用户配置文件和密码配置文件

用户配置文件

[root@centos-01 ~]# ls /etc/passwd/etc/passwd[root@centos-01 ~]# cat /etc/passwdroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinoperator:x:11:0:operator:/root:/sbin/nologingames:x:12:100:games:/usr/games:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologinsystemd-network:x:192:192:systemd Network Management:/:/sbin/nologindbus:x:81:81:System message bus:/:/sbin/nologinpolkitd:x:999:997:User for polkitd:/:/sbin/nologinpostfix:x:89:89::/var/spool/postfix:/sbin/nologinsshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologinchrony:x:998:996::/var/lib/chrony:/sbin/nologin

‘/etc/passwd’由‘:’分割成7个字段，每个字段的具体含义是：

1. 用户名（如第一行中的root就是用户名），代表用户账号的字符串。用户名字符可以是大小写字母、数字、减号（不能出现在首位）、点以及下划线，其他字符不合法。虽然用户名中可以出现点，但不建议使用，尤其是首位为点时，另外减号也不建议使用，因为容易造成混淆。
2. 存放的就是该账号的口令。早期的unix系统口令确实是存放在这里，但基于安全因素，后来就将其存放到‘/etc/shadow’中了，在这里只用一个‘x’代替。
3. 这个数字代表用户标识号，也叫做uid。系统识别用户身份就是通过这个数字来的，0就是root，也就是说你可以修改test用户的uid为0，那么系统会认为root和test为同一个账户。通常uid的取值范围是0~65535(但实际上已经可以支持到4294967294)，0是超级用户（root）的标识号，1~499由系统保留，作为管理账号，普通用户的标识号从500开始，如果我们自定义建立一个普通用户，你会看到该账户的标识号是大于或等于500的。
4. 表示组标识号，也叫做gid。这个字段对应着/etc/group中的一条记录，其实/etc/group和/etc/passwd基本上类似。
5. 注释说明，该字段没有实际意义，通常记录该用户的一些属性，例如姓名、电话、地址等等。不过，当你使用finger的功能时就会显示这些信息的。
6. 用户的家目录，当用户登录时就处在这个目录下。root的家目录是/root，普通用户的家目录则为/home/username，这个字段是可以自定义的，比如你建立一个普通用户test1，要想让test1的家目录在/data目录下，只要修改/etc/passwd文件中test1那行中的该字段为/data即可。
7. shell，用户登录后要启动一个进程，用来将用户下达的指令传给内核，这就是shell。Linux的shell有很多种sh、csh、ksh、tcsh、bash等，而Redhat/CentOS的shell就是bash。查看/etc/passwd文件，该字段中除了/bin/bash外还有/sbin/nologin比较多，它表示不允许该账号登录。如果你想建立一个账号不让他登录，那么就可以把该字段改成/sbin/nologin，默认是/bin/bash。

密码配置文件

[root@centos-01 ~]# ls /etc/shadow/etc/shadow[root@centos-01 ~]# cat /etc/shadowroot:$6$No.JB2wHarMNf3Sy$q9KcXnZ1V2.Pwfn6ZO79RjjrvkfGdJYJDcHlVmUj1lfwL7gRR3mgDq8hsFJjzaEiQrwHrl0FJvVJehs2p5gV0/::0:99999:7:::bin:*:17110:0:99999:7:::daemon:*:17110:0:99999:7:::adm:*:17110:0:99999:7:::lp:*:17110:0:99999:7:::sync:*:17110:0:99999:7:::shutdown:*:17110:0:99999:7:::halt:*:17110:0:99999:7:::mail:*:17110:0:99999:7:::operator:*:17110:0:99999:7:::games:*:17110:0:99999:7:::ftp:*:17110:0:99999:7:::nobody:*:17110:0:99999:7:::systemd-network:!!:17526::::::dbus:!!:17526::::::polkitd:!!:17526::::::postfix:!!:17526::::::sshd:!!:17526::::::chrony:!!:17526::::::

