linux用户和组管理，/etc/passwd 、/etc/shadow和/etc/group --学习

一、/etc/passwd 和/etc/shadow解释

与用户相关的系统配置文件主要有/etc/passwd 和/etc/shadow，其中/etc/shadow是用户资讯的加密文件，比如用户的密码口令的加密保存等；

/etc/passwd 和/etc/shadow 文件是互补的；

/etc/passwd 是系统识别用户的一个文件，系统所有的用户都在这里有登录记载；当我们以beinan 这个账号登录时，系统首先会查阅 /etc/passwd
文件，看是否有tester 这个账号，然后确定tester的UID，通过UID 来确认用户和身份，如果存在则读取/etc/shadow影子文件中所对应的beinan的密码；如果密码核实无误则登录系统，读取用户的配置文件

1、/etc/passwd 的内容理解：　　

1) 在/etc/passwd 中，每一行都表示的是一个用户的信息；一行有7个段位；每个段位用:号分割，例如：

　　 tester:x:500:500:tester sun:/home/tester:/bin/bash
　　 linuxsir:x:501:502::/home/linuxsir:/bin/bash

　　第一字段：用户名（也被称为登录名）；在上面的例子中，我们看到这两个用户的用户名分别是 beinan 和linuxsir；
　　第二字段：口令；在例子中我们看到的是一个x，其实密码已被映射到/etc/shadow 文件中；
　　第三字段：UID ；请参看本文的UID的解说；
　　第四字段：GID；请参看本文的GID的解说；
　　第五字段：用户名全称，这是可选的，可以不设置，在beinan这个用户中，用户的全称是beinan sun ；而linuxsir 这个用户是没有设置全称；
　　第六字段：用户的家目录所在位置；beinan 这个用户是/home/beinan ，而linuxsir 这个用户是/home/linuxsir ；
　　第七字段：用户所用SHELL 的类型，beinan和linuxsir 都用的是 bash ；所以设置为/bin/bash ；

2）关于UID 的理解：
　　UID 是用户的ID 值，在系统中每个用户的UID的值是唯一的，更确切的说每个用户都要对应一个唯一的UID
，系统管理员应该确保这一规则。系统用户的UID的值从0开始，是一个正整数，至于最大值可以在/etc/login.defs
可以查到，一般Linux发行版约定为60000；
　　UID 是确认用户权限的标识，用户登录系统所处的角色是通过UID 来实现的，而非用户名，切记； 在Linux 中，root的UID是0，拥有系统最高权限；比如我在/etc/passwd 中把beinan的UID改为0后，你设想会发生什么呢？beinan这个用户会被确认为root用户。beinan这个帐号可以进行所有root的操作；
　　
　　一般情况下，每个Linux的发行版都会预留一定的UID和GID给系统虚拟用户占用，虚拟用户一般是系统安装时就有的，是为了完成系统任务所必须的用户，但虚拟用户是不能登录系统的，比如ftp、nobody、adm、rpm、bin、shutdown等；预留数量以各个系统中/etc/login.defs
中的 UID_MIN 的最小值为准；比如Fedora 系统 login.defs的UID_MIN是500，而UID_MAX
值为60000，也就是说我们通过adduser默认添加的用户的UID的值是500到60000之间；

2、关于/etc/shadow 　　

1）/etc/shadow 解释：　

   /etc/shadow文件是/etc/passwd 的影子文件，这个文件并不由/etc/passwd
   而产生的，这两个文件是应该是对应互补的；shadow内容包括用户及被加密的密码以及其它/etc/passwd
   不能包括的信息，比如用户的有效期限等；这个文件只有root权限可以读取和操作，权限如下：
　　-r——– 1 root root 1.5K 10月 16 09:49 /etc/shadow

