)
- -s:执行指定的命令并启动一个 shell
- -l:列出当前用户的sudo权限
- -k:清除缓存的时间戳
- -v:延长密码的有效时间
这里我们简单举两个例子:
4.4 sudo权限配置
前面的教程我都是使用的是root账号进行操作,现在我切换为上述创建的tom用户。
假设现在我们以tom的身份要去关闭防火墙服务。
上述命令执行以后,说权限不够需要认证,因此我们先要输入root账号的密码。
既然权限不够那么我们就使用sudo命令去执行。
上述命令执行完成以后,我们需要输入tom账户的命令,然后提示tom用户没有在sudoer文件里面。
那么这到底是怎么回事呢?
这是因为sudo的权限配置通常存储在/etc/sudoers文件中。该文件定义了哪些用户或用户组可以使用sudo,以及他们可以执行哪些命令。
因此我们需要先用root账户去修改/etc/sudoers文件。
注意:为了安全起见,应该使用visudo命令编辑/etc/sudoers文件。visudo会自动检查语法错误,并且在编辑时锁定文件,以防止多用户同时编辑,当然你想要用文本编辑工具去编辑/etc/sudoers文件也可以。
这里为了安全我们直接在root账户下使用visudo命令去执行编辑。
visudo
注意:这里直接输入visudo命令即可,执行后就会帮我们打开/etc/sudoers文件,具体操作和前面学习的vi/vim文本编辑器类似。
/etc/sudoers文件中的每一行的格式通常如下所示:
<user> <hostname> = (<runas_user>) <commands>
上述命令中的各个参数含义如下所示:
- user:用户名,指明要配置权限的用户名。
- hostname:此规则所适用的主机。
- runas_user:指定user用户可以使用sudo以哪些身份运行命令。
- commands:指明user用户使用sudo可以执行的命令。
假设这里我们要给tom配置sudo权限。
上述配置表示tom使用sudo时拥有和root相同的权限。
当然我们也可以只给tom配置指定的sudo权限,例如只允许tom用户以sudo去执行yum和ls命令。
tom ALL=(ALL) /usr/bin/yum, /bin/ls
配置完成以后我们就可以保存退出。
注意:我们在保存退出的时候一定要强制保存退出即在命令行模式下执行wq!命令。
接下来我们就来检验一下tom用户是否拥有sudo权限以及拥有哪些权限。
sudo -l -U tom
现在我们切换为tom账户,然后看下能不能使用sudo去操作防火墙服务。
现在我们可以看出此时tom用户可以去执行防火墙服务了。
我们在执行上述sudo命令的时候我们可以发现,执行sudo命令需要输入用户的密码,那么能不能不输入密码直接执行sudo命令呢?
答案是当然可以的,我们只需要去修改/etc/sudoers文件即可。
tom ALL=(ALL) NOPASSWD: ALL
修改以后我们再来以tom身份去操作防火墙服务。
修改以后我们就可以发现,此时执行sudo命令就不需要输入tom用户的密码了。
注意:我们在给用户配置sudo权限和免密的时候一定要慎重要根据业务需求来,一定要确保账户和系统的安全,如果可能的话,使用最小权限原则,即只授予 tom
必需的命令权限。
五、su命令
我们在日常操作过程中可能会出现一个场景:同时操作几个账户,按照前面教程的做法,我们需要重新开个系统登录账户或者使用XSHELL重新构建一个会话。这样操作就很麻烦,那么能不能再一个会话或者一个系统中进行账号的自由切换呢?答案当然是可以的。
su(substitute user)是一个允许你以不同用户身份登录系统的命令。它通常用于切换到 root 用户或者其他普通用户。
su - 用户名
注意:当我们不去指明用户名的时候默认切换到root账号。
su 用户名
当我们使用"su 用户名"的时候,若用户名是root,那么就需要输入密码,若不是root则不需要输入密码。
“su - 用户名”命令和“su 用户名”命令都可以切换用户,那么它们之间有啥区别呢?
特性 | su 用户名 | su - 用户名 |
---|---|---|
切换用户身份 | 是 | 是 |
切换工作目录 | 保持当前目录(原用户目录) | 切换到指定用户的家目录(/home/用户名) |
加载环境变量 | 否 | 是 |
加载用户配置文件 | 否(不会加载.bash_profile) | 是(会加载.bash_profile 或.bashrc) |
行为模拟 | 不完全模拟登录 | 完全模拟登录,类似登录到用户的 shell |
su命令常见选项如下所示:
-
-:加载目标用户的环境。
-
-c:执行一条命令后退出。例如,我们要以 root 身份执行某个命令而不切换整个用户。
su -c 'ls /root'
这个命令会以 root 用户身份执行ls /root,并显示 /root 目录下的内容,然后退出 root 用户。
上述我们讲解sudo命令的时候,讲解过sudo -u命令可以实现以某个身份执行命令,那么它们之间的区别如何呢?
- su:直接切换到目标用户,通常需要输入目标用户的密码(尤其是 root)。如果使用 su -,会加载目标用户的环境。
- sudo:允许你以特定用户(通常是 root)的身份执行命令,而不需要切换用户。你只需要输入自己的密码,而不是目标用户的密码。
但是更多的时候我们可以选择使用sudo命令,理由如下:
- 安全性:sudo只授权执行特定的命令,而不是完全切换用户。这可以减少潜在的安全风险。
- 日志记录:sudo会记录执行的命令和操作,而su通常不会。管理员可以通过查看 sudo/var/log/auth.log来了解用户的活动。
- 灵活性:通过sudo,你可以精确控制哪些用户能够执行哪些命令,这为系统管理提供了更高的灵活性和可控制性。
本节教程内容就到这里,更多内容在后续教程中讲解。
原文地址:https://blog.csdn.net/diamond_5446/article/details/143684339
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!