/etc/shadow这个文件，和/etc/passwd类似，用‘:’分割成9个字段。每个字段的含义是：

1. 用户名，跟/etc/passwd对应。
2. 用户密码，这个才是该账号的真正的密码，不过这个密码已经加密过了。所以，该文件属性设置为000，但是root账户是可以访问或更改的。
3. 上次更改密码的日期，这个数字是距离1970年1月1日到上次更改密码的天数。
4. 要过多少天才可以更改密码，默认是0，即不限制。
5. 密码多少天后到期，即在多少天内必须更改密码。默认是99999，可以理解为永远不需要改。
6. 密码到期前的警告期限，若这个值设置成7，则表示当7天后密码过期时，系统就发出警告告诉用户，提醒用户他的密码将在7天后到期。
7. 账号失效期限。如果设置这个值为3，则表示密码已经到期，然而用户并没有在到期前修改密码，那么再过3天，则这个账号就失效了，即锁定了。
8. 账号的生命周期，跟第三段一样，是按距离1970年1月1日多少天算的。它表示的含义是，账号在这个日期前可以使用，到期后账号作废。
9. 作为保留用的，没有什么意义。

用户组管理

用户组文件

[root@centos-01 ~]# ls /etc/group/etc/group[root@centos-01 ~]# cat /etc/grouproot:x:0:bin:x:1:daemon:x:2:sys:x:3:adm:x:4:tty:x:5:disk:x:6:lp:x:7:mem:x:8:kmem:x:9:wheel:x:10:cdrom:x:11:mail:x:12:postfixman:x:15:dialout:x:18:floppy:x:19:games:x:20:tape:x:30:video:x:39:ftp:x:50:lock:x:54:audio:x:63:nobody:x:99:users:x:100:utmp:x:22:utempter:x:35:ssh_keys:x:999:input:x:998:systemd-journal:x:190:systemd-network:x:192:dbus:x:81:polkitd:x:997:postdrop:x:90:postfix:x:89:sshd:x:74:chrony:x:996:slocate:x:21:

用户组密码文件

[root@centos-01 ~]# cat /etc/gshadowroot:::bin:::daemon:::sys:::adm:::tty:::disk:::lp:::mem:::kmem:::wheel:::cdrom:::mail:::postfixman:::dialout:::floppy:::games:::tape:::video:::ftp:::lock:::audio:::nobody:::users:::utmp:!::utempter:!::ssh_keys:!::input:!::systemd-journal:!::systemd-network:!::dbus:!::polkitd:!::postdrop:!::postfix:!::sshd:!::chrony:!::slocate:!::

---

[root@centos-01 ~]# ls /etc/shadowshadow   shadow-  [root@centos-01 ~]# ls /etc/gshadowgshadow   gshadow-  [root@centos-01 ~]# ls /etc/passwdpasswd   passwd-  [root@centos-01 ~]# ls /etc/groupgroup   group-

带’-’的文件，系统自动备份的文件，不小心删除时，可以拷贝回来。可能有新建用户的没有及时更新。

[root@centos-01 ~]# ls -l /etc/passwd*-rw-r--r--. 1 root root 846 12月 27 05:28 /etc/passwd-rw-r--r--. 1 root root 846 12月 27 05:28 /etc/passwd-

---

groupadd命令

语法：groupadd [-g GID] groupname

不加“-g”选项则按照系统默认的gid创建组，跟用户一样，gid也是从1000开始的。

• “-g”选项可以自定义gid。

groupdel命令

该命令没有特殊选项，但删除组中还有用户，需先删除用户后再删除该组。

useradd命令

语法：useradd [-u UID] [-g GID] [-d HOME] [-M] [-s] username

• ‘-u’：自定义UID
• ‘-g’：使其属于已经存在的某个组，后面可以跟组id, 也可以跟组名
• ‘-d’：自定义用户的家目录
• ‘-M’：不建立家目录
• ‘-s’：自定义shell

‘-g’选项后面跟一个不存在的gid会报错，提示该组不存在。‘-M’ 选项加上后则不建立用户家目录，但是在/etc/passwd文件中仍然有这个字段，这时使用ls查看一下该家目录会提示该目录不存在，所以‘-M’选项的作用只是不创建那个目录。

