Linux(user,group)

發表於 2024-08-27 更新於 2025-12-30 分類於 backend Disqus：文章字數： 1.7k 所需閱讀時間 ≈ 6 分鐘

linux用户和组

cheetsheat

增加用户

useradd -c "注释" 用户名
useradd -c "evariste.sakura" esakura
或者如果你需要管理学校的服务器，有很多同学需要使用这一台，那么可以
useradd -c "年份.班级.姓名" 用户名
useradd --create-home --uid 用户id --groups 组a 组b 用户名
useradd -u 10600 -g 10600 -G sysadmin,helpdesk jdoe # 例如场景希望用户id和工号一致 但注意的是linux<=2.4 最大是65536, 后面的也只有 2^32 = 4294967296 , 毕竟还不是字符串

设置密码 (管理员可以通过 /etc/security/pwquality.conf 限制简单密码)

passwd 用户名
passwd esakura
# 删除密码
passwd -d 用户名

查看密码设置信息

1 2	sudo passwd -S sambauser sambauser P 2024-10-26 0 99999 7 -1

删除用户(移除前请备份用户 home 目录的内容)

1	userdel -r 用户名

添加到组

1	usermod --append --groups 组名用户名

登录信息

1 2	w # 当前登录 last # 登录记录

文件的用户和组，读写执行修改

1
2
3

chown 用户:组 文件
# 用户u组g其它o, 增加+减少-,读r写w执行x
chmod ug+r 文件 # 例子

切换用户

1 2	su - 用户名 su - 用户名 --command 命令 # 用指定用户执行一条命令

/etc/passwd （rw-r–r–）

包含，用户名，home 目录，默认shell, 用冒号分割

格式username:password:UID:GID:comment:home:shell

例子

1 2	root:x:0:0:root:/root:/bin/bash esakura:x:1000:1000:esakura:/home/esakura:/bin/bash

这里可以看到 password 全都是x（看不到的

然后UID/GID是1000因为这是我创建的一个ubuntu用户

例如我重新安装了系统，但是/home是单独挂载的，那么，重装时不论用户名是怎样，它的权限对于/home的来说会有原来的1000账户的目录的权限
小于1000的是预留给系统，服务和一些特殊账户的。普通用户的 >= 1000
例如 root的uid=0,gid=0,它厉害是因为它的uid/gid而不是因为它叫做root,也就是如果你把root改名，再另外建立一个root,那么有额外权限的是改名后的，而不是新的root

/etc/shadow (rw-r—–)

注意到权限上，也就是只有root和root组可以读

存储的 passwd 的 hash

username:password:last password change:min:max:warning:inactive:expired

1 2	root:!:20019:0:99999:7::: esakura:$y$j9T$36h2ltp8Tdd3315KoGx0N0$vsVnHQ7ysdFyIVACx0Ooctl9StoteFoR1bkfDNhx4m6:20019:0:99999:7:::

后面几段，是和密码修改有关的信息，延伸阅读：

The effects of adding users to a Linux system
Forcing Linux system password changes with the chage command

增删改

1
2
3

useradd
usermod
userdel

Linux sysadmin basics: User account management

组groups /etc/group

格式: groupname:password:GID:group members

1
2
3

root:x:0:
esakura:x:1000:
docker:x:987:esakura

增删改

1
2
3

groupadd
groupmod
groupdel

user与group

id 查看用户的组信息

id esakura    
uid=1000(esakura) gid=1000(esakura) groups=4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),114(lpadmin),988(sambashare),987(docker),1000(esakura)  

id sambauser  
uid=1001(sambauser) gid=1001(sambauser) groups=1001(sambauser)

管理 usermod

uid

root 用户和组的 uid 和 gid 通常为 0，1-99 之间的 ID 也保留给其他系统账户使用。
ID 99 之后的情况因操作系统而异。
- 例如，有些 *nix 系统会将 100-499 保留给动态系统配置（如安装的软件包需要 uid/gid），并从 500 开始分配标准用户账户的 uid 和 gid 号。
- 其他系统则为动态系统分配预留 100-999，并从 1000 及以上开始分配标准用户账户。(比如我现在的ubuntu)

如果一个程序的 uid:gid = 1000:1000, 当前用户是 1001:1001, 然后这个程序所有人都能运行，那么程序在被运行时的uid:gid 是发起运行的用户的uid:gid 而不是文件自身的uid:gid

所以文件

参考

https://www.redhat.com/en/blog/linux-user-group-management 这里面很多外置链接失效了

https://www.redhat.com/en/blog/linux-user-account-management

passwd还可以锁定解锁密码，设置最小lifetime最大lifetime

1 2	passwd -e 用户名 # 下次登录时过期密码 passwd -n <天数> 用户名 # 至少多少天才能修改密码

https://www.redhat.com/en/blog/user-account-gid-uid

文件 /etc/login.defs
PASS_MIN_DAYS 1
可以 让修改最小间隔为1天， 避免有的用户短时间从 密码A -> 密码B -> 密码A（原来的样子） 来绕过一些“更换密码要求”的安全策略
PASS_MAX_DAYS 60 
要求两个月要换一次密码
FAIL_DELAY 4
可以失败登录会有4秒惩罚，来避免爆破
UMASK 077
可以让新文件的创建mask都是600, 对应的如果022,那么创建的新文件mask都是644

问题

有办法建立层级系统吗?