　　2）/etc/shadow 的内容分析；
　　/etc/shadow 文件的内容包括9个段位，每个段位之间用:号分割；我们以如下的例子说明；

　　tester:$1$VE.Mq2Xf$2c9Qi7EQ9JP8GKF8gH7PB1:13072:0:99999:7:::
　　linuxsir:$1$IPDvUhXP$8R6J/VtPXvLyXxhLWPrnt/:13072:0:99999:7::13108:

　　第一字段：用户名（也被称为登录名），在/etc/shadow中，用户名和/etc/passwd 是相同的，这样就把passwd 和shadow中用的用户记录联系在一起；这个字段是非空的；
　　第二字段：密码（已被加密），如果是有些用户在这段是x，表示这个用户不能登录到系统；这个字段是非空的；
　　第三字段：上次修改口令的时间；这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔（天数），您可以通过passwd 来修改用户的密码，然后查看/etc/shadow中此字段的变化；
　　第四字段：两次修改口令间隔最少的天数；如果设置为0,则禁用此功能；也就是说用户必须经过多少天才能修改其口令；此项功能用处不是太大；默认值是通过/etc/login.defs文件定义中获取，PASS_MIN_DAYS 中有定义；
　　第五字段：两次修改口令间隔最多的天数；这个能增强管理员管理用户口令的时效性，应该说在增强了系统的安全性；如果是系统默认值，是在添加用户时由/etc/login.defs文件定义中获取，在PASS_MAX_DAYS 中定义；
　　第六字段：提前多少天警告用户口令将过期；当用户登录系统后，系统登录程序提醒用户口令将要作废；如果是系统默认值，是在添加用户时由/etc/login.defs文件定义中获取，在PASS_WARN_AGE 中定义；
　　第七字段：在口令过期之后多少天禁用此用户；此字段表示用户口令作废多少天后，系统会禁用此用户，也就是说系统会不能再让此用户登录，也不会提示用户过期，是完全禁用；
　　第八字段：用户过期日期；此字段指定了用户作废的天数（从1970年的1月1日开始的天数），如果这个字段的值为空，帐号永久可用；
　　第九字段：保留字段，目前为空，以备将来Linux发展之用；
　　如果更为详细的，请用 man shadow来查看帮助，您会得到更为详尽的资料；

二、用户组

具有某种共同特征的用户集合起来就是用户组（Group）。用户组（Group）配置文件主要有 /etc/group和/etc/gshadow，其中/etc/gshadow是/etc/group的加密信息文件；

1、/etc/group 解释

文件是用户组的配置文件，内容包括用户和用户组，并且能显示出用户是归属哪个用户组或哪几个用户组，因为一个用户可以归属一个或多个不同的用户组；同一用
户组的用户之间具有相似的特征。

1）、/etc/group 内容分析

　　/etc/group 的内容包括用户组（Group）、用户组口令、GID及该用户组所包含的用户（User），每个用户组一条记录；格式如下：
　　group_name:passwd:GID:user_list
　　在/etc/group 中的每条记录分四个字段：
　　第一字段：用户组名称；
　　第二字段：用户组密码；
　　第三字段：GID
　　第四字段：用户列表，每个用户之间用,号分割；本字段可以为空；如果字段为空表示用户组为GID的用户名；
　　我们举个例子：
　　root:x:0:root,linuxsir 注：用户组root，x是密码段，表示没有设置密码，GID是0,root用户组下包括root、linuxsir以及GID为0的其它用户（可以通过/etc/passwd查看）；；

2）、关于GID ；
　　GID和UID类似，是一个正整数或0，GID从0开始，GID为0的组让系统付予给root用户组；系统会预留一些较靠前的GID给系统虚拟
用户（也被称为伪装用户）之用；查看系统添加用户组默认的GID范围应该查看 /etc/login.defs 中的 GID_MIN 和GID_MAX 值；
　　我们可以对照/etc/passwd和/etc/group 两个文件；我们会发现有默认用户组之说；即当一个用属于多个组时会有一个默认的组；在创建目录和文件时，会使用默认的用户组；

