Linux用户管理

useradd 添加用户

userdel 删除用户

passwd 修改密码

chage  修改用户密码有效期

usermod 修改用户命令，修改登录名，用户的家目录等

id 查看UID，GID

su  切换工具

sudo  提权

visudo  配置sudo权限的编辑命令

finger 查看用户信息工具

groupadd  添加组用户

/etc/skel目录

/etc/skel目录是用来存放新用户配置文件的目录。当我们添加新用户是，这个目录下的所有文件会自动被复制到新添加的用户的家目录下；默认情况下，/etc/skel目录下的所有文件都是隐藏文件（以.开头的文件）；通过修改、添加、删除/etc/skel目录下的文件，我们可以为新创建的用户提供统一、标准的、初始化用户环境。

/etc/login.defs 配置文件

  用来定义创建用户时需要的一些用户的配置信息。例如创建用户时需要创建家目录，UID和GID的范围，用户及密码的有效期限等等。

/etc/default/useradd 文件

   /etc/default/useradd 文件是在使用useradd添加用户时的一个需要调用的一个配置文件，可以使用“useradd –D 参数”这样的命令格式来修改文件里面的内容。

# useradd defaults file

GROUP=100

HOME=/home    # 把用户的家目录创建在/home中

INACTIVE=-1   #是否启用账号过期停权，-1表示不启用

EXPIRE=       #账号终止日期

SHELL=/bin/bash     # 新用户默认所用的shell类型

SKEL=/etc/skel      #配置新用户家目录的默认文件存放路径。

CREATE_MAIL_SPOOL=yes  #创建mail文件

useradd 添加用户

在创建用户时，可以使用下面的命令行参数改变默认值或默认行为： 

useradd -e "2016/09/09" kangjie  添加

CentOS 6 到时间就无法登录了，，但是可以su -

chage -l kangjie 查看账户信息
[root@iZ112tgksk0Z ~]# chage -l kangjie

Last password change           : Sep 08, 2016

Password expires               : never

Password inactive              : never

Account expires                : Sep 09, 2016

Minimum number of days between password change    : 0

Maximum number of days between password change    : 99999

Number of days of warning before password expires : 7

useradd  oldboy6 –c HandsomeBoy –u 806 –G oldboy,sa  -s /bin/sh  -d /oldboy6
============================================================================ 
参 数 描 述 
---------------------------------------------------------------------------- 
-c comment 给新用户添加备注 
-d home_dir 为主目录指定一个名字（如果不想用登录名作为主目录名的话） 
-e expire_date 用YYYYY-MM-DD格式指定一个账户过期的日期 
-f inactive_days 指定这个帐户密码过期后多少天这个账户被禁用；0表示密码一过期就立即禁 
用，-1表示禁用这个功能 
-g initial_group 指定用户登录组的GID或组名 
-G group ... 指定用户除登录组之外所属的一个或多个附加组 
-k 必须和-m一起使用，将/etc/skel目录的内容复制到用户的HOME目录 
-m 创建用户的HOME目录 
-M 不创建用户的HOME目录（当默认设置里指定创建时，才用到） 
-n 创建一个同用户登录名同名的新组 
-r 创建系统账户 
-p passwd 为用户账户指定默认密码 
-s shell 指定默认登录shell 
-u uid 为账户指定一个唯一的UID 

