linux那点事儿(五)----用户管理常用命令
来源:岁月联盟
编辑:exp
时间:2012-05-14
linux那点事儿(五)----用户管理常用命令 用户组权限实例 先直接抛一个需求出来吧!先步骤完成了,后面再分析。授权用户 chongshi 和 bugmaster 对目录/cnblogs有写权限创建目录 www.2cto.com [root@localhost hzh]# mkdir /cnblogs 创建目录[root@bogon hzh]# ls -ld /cnblogs 查看目录drwxr-xr-x 2 root root 4096 5月 10 23:20 /cnblogs 添加两个用户并设置密码[root@bogon hzh]# useradd chongshi 创建用户[root@bogon hzh]# passwd chongshi 设置密码Changing password for user chongshi.New UNIX password:BAD PASSWORD: it is based on a dictionary wordRetype new UNIX password:passwd: all authentication tokens updated successfully.[root@bogon hzh]# useradd bugmaster[root@bogon hzh]# passwd bugmasterChanging password for user bugmaster.New UNIX password:BAD PASSWORD: it is based on a dictionary wordRetype new UNIX password: www.2cto.com passwd: all authentication tokens updated successfully. 添加一个组[root@bogon hzh]# groupadd testing 创建组[root@bogon hzh]# grep testing /etc/group 查看组信息testing:x:506: 将用户添加到组中[root@bogon hzh]# usermod -G testing chongshi 用户chongshi添加到组testing[root@bogon hzh]# gpasswd -a bugmaster testing 用户bugmaster添加到组testingAdding user bugmaster to group testing注意:上面两种方式不同,但作用是一样的,都是将用户添加到组中。[root@bogon hzh]# grep testing /etc/group 查看组中成员testing:x:506:chongshi,bugmaster 我们知道,组有什么样的权限,组中成员也有什么样的权限。设置cnblogs目录的所属组为testing[root@bogon hzh]# chgrp testing /cnblogs 将/cnblogs目录的所属组改为testing[root@bogon hzh]# ls -ld /cnblogs 查看目录所属组drwxr-xr-x 2 root testing 4096 5月 10 23:20 /cnblogs 对组加写权限[root@bogon hzh]# chmod g+w /cnblogs 对组加写权限[root@bogon hzh]# ls -ld /cnblogs 查看组对目录的权限drwxrwxr-x 2 root testing 4096 5月 10 23:20 /cnblogs现在用户chongshi和bugmaster已经对/cnbogs已经有写权限[root@bogon hzh]# su -- chongshi 切换用户[chongshi@bogon hzh]$ touch /cnblogs/abc 创建文件,(可以成功在目录下创建文件,说明对本目录具有写权限) 用户常用操作命令 添加一个用户添加用户稍微复杂一些,我们先来看一下,添加用户都有那些选项root@fnngj-virtual-machine:/# useradd -DGROUP=100 www.2cto.com HOME=/homeINACTIVE=-1EXPIRE=SHELL=/bin/shSKEL=/etc/skelCREATE_MAIL_SPOOL=no 参数详解:-u:UID-g:缺省所属用户组GID-G:指定所属多个组-d:宿目录-s:命令解释器Shell-c:描述信息-e:指定用户失效时间例子:root@fnngj-virtual-machine:/# useradd -u 1888 -g webadmin -G sys,root -s /bin/bash -c "market lisi" -e 2012-12-12 jack 添加用户到组usermod -G [组名] [用户名]root@fnngj-virtual-machine:/# usermod -G webadmin tomroot@fnngj-virtual-machine:/# grep webadmin /etc/groupwebadmin:x:1001:tom 修改用户名 usermod -l [新用户名] [旧用户名]修改用户与添加用户时的内容基本相同,但多了一个修改用户的选项。root@fnngj-virtual-machine:/# usermod -l tom jack 把jack改为tom 删除用户userdel -r [用户名]-r:删除用户组手工删除:使用find命令查找属于某个用户或用户组的文件find选项 -user、-uid、-group、-gid、1、对需要保留的文件进行移动和备份2、对不需要的文件进行删除3、清除用户文件中的相关表项4、清除用户宿主目录[root@bogon /]# find /home -user fnngj/home/fnngj www.2cto.com /home/fnngj/.bashrc/home/fnngj/.bash_profile/home/fnngj/.gtkrc/home/fnngj/.bash_history/home/fnngj/.bash_logout可以对查找出来的用户信息判断需要干掉哪些。 用户信息查看命令 pwck 检测/etc/passwd文件检测用户的设置文件是否正常。直接输入命令,后面不用带参数vipw 编辑/etc/passwd文件这个命令与vi最大的区别就是编辑的时候锁定文件。如果多人对passwd文件 都有编辑权限,那么多人同时编辑就会造成混乱。使用vipw编辑passwd文件时,别 人就无法打开passwd文件。 id 查看用户ID和组信息,直接输入命令,后面不用带参数[root@bogon fnngj]# iduid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6 (disk),10(wheel) context=root:system_r:unconfined_t finger 查看当前用户的登录信息finger [用户名] 查看某个用户的详细信息。