2、/etc/gshadow 内容

　　/etc/gshadow是/etc/group的加密资讯文件，比如用户组（Group）管理密码就是存放在这个文件。/etc
/gshadow和/etc/group是互补的两个文件；对于大型服务器，针对很多用户和组，定制一些关系结构比较复杂的权限模型，设置用户组密码是极
有必要的。比如我们不想让一些非用户组成员永久拥有用户组的权限和特性，这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性，这时就要用
到用户组密码；
　　/etc/gshadow 格式如下，每个用户组独占一行；
　　groupname:password:admin,admin,…:member,member,…
　　第一字段：用户组
　　第二字段：用户组密码，这个段可以是空的或!，如果是空的或有!，表示没有密码；
　　第三字段：用户组管理者，这个字段也可为空，如果有多个用户组管理者，用,号分割；
　　第四字段：组成员，如果有多个成员，用,号分割；
　　举例：
　　beinan:!::linuxsir
　　 linuxsir:oUS/q7NH75RhQ::linuxsir
　　第一字段：这个例子中，有两个用户组beinan用linuxsir
　　第二字段：用户组的密码，beinan用户组无密码；linuxsir用户组有已经，已经加密；
　　第三字段：用户组管理者，两者都为空；
　　第四字段：beinan用户组所拥有的成员是linuxsir ，然后还要对照一下/etc/group和/etc/passwd
查看是否还有其它用户，一般默认添加的用户，有时同时也会创建用户组和用户名同名称； linuxsir 用户组有成员linuxisir ；
　　如何设置用户组的密码？ 我们可以通过 gpasswd 来实现；不过一般的情况下，没有必要设置用户组的密码；不过自己实践一下也有必要；下面是一个为linuxsir用户组设置密码的例子；
　　gpasswd 的用法： gpasswd 用户组
　　
[email=root@localhost]root@localhost[/email]
~]# gpasswd linuxsir
　　正在修改 linuxsir 组的密码
　　新密码：
　　请重新输入新密码：
　　用户组之间的切换，应该用 newgrp ，这个有点象用户之间切换的su ；我先举个例子：
　　[beinan@localhost ~]$ newgrp linuxsir
　　密码：
　　[beinan@localhost ~]$ mkdir lingroup
　　 [beinan@localhost ~]$ ls -ld lingroup/
　　drwxr-xr-x 2 beinan linuxsir 4096 10月 18 15:56 lingroup/
　　[beinan@localhost ~]$ newgrp beinan
　　 [beinan@localhost ~]$ mkdir beinangrouptest
　　 [beinan@localhost ~]$ ls -ld beinangrouptest
　　drwxrwxr-x 2 beinan beinan 4096 10月 18 15:56 beinangrouptest
　　说明：我是以beinan用户组切换到linuxsir用户组，并且建了一个目录，然后再切换回beinan用户组，又建了一个目录，请观察两个目录属用户组的不同；还是自己体会吧；

三、通过用户和用户组配置文件来查询或管理用户

1、用户和用户组查询的方法：

   1）通过查看用户（User）和用户组的配置文件的办法来查看用户信息

我们已经用户（User）和用户组（Group）的配置文件已经有个基本的了解，通过查看用户（User）和用户组的配置文件，我们就能做到对系统用户的了解，当然您也可以通过id 或finger 等工具来进行用户的查询等任务。
　　对于文件的查看，我们可以通过 more 或cat 来查看，比如 more /etc/passwd 或cat /etc/passwd ；其它工具也一样，能对文本查看就行，比如less 也好
　　比如我们可以通过more 、cat 、less命令对/etc/passwd 的查看，虽然命令不同，但达到的目的是一样的， 都是得到/etc/passwd 的内容；
　　[root@localhost ~]# more /etc/passwd
　　 [root@localhost ~]# cat /etc/passwd
　　 [root@localhost ~]# less /etc/passwd