groupadd –g 801 sa

useradd –M –g 801 –u 808 oldboy –s /sbin/nologin

tail -1 /etc/group

tail -1 /etc/passwd

groupadd  添加用户组的命令 

与groupadd 命令相关的文件有：

/etc/group      用户组相关文件  

 /etc/gshadow  用户组加密相关文件

groupadd -g  指定用户组GID值。

用户密码相关命令 passwd

--stdin    echo “123456”|passwd –stdin

passwd –l 锁定

passwd –u 解除锁定

passwd –S 查看状态

要求oldboy用户7天内不能更改密码，60天以后必须修改密码，过期前10天通知oldboy用户，过期30天后禁止用户登录。

passwd –n 7 –x 60 –w 10 –i 30 oldboy

[root@localhost beinan]# passwd --help
Usage: passwd [OPTION...] <accountName>
-k, --keep-tokens       keep non-expired authentication tokens
注：保留即将过期的用户在期满后能仍能使用；
-d, --delete            delete the password for the named account (root only)
注：删除用户密码，仅能以root权限操作；
-l, --lock              lock the named account (root only)
注：锁住用户无权更改其密码，仅能通过root权限操作；
-u, --unlock            unlock the named account (root only)
注：解除锁定；
-f, --force             force operation
注：强制操作；仅root权限才能操作；
-x, --maximum=DAYS      maximum password lifetime (root only) 注：两次密码修正的最大天数，后面接数字；仅能root权限操作；
-n, --minimum=DAYS      minimum password lifetime (root only) 注：两次密码修改的最小天数，后面接数字，仅能root权限操作；
-w, --warning=DAYS      number of days warning users receives before 注：在距多少天提醒用户修改密码；仅能root权限操作；
password expiration (root only)
-i, --inactive=DAYS     number of days after password expiration when an 注：在密码过期后多少天，用户被禁掉，仅能以root操作；
account becomes disabled (root only)
-S, --status            report password status on the named account (root   注：查询用户的密码状态，仅能root用户操作；
only)
--stdin                 read new tokens from stdin (root only)

修改用户密码有效期限相关命令chage

LDAP服务队Linux账户统一认证，批量管理

userdel 删除用户

userdel –r 家目录一起删掉

usermod 用户信息修改

usermod - modify a user account

SYNOPSIS

       usermod [options] LOGIN

DESCRIPTION

       The usermod command modifies the system account files to reflect the changes

       that are specified on the command line.

用户查询命令

id

w

切换用户

su – 把环境变量同时切换过去

工作中为了安全，不用root用户来运行程序

sudo命令

解决多个系统管理员都能管理系统而又不让超级权限泛滥的需求：

visudo  管理权限

visudo

## Allow root to run any commands anywhere

root    ALL=(ALL)       ALL

kangjie ALL=(ALL)       /usr/sbin/useradd,/bin/rm

然后用sudo useradd kkk

1. ## Allow root to run any commands anywhere   
2. ## 允许root用户执行任意路径下的任意命令  
3. root    ALL=(ALL)   ALL  
4.   
5. ## Allows members of the 'sys' group to run networking, software,   
6. ## service management apps and more.  
7. ## 允许sys中户组中的用户使用NETWORKING等所有别名中配置的命令  
8. # %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE  , DRIVERS   
9. ## Allows people in group wheel to run all commands  

10. ## 允许wheel用户组中的用户执行所有命令  

11. %wheel  ALL=(ALL)   ALL  

1. 12.   

13. ## Same thing without a password  

14. ## 允许wheel用户组中的用户在不输入该用户的密码的情况下使用所有命令  

15. # %wheel    ALL=(ALL)   NOPASSWD: ALL  

1. 16.   

17. ## Allows members of the users group to mount and unmount the   

18. ## cdrom as root  

19. ## 允许users用户组中的用户像root用户一样使用mount、unmount、chrom命令  

20. # %users  ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom  

1. 21.   

22. ## Allows members of the users group to shutdown this system  

23. ## 允许users用户组中的用户关闭localhost这台服务器  

24. # %users  localhost=/sbin/shutdown -h now  

1. 25.   

26. ## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)  

27. ## 读取放置在/etc/sudoers.d/文件夹中的文件（此处的#不意味着这是一个声明）  

28. #includedir /etc/sudoers.d  

其中，时间戳文件的位置：

/var/db/sudo/

查看用户拥有什么权限：

sudo –l

visudo == vi /etc/sudoers

sudo 配置文件/etc/sudoers

   sudo命令的配置文件是/etc/sudoers ,使用visudo工具来完成sudo的授权配置。使用visudo工具的好处是在添加规则后，保存退出是会检查授权配置的语法。

   配置好授权后，可以切换到授权用户下，通过sudo –l 来查看哪些超级权限命令是可以执行的。

   sudoers的规则可以分为两类：一类是别名定义，另一类是授权规则；