[root@bogon fnngj]# fingerLogin Name Tty Idle Login Time Office Office Phoneroot root pts/1 May 13 14:57 (192.168.203.1)[root@bogon fnngj]# finger rootLogin: root Name: root www.2cto.com Directory: /root Shell: /bin/bashOn since 日 5月 13 14:57 (CST) on pts/1 from 192.168.203.1New mail received 日 5月 6 11:00 2012 (CST)Unread since 三 2月 22 20:40 2012 (CST)No Plan. su [用户名] 切换用户(su- 环境变量切换)su - [用户名] 切换的时候也会把环境的时候也会切换环境变量[root@bogon /]# su fnngj[fnngj@bogon /]$ echo $PATH/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/home/fnngj/bin[fnngj@bogon /]$ su rootPassword:[root@bogon /]# su - fnngj[fnngj@bogon ~]$ echo $PATH/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin:/home/fnngj/bin passwd -S [用户名] 查看用户密码状态[root@bogon fnngj]# passwd -S fnngjPassword set, MD5 crypt. who、w 查看当前登录用户信息[fnngj@bogon ~]$ whoroot pts/1 May 13 14:57 (192.168.203.1)[fnngj@bogon ~]$ w15:11:29 up 54 min, 1 user, load average: 0.00, 0.00, 0.00USER TTY FROM LOGIN@ IDLE JCPU PCPU WHATroot pts/1 192.168.203.1 14:57 0.00s 0.84s 0.01s w 用户禁用与恢复 禁用和恢复用户当一个用户在操作的时候经常有违规操作或近期一段时间不用,我们可以对这 个用户进行锁定。就像你的游戏账号发生异常被禁用一样。-----------------------------------禁用#usermod -L username#passwd -l username恢复 www.2cto.com #usermod -U username#passwd -u username------------------------------------[root@bogon /]# passwd -l fnngj 禁用fnngj用户Locking password for user fnngj.passwd: Success[root@bogon /]# passwd -S fnngjPassword locked. 提示被禁用[root@bogon /]# passwd -u fnngj 密码解锁Unlocking password for user fnngj.passwd: Success.[root@bogon /]# passwd -S fnngjPassword set, MD5 crypt. 禁用原理:[root@bogon /]# grep fnngj /etc/shadowfnngj:$1$EudBseaZ$kw1S8ZS2dsvnJ83phhvQF0:15456:0:99999:7:::[root@bogon /]# passwd -l fnngjLocking password for user fnngj.passwd: Success[root@bogon /]# grep fnngj /etc/shadowfnngj:!!$1$EudBseaZ$kw1S8ZS2dsvnJ83phhvQF0:15456:0:99999:7::: 看到上面的操作,相信你已经明白了,当我禁用你的密码后,密码在shadwo文件中依然存在,只是前面多了两个叹号(!!),这样你肯定登录不了了,因为验证端改变了密码。当然,解锁之后,密码前面的两个叹号会去掉。 其实,我们知道了原理以后,完全可以不用通过命令,通过vi编辑文件,一样可以禁用用户。 用户组常用操作命令 先看一下组配置文件里都存放了哪些内容[root@bogon /]# more /etc/grouproot:x:0:root www.2cto.com bin:x:1:root,bin,daemondaemon:x:2:root,bin,daemonsys:x:3:root,bin,admadm:x:4:root,adm,daemontty:x:5:disk:x:6:rootlp:x:7:daemon,lpmem:x:8:kmem:x:9:wheel:x:10:rootmail:x:12:mailnews:x:13:newsuucp:x:14:uucpman:x:15:games:x:20:gopher:x:30:.................dialout:x:20:fnngjdialout 组名 用户登录时所在的组x 组密码 一般不用20 GID 组标识号 fnngj 组内用户列表 属于该组的所有用户列表 添加用户组 groupadd [用户组名]root@fnngj-virtual-machine:/# groupadd webadmin 添加一个组webadminroot@fnngj-virtual-machine:/# grep webadmin /etc/group 查看组信息webadmin:x:1001:我们在添加组的时候也可以指定好组的idroot@fnngj-virtual-machine:/# groupadd -g 8888 webadminroot@fnngj-virtual-machine:/# grep webadmin /etc/group webadmin:x:8888: www.2cto.com 删除用户组:groupdel [用户组名][root@bogon /]# groupdel webadmin 删除组webadmin 修改用户组信息groupmod -n [新组名] [旧组名][root@bogon /]# groupmod -n apache webadmin 修改组名webadmin为apache 用户组信息查看命令 groups 查看用户隶属于哪些用户组[root@bogon /]# groups fnngjfnngj : fnngjnewgrp 切换用户组[root@bogon /]# newgrp fnngj 不是组成员,知道组密码(如果有密码)一样可 以切换。grpck 用户组配置文件检测chgrp 修改文件所属组vigr 编辑/etc/group文件(锁定文件)与vipw用法一样,在编辑group文件时,禁止其他人编辑。防止多人写操作,造成写混乱。 用户组管理命令 gpasswd命令这个事所有linux都有的一个命令。先看一下都有哪些参数。root@fnngj-virtual-machine:/# gpasswdUsage: gpasswd [option] GROUPOptions: www.2cto.com -a, --add USER add USER to GROUP -d, --delete USER remove USER from GROUP -h, --help display this help message and exit -r, --remove-password remove the GROUP's password -R, --restrict restrict access to GROUP to its members -M, --members USER,... set the list of members of GROUP -A, --administrators ADMIN,... set the list of administrators for GROUPExcept for the -A and -M options, the options cannot be combined.上面的参数信息虽然事英文的,不解释了,相信你懂的。用法非常简单:root@fnngj-virtual-machine:/# gpasswd -a tom webadmin 添加用户到组root@fnngj-virtual-machine:/# gpasswd -d tom webadmin 把用户从组中删除root@fnngj-virtual-machine:/# gpasswd webadmin 给用户组设置密码root@fnngj-virtual-machine:/# gpasswd -A tom webadmin 将tom提升为组管理员root@fnngj-virtual-machine:/# gpasswd -r webadmin 删除组密码root@fnngj-virtual-machine:/# gpasswd -R webadmin 禁止其他用户切换到该组 作者 虫师