2）用户组查询的办法；
　　我们可以通过用户来查询所归属的组，用groups 来查询；比如我查询beinan和linuxsir 所归属的组，我们可以用groups 来查询；
　　[root@localhost ~]# groups beinan linuxsir
　　 beinan : beinan
　　 linuxsir : linuxsir root beinan
　　注：这是通过groups 同时查看了用户beinan和linuxsir所归属的组；

2、通过修改用户（User）和用户组（Group）配置文件的办法来添加用户和用户组

1）修改 /etc/passwd ，添加用户记录

　　我们按/etc/passwd的格式的约定来添加新的用户记录；当然您要让一个用户失效，可以删除您想要删除的用户记录；值得注意的是，不能让UID 重复；
　　比如我想添加lanhaitun 这个用户，我发现UID 508没有用户用，并且我想把其用户组也设置为lanhaitun ，用户组的GID 也设置为508,如果GID 没有占用的话；
　　我们要打开 /etc/passwd ，在最下面加一行；
　　lanhaitun:x:508:508::/home/lanhaitun:/bin/bash
　　然后执行pwconv ，让/etc/passwd 和/etc/shadow同步，您可以查看 /etc/shadow的内容是否同步；
　　[root@localhost beinan]# pwconv
2）修改/etc/group
　　首先，我们得查看是否有lanhaitun用户组，以及GID 508 是否被其它用户组占用；
　　[root@localhost ~]# more /etc/group |grep lanhaitun
　　 [root@localhost ~]# more /etc/group |grep 508
　　通过查看，我们发现没有被占用；所以我们要添加lanhaitun 的记录到 /etc/group
　　lanhaitun:x:508:
　　其次，是运行 grpconv 来同步/etc/group 和/etc/gshadow内容，您可以通过查看/etc/gshadow的内容变化确认是不是添加组成功了；
　　[root@localhost beinan]# grpconv
3）创建用户的家目录，并把用户启动文件也复制过去；
　　创建用户的家目录，我们要以/etc/passwd 中添加的新用户的记录为准，我们在/etc/passwd
       中添加新用户lanhaitun ，她的家目录是处于/home/lanhaitun ；另外我们还需要把/etc/skel
       目录下的.*隐藏文件复制过去；
　　 [root@localhost ~]# cp -R /etc/skel/ /home/lanhaitun
　　 [root@localhost ~]# ls -la /home/lanhaitun/
　　 总用量 48
　　 drwxr-xr-x 3 root root 4096 10月 18 14:53 .
　　 drwxr-xr-x 10 root root 4096 10月 18 14:53 ..
　　 -rw-r–r– 1 root root 24 10月 18 14:53 .bash_logout
　　 -rw-r–r– 1 root root 191 10月 18 14:53 .bash_profile
　　 -rw-r–r– 1 root root 124 10月 18 14:53 .bashrc
　　 -rw-r–r– 1 root root 5619 10月 18 14:53 .canna
　　 -rw-r–r– 1 root root 438 10月 18 14:53 .emacs
　　 -rw-r–r– 1 root root 120 10月 18 14:53 .gtkrc
　　 drwxr-xr-x 3 root root 4096 10月 18 14:53 .kde
　　 -rw-r–r– 1 root root 658 10月 18 14:53 .zshrc
4）改变新增用户家目录的属主和权限；
　　我们发现新增用户的家目录的属主目前是root ，并且家目录下的隐藏文件也是root权限；
　　[root@localhost ~]# ls -ld /home/lanhaitun/
　　 drwxr-xr-x 3 root root 4096 10月 18 14:53 /home/lanhaitun/
　　所以我们要通过chown 命令来改变/home/lanhaitun目录归属为lanhaitun用户；
　　[root@localhost ~]# chown -R lanhaitun:lanhaitun /home/lanhaitun
　　查看是否已经更换了属主为lanhaitun用户所有；
　　[root@localhost ~]# ls -ld /home/lanhaitun/
　　 drwxr-xr-x 3 lanhaitun lanhaitun 4096 10月 18 14:53 /home/lanhaitun/
　　 [root@localhost ~]# ls -la /home/lanhaitun/
　　 总用量 48
　　 drwxr-xr-x 3 lanhaitun lanhaitun 4096 10月 18 14:53 .
　　 drwxr-xr-x 10 root root 4096 10月 18 14:53 ..
　　 -rw-r–r– 1 lanhaitun lanhaitun 24 10月 18 14:53 .bash_logout
　　 -rw-r–r– 1 lanhaitun lanhaitun 191 10月 18 14:53 .bash_profile
　　 -rw-r–r– 1 lanhaitun lanhaitun 124 10月 18 14:53 .bashrc
　　 -rw-r–r– 1 lanhaitun lanhaitun 5619 10月 18 14:53 .canna
　　 -rw-r–r– 1 lanhaitun lanhaitun 438 10月 18 14:53 .emacs
　　 -rw-r–r– 1 lanhaitun lanhaitun 120 10月 18 14:53 .gtkrc
　　 drwxr-xr-x 3 lanhaitun lanhaitun 4096 10月 18 14:53 .kde
　　 -rw-r–r– 1 lanhaitun lanhaitun 658 10月 18 14:53 .zshrc
　　看来已经实现了；
　　但这样还是不够的，因为/home/lanhaitun/的目录权限可能会过于公开；
　　drwxr-xr-x 3 lanhaitun lanhaitun 4096 10月 18 14:53 /home/lanhaitun/
　　我们看到 /home/lanhaitun/ 目录的权限为 drwxr-xr-x ，也就是同组用户和其它用户组所能查看，为了保密，我们有理由把新增用户家目录的权限设置为只有其自己可读可写可执行；于是… …
　　[root@localhost ~]# chmod 700 /home/lanhaitun/
　　 [root@localhost ~]# ls -ld /home/lanhaitun/
　　 drwx—— 3 lanhaitun lanhaitun 4096 10月 18 14:53 /home/lanhaitun/
　　我们用其它用户，当然得把具有超级权限的root用户除外；比如我以beinan用户来查看lanhaitun的家目录会得到如下信息；
　　[beinan@localhost ~]$ ls -la /home/lanhaitun/
　　 ls: /home/lanhaitun/: 权限不够
　　如此看来，lanhaitun用户的家目录是安全的

