1.用戶基本概述
1.什么是用戶?
用戶指的是能夠正常登錄Linux或Windows系統(tǒng)(可以理解為你租了房子，能夠正常入駐)
F:那Linux與Windows系統(tǒng)的用戶有什么區(qū)別? Q:本質(zhì)都是登陸系統(tǒng)，只不過Linux支持多個用戶同時登陸。
F:難道Windows就不算多用戶操作系統(tǒng)嗎? Q:其實(shí)不是，在Windows系統(tǒng)中可以創(chuàng)建多個用戶，但不允許同一時刻多個用戶登陸系統(tǒng)，但Linux系統(tǒng)則允許同一時刻多個用戶同時登陸，登陸后相互之間操作并不影響。

2.Linux下的用戶有什么用
或者說我們?yōu)槭裁匆獎?chuàng)建用戶？
1.系統(tǒng)上的每一個進(jìn)程(運(yùn)行的程序)，都需要一個特定的用戶運(yùn)行 2.通常在公司是使用普通用戶管理服務(wù)器，因?yàn)閞oot權(quán)限過大，容易造成故障。
3.查看用戶
如何查看系統(tǒng)中所存在的用戶
1.查看當(dāng)前登錄的用戶信息

[root@bgx ~]# id #查看當(dāng)前所登陸的用戶信息2.每一個進(jìn)程都會由一個用戶身份運(yùn)行

[root@bgx ~]# ps aux|less #簡單使用一下，不用理解4.用戶存存放位置
Linux系統(tǒng)會將用戶的信息存放在/etc/passwd，記錄了用戶的信息，但沒有密碼信息，密碼被存放在/etc/shadow中。
也就是說這兩個文件非常的重要，不要輕易刪除與修改。
1./etc/passwd 配置文件解釋如下圖，或者man 5 passwd

2./etc/shadow 配置文件解釋如下圖，或者man 5 shadow
PS: 使用change修改密碼過期時間示例

4.最后我們需要了解下系統(tǒng)對用戶的一個約定？(約定娶你，就真的會娶嗎？)

• 超級管理員用戶 root 0
• 普通用戶
  • 系統(tǒng)用戶：用來啟動系統(tǒng)的一些服務(wù)和進(jìn)程的用戶，不可以登陸 1-999（centos7）1-499 （centos6）
  • 可登陸用戶：能登錄系統(tǒng)的用戶 1000-65535（centos7）500-65535（centos6）

2.用戶相關(guān)命令
下面我們就圍繞著用戶的創(chuàng)建、變更、刪除等來講講涉及到的命令: useradd、usermod、userdel
1.新增用戶
使用useradd命令，注意: adduser命令軟鏈接指向useradd命令
useradd

Usage: useradd [options] LOGIN

• 相關(guān)文件
  • /etc/default/useradd 創(chuàng)建用戶的默認(rèn)文件
  • /etc/skel/* 默認(rèn)復(fù)制的文件

#選項
2.修改用戶信息
使用usermod命令修改用戶信息
用戶修改usermode

-c 修改描述信息
-d 修改家目錄，默認(rèn)不會創(chuàng)建新目錄，如果想移動家目錄，則需要使用-m
-g 修改用戶組
-G 修改用戶的附加組，默認(rèn)情況下是替換
-a 追加附加組
-l newname 修改用戶的登錄名稱
-L 鎖定用戶，不能登錄系統(tǒng)，修改密碼默認(rèn)情況下回解鎖
-U 解鎖用戶
-s 修改用戶登錄后的shell
-u 修改用戶的uid
-e 年-月-日 修改用戶的過期時間，過期以后不能登錄

#選項

3.刪除賬戶
使用userdel命令刪除賬戶
刪除用戶 userdel
默認(rèn)刪除用戶不刪除用戶的家目錄
-r 刪除家目錄
-f 強(qiáng)制刪除
默認(rèn)情況下，用戶登錄狀態(tài)下是不能刪除用戶，強(qiáng)制刪除用戶以后，用戶還是可以用的