‘useradd’不加任何选项直接跟用户名，则会创建一个跟用户名同样名字的组。

userdel命令

语法：userdel [-r] username

‘-r’选项的作用只有一个，就是删除账户的时候连带账户的家目录一起删除。

usermod命令

用于修改用户的基本信息

语法：usermod [选项] username

usermod -g gid username

• ‘-u’：修改uid
• ‘-g’：修改gid
• ‘-d’：指定用户的家目录
• ‘-s’：指定用户的shell
• ‘-G’：修改用户所属的扩展组

id root查看root用户uid、gid、所属群组的ID（不仅包括gid，还包括扩展组）

[root@centos-01 ~]# id rootuid=0(root) gid=0(root) 组=0(root)

• ‘-L’：锁定用户密码
• ‘-U’：解除密码锁定

passwd命令

语法：passwd [username]

创建完账户后，默认是没有设置密码的，虽然没有密码，但该账户同样登录不了系统。只有设置好密码后方可登录系统。为用户创建密码时，为了安全起见，请尽量设置复杂一些。“passwd”后面不加username则是修改当前账户的密码。如果当前是root账户，后面可以跟普通账户的名字，意思是修改指定账户的密码。只有root才可以修该其他账户的密码，普通账户只能修改自己的密码，其他账户的密码是不可以修改的。

[root@centos-01 ~]# tail /etc/shadowoperator:*:17110:0:99999:7:::games:*:17110:0:99999:7:::ftp:*:17110:0:99999:7:::nobody:*:17110:0:99999:7:::systemd-network:!!:17526::::::dbus:!!:17526::::::polkitd:!!:17526::::::postfix:!!:17526::::::sshd:!!:17526::::::chrony:!!:17526::::::

两个叹号“!!”说明用户密码为空，此用户不能登录。星号“*”表示此用户密码被锁定，不能使用，同样无法登录。

• ‘-l’：锁定用户密码
• ‘-u’：解锁用户密码
• ‘--stdin’：This option is used to indicate that passwd should read the
  new password from standard input, which can be a pipe.

mkpasswd命令

生成随机密码，默认没有这个命令，需要安装一个包“expect”。

[root@centos-01 ~]# mkpasswd-bash: mkpasswd: 未找到命令[root@centos-01 ~]# yum install -y expect

默认是9位密码

[root@centos-01 ~]# mkpasswd9rv1yM~mH[root@centos-01 ~]# mkpasswd -l 122au6koOaqSe^[root@centos-01 ~]# mkpasswd -l 12 -s 3@:Ozudf2a(4W[root@centos-01 ~]# mkpasswd -l 12 -s 0d3ymVkze5Qcd

• ‘-l’：指定密码的长度
• ‘-s’：指定密码中特殊字符的位数

su命令

语法：su [-] username

使用whoami命令或者id命令查看当前用户

[root@centos-01 ~]# whoamiroot

su命令后面可以加‘-‘也可以不加，普通用户su不加username时就是切换到root用户，当然root用户同样可以su到普通用户。‘-‘ 这个字符的作用是，加上后会初始化当前用户的各种环境变量。

sudo命令

让普通用户临时以指定用户身份执行一条命令，通常情况是给普通用户授权root用户身份。

打开sudo配置文件

[root@centos-01 ~]# visudo

不建议直接用vi编辑/etc/sudoers文件，这种方式修改后不会检查错误。建议用visudo打开，这种方式会检测错误。

默认root能够sudo是因为/etc/sudoers文件中有一行“root ALL=(ALL) ALL”，在该行下面加入“test ALL=(ALL) ALL”，就可以让test用户拥有了sudo的权利。使用“visudo”命令编辑/etc/sudoers配置文件，它的操作方法和“vi”命令使用方法一样，按‘i’进入编辑模式，编辑完成后，按“Esc”，再输入”:wq”完成保存。

更多的示例，在/etc/sudoers文件中有详细说明。

限制root远程登录

[root@centos-01 ~]# vi /etc/ssh/sshd_config

找到

#PermitRootLogin yes

修改为

PermitRootLogin no

重启服务

[root@centos-01 ~]# systemctl restart sshd.service