5）设置新增用户的密码；
　　以上各步骤都就序了，我们得为新增用户设置密码了；要通过passwd 命令来生成；这个没有办法通过修改文件解决；
　　passwd 的用法：
　　passwd 用户
　　[root@localhost ~]# passwd lanhaitun
　　 Changing password for user lanhaitun.
　　 New UNIX password: 注：输入您的密码
　　 Retype new UNIX password: 再输入一次
　　 passwd: all authentication tokens updated successfully. 注：设置密码成功
6）测试添增用户是否成功；
　　您可以用新增用户登录测试，也可以通过su 来切换用户测试；
　　[beinan@localhost ~]$ su lanhaitun
　　 Password:
　　 [lanhaitun@localhost beinan]$ cd ~
　　 [lanhaitun@localhost ~]$ pwd
　　 /home/lanhaitun
　　 [lanhaitun@localhost ~]$ ls -la
　　 总用量 52
　　 drwx—— 3 lanhaitun lanhaitun 4096 10月 18 15:15 .
　　 drwxr-xr-x 10 root root 4096 10月 18 14:53 ..
　　 -rw-r–r– 1 lanhaitun lanhaitun 24 10月 18 14:53 .bash_logout
　　 -rw-r–r– 1 lanhaitun lanhaitun 191 10月 18 14:53 .bash_profile
　　 -rw-r–r– 1 lanhaitun lanhaitun 124 10月 18 14:53 .bashrc
　　 -rw-r–r– 1 lanhaitun lanhaitun 5619 10月 18 14:53 .canna
　　 -rw-r–r– 1 lanhaitun lanhaitun 438 10月 18 14:53 .emacs
　　 -rw-r–r– 1 lanhaitun lanhaitun 120 10月 18 14:53 .gtkrc
　　 drwxr-xr-x 3 lanhaitun lanhaitun 4096 10月 18 14:53 .kde
　　 -rw——- 1 lanhaitun lanhaitun 66 10月 18 15:15 .xauthOhEoTk
　　 -rw-r–r– 1 lanhaitun lanhaitun 658 10月 18 14:53 .zshrc
　　 [lanhaitun@localhost ~]$ mkdir testdir
　　 [lanhaitun@localhost ~]$ ls -lh
　　 总用量 4.0K
　　 drwxrwxr-x 2 lanhaitun lanhaitun 4.0K 10月 18 15:16 testdir
　　通过上面一系列动作，我们会发现所创建的lanhaitun用户已经成功；