#選項 -r 刪除用戶同時刪除它的家目錄

4.其他

1. 使用finger命名查詢用戶信息以及登錄信息(yum install finger)，示例: finger UserName
2. 使用chfn命令修改用戶信息(其實(shí)是修改注釋)，示例: chfn UserName
3. 使用chsh命令修改用戶登錄Bash Shell，示例: chsh UserName
4. 使用who(當(dāng)前有哪些用戶登錄了)、whoami、w檢查用戶登陸情況

查看用戶相關(guān)信息id
-g 只顯示組id
-G 只顯示附加組id
-u 只顯示用戶id
-n 顯示名稱，需要和guG來配合使用
3.用戶擴(kuò)展知識
1.創(chuàng)建流程
前面我們學(xué)習(xí)如何創(chuàng)建、修改、刪除用戶，接下來了解下用戶的？
1.useradd創(chuàng)建用戶時，系統(tǒng)會以/etc/login.defs、/etc/defaults/useradd兩個配置文件作為參照物，
如果在創(chuàng)建用戶時指定了參數(shù)則會覆蓋/etc/login.defs、/etc/defaults/useradd文件默認(rèn)配置，如未指定則使用默認(rèn)。

[root@bgx ~]# grep -Ev "^#|^$" /etc/login.defs

2.當(dāng)使用useradd創(chuàng)建用戶時，創(chuàng)建的用戶家目錄下會存在 .bash_ 環(huán)境變量相關(guān)的文件，這些環(huán)境變量文件默認(rèn)從/etc/skel目錄中拷貝。
這個默認(rèn)拷貝環(huán)境變量位置是由/etc/defaults/useradd配置文件中定義的。

#故障案例，在當(dāng)前用戶家目錄執(zhí)行了rm -rf .，下次登錄系統(tǒng)時出現(xiàn)-bash-4.1$，如何解決！
2.設(shè)置、修改密碼
創(chuàng)建用戶后，如需要使用該用戶登陸系統(tǒng)則需要為用戶設(shè)定密碼，設(shè)定密碼使用passwd命令。建議密碼復(fù)雜度高一些、長度大于10、出現(xiàn)各種特殊字符、無任何規(guī)律(不要出現(xiàn)名字，電話，生日等)
PS: 注意事項
1.普通用戶只允許變更自己的密碼，無法修改其他人密碼，并且密碼長度必須8位字符
2.管理員用戶允許修改任何人的密碼，無論密碼長度多長或多短。

#1.使用passwd命令修改用戶密碼
PS: 推薦密碼保存套件工具，支持windows、MacOS、Iphone以及瀏覽器插件Lastpass官方網(wǎng)站
/etc/passwd文件

• 用戶名稱
• 密碼，使用x來占位
• uid
• gid
• 描述信息
• 家目錄
• 登錄后使用的shell

設(shè)置密碼passwd

passwd [OPTION...] <accountName>
-d 刪除指定用戶的密碼，刪除密碼之后就不能登錄
-l 鎖定用戶
-u 解鎖用戶
-e 在下次登錄以后強(qiáng)制用戶修改密碼
-f 強(qiáng)制操作
-x maxday 密碼的最長使用時間
-n minday 密碼的最短使用時間
-w warnday 密碼過期前多長時間提醒
-i inactiveday 密碼過期多長時間以后禁用
--stdin 從標(biāo)準(zhǔn)輸入讀取密碼 echo '123'|passwd --stdin peiqi

存放文件/etc/shadow

• 用戶名
• 密碼 $加密方式(默認(rèn)sha512)$鹽$加密后的字符串$
• 從1970年1月1日到最近一次修改密碼經(jīng)過的時間
• 密碼的最短使用時間（0表示隨時可以修改）
• 密碼的最長使用時間（99999表示永不過期）
• 密碼過期多長時間提醒（默認(rèn)是一周）
• 密碼過期多長時間鎖定
• 從1970年1月1日開始算起，多長時間后賬號失效

qiao:$6$HBl7BPCJk6JaLtw2$B4NzlqpCrMczVkK51Rjimw7Wp.oRfsCzrKEzmhiBEAfk9T7h.YleYZ3h3qV6Fv.bZnJh666tr36TBJHhCi6M90::0:99999:7:::密碼的復(fù)雜性策略

• 必須包括數(shù)字、大小寫、特殊字符
• 密碼必須12位以上
• 不能為弱口令
• 必須為隨機(jī)密碼
• 3個月或者半年修改一次

機(jī)器免密登錄
非對稱加密，公鑰登錄(在已登錄上機(jī)器機(jī)器上生成公鑰，copy公鑰給要登錄的機(jī)器）：
ssh-keygen 一路回車
ssh-copy-id 要登錄的機(jī)器
修改用戶密碼策略 chage

-E
-I
-m
-M
-W
change login 可以使用交互式的修改密碼策略

chfn 修改用戶的個人描述信息
4.用戶如何提權(quán)
往往公司的服務(wù)器對外都是禁止root用戶直接登錄，所以我們通常使用的都是普通用戶，那么問題來了？
當(dāng)我們使用普通用戶執(zhí)行/sbin目錄下的命令時，會發(fā)現(xiàn)沒有權(quán)限運(yùn)行，這種情況下我們無法正常的管理服務(wù)器，那如何才能不使用root用戶直接登錄系統(tǒng)，同時又保證普通用戶能完成日常工作？
PS: 我們可以使用如下兩種方式: su、sudo
1.su切換用戶，使用普通用戶登錄，然后使用su命令切換到root。優(yōu)點(diǎn):簡單 缺點(diǎn):需要知道root密碼
2.sudo提權(quán)，當(dāng)需要使用root權(quán)限時進(jìn)行提權(quán)，而無需切換至root用戶，優(yōu)點(diǎn):安全、方便 缺點(diǎn):復(fù)雜
1.su身份切換
在使用su切換前，我們需要了解一些預(yù)備知識，比如shell分類、環(huán)境變量配置文件有哪些
1.Linux Shell主要分為如下幾類 交互式shell，等待用戶輸入執(zhí)行的命令(終端操作,需要不斷提示) 非交互式shell，執(zhí)行shell腳本,
腳本執(zhí)行結(jié)束后shell自動退出 登陸shell，需要輸入用戶名和密碼才能進(jìn)入Shell，日常接觸的最多的一種 非登陸shell，不需要輸入用戶和密碼就能進(jìn)入Shell,比如運(yùn)行bash會開啟一個新的會話窗口
2.bash shell配置文件介紹(文件主要保存用戶的工作環(huán)境) 個人配置文件：~/.bash_profile ~/.bashrc 。
全局配置文件：/etc/profile /etc/profile.d/*.sh /etc/bashrc profile類文件, 設(shè)定環(huán)境變量, 登陸前運(yùn)行的腳本和命令。
bashrc 類文件, 設(shè)定本地變量, 定義命令別名 PS: 如果全局配置和個人配置產(chǎn)生沖突，以個人配置為準(zhǔn)。
3.登陸系統(tǒng)后，環(huán)境變量配置文件的應(yīng)用順序是? 登錄式shell配置文件執(zhí)行順序: /etc/profile->/etc/profile.d/.sh->/.bash_profile->/.bashrc->/etc/bashrc
非登陸式shell配置文件執(zhí)行順序: ~/.bashrc->/etc/bashrc->/etc/profile.d/.sh PS: 驗(yàn)證使用echo在每行添加一個輸出即可
4.說了這么多預(yù)備知識，那這些和su命令切換用戶有什么關(guān)系? su - username屬于登陸式shell，su username屬于非登陸式shell，區(qū)別在于加載的環(huán)境變量不一樣。 su username 屬于非登陸式shell
普通用戶su -可以直接切換至root用戶，但需要輸入root用戶的密碼。 超級管理員root用戶使用su - username切換普通用戶不需要輸入任何密碼。