3、通过修改用户（User）和用户组（Group）配置文件的办法来修改用户或用户组；

   我们可以修改/etc/passwd 和/etc/group 来达到修改用户和用户所归属的组，这个过程和添加新用户时差不多；比如我想修改lanhaitun的用户名全称、公司以及电话等信息；我们可以修改/etc/passwd 实现；
1）修改用户信息；
　　lanhaitun:x:508:508::/home/lanhaitun:/bin/bash 注：这是初始记录；
　　我们可以修改为
　　lanhaitun:x:508:508:lanhaitun wu,Office Dalian,13000000000:/home/lanhaitun:/bin/bash
　　当然我们还可以修改用户的bash 类型，家目录等，当然如果修改家目录，还得进行建家目录、属主和权限的操作，这和前面添加用户的办法在程序上有些是相同的；
　　修改完成后，我们要进行pwconv 同步，通过finger 来查看用户的信息等；
　　[root@localhost lanhaitun]# pwconv
　　 [root@localhost lanhaitun]# finger lanhaitun
　　 Login: lanhaitun Name: lanhaitun wu
　　 Directory: /home/lanhaitun Shell: /bin/bash
　　 Office: Office Dalian, +1-300-000-0000
　　 Never logged in.
　　 No mail.
　　 No Plan.
2）修改用户所归属的组，可以通过/etc/group 修改实现；
　　当然修改用户和用户组，不仅能通过修改配置文件来实现，还能过过 usermod 及chfn来实现；我将在以后的文档中写一写，也比较简单；您可以通过man来查看用法；在这里我们先讲一讲如何通过修改配置文件来达到目的；
　　如果我们想把lanhaitun 这个用户归属到root用户组，所以我们还能修改/etc/group 的办法来达到目的；找到/etc/group 中的root开头的一行，按其规划加入lanhaitun；
　　root:x:0:root,lanhaitun
　　如果不明白，看前面/etc/group的解释，谢谢；
　　然后执行 grpconv 命令来同步/etc/group 和/etc/gshadow两个文件的内容；
　　[root@localhost ~]# grpconv
　　查看lanhaitun归属组的信息；
　　[root@localhost ~]# id lanhaitun
　　 uid=508(lanhaitun) gid=508(lanhaitun) groups=508(lanhaitun),0(root)
3）删除用户及用户组的办法；
　　这个比较简单，我们可以通过删除/etc/passwd 和/etc/group 相应的用户和用户组记录就能达到目的，也能过过userdel 和groupdel 来实现对用户及用户组的删除；
　　如果是通过修改用户和用户组配置文件的办法来删除用户，就是删除相应的记录就行了，如果不想保留其家目录，删除就是了。
　　[root@localhost ~]# userdel lanhaitun
　　 [root@localhost ~]# userdel -r lanhaitun
　　注：可以用userdel 来删除lanhaitun 用户，我们看到第二个例子中多了一个参数-r
，第一个例子是说只删除lanhaitun用户，其家目录和mail等仍会保存；加上-r
参数，是删除家目录及mail等；所以要小心操作；用userdel 删除用户的同时，也会把其用户组删除；我们可以通过/etc/passwd
和/etc/group 的内容变化来查看；