#1.普通用戶使用su切換root

切換用戶
su [options] [-] [USER [arg]...]
切換用戶的方式

• 完整切換：su - username 登錄式切換，環(huán)境變量等都會切換
• 不完整切換：su username 不會切換用戶的環(huán)境變量家目錄等
• root切換普通用戶不需要密碼，非root用戶切換需要密碼

切換用戶執(zhí)行命令，并在切換會來
[root@localhost ~]#su - peiqi -c "whoami"
peiqi
2.sudo提權(quán)
su命令在切換用戶身份時，如果每個普通用戶都能拿到root用戶的密碼，當(dāng)其中某個用戶不小心泄漏了root的密碼，那系統(tǒng)會變得非常不安全。為了改進(jìn)這個問題，從而產(chǎn)生了sudo這個命令。
其實(shí)sudo就相當(dāng)于給某個普通用戶埋下了浩克(hulk)的種子，當(dāng)需要執(zhí)行一些高級操作時，進(jìn)行發(fā)怒，但正常情況下還是普通人，還是會受到限制。
1.如何快速埋下hulk的種子呢？

#1.快速配置sudo方式[先睹為快]

2.埋下了hulk種子后又如何提權(quán)使用呢？

#1.切換普通用戶
3.開啟某個命令的使用權(quán)限
提升的權(quán)限太大，能否有辦法限制僅開啟某個命令的使用權(quán)限？其他命令不允許？
第一種方式:使用sudo中自帶的別名操作,將多個用戶定義成一個組,這個組只有sudo認(rèn)可

[root@bgx ~]# visudo #也可以使用vi /etc/sudoers來配置

第二種方式:使用groupadd添加組,然后給組分配sudo的權(quán)限,如果有新用戶加入,直接將用戶添加到該組.

#1.添加兩個真實(shí)的系統(tǒng)組, group_dev group_op
4.sudo命令的執(zhí)行流程

1. 普通用戶執(zhí)行sudo命令時, 會檢查/var/db/sudo是否存在時間戳緩存
2. 如果存在則不需要輸入密碼, 否則需要輸入用戶與密碼
3. 輸入密碼會檢測是否該用戶是否擁有該權(quán)限
4. 如果有則執(zhí)行，否則報錯退出

執(zhí)行本身不能執(zhí)行的命令
sudo 配置文件為/etc/sudoers
peiqi ALL=(ALL) NOPASSWD:ALL
其中的NOPASSWD 是不需要輸入密碼
5.用戶組的管理
1.什么是用戶組
其實(shí)就是一種邏輯層面的定義，邏輯上將多個用戶歸納至一個組，當(dāng)我們對組操作，其實(shí)就相當(dāng)于對組中的所有用戶操作。
2.組有類別
對于用戶來說，組有幾種類別？
基本組，用戶只能有一個基本組，創(chuàng)建時可通過-g指定，如未指定則創(chuàng)建一個默認(rèn)的組(與用戶同名)，簡稱私有組
附加組，基本組不能滿足授權(quán)要求，創(chuàng)建附加組，將用戶加入該組，用戶可以屬于多個附加組

3.組的信息位置
組賬戶信息保存在/etc/group和/etc/gshadow兩個文件中。重點(diǎn)關(guān)注group
1./etc/group 配置文件解釋如下圖
head -1 /etc/group

2./etc/gshadow 配置文件解釋如下圖

• 超級用戶組 root 0
• 普通用戶組
  • 系統(tǒng)用戶組 1-999（centos7） 1-499（centos6）
  • 可登陸用戶組 1000-65535（centos7）500-65535 （centos6）

groupadd
-g 指定組id
-r 創(chuàng)建系統(tǒng)用戶組
組的文件
/etc/group

• 組名
• 密碼占位
• gid
• 組成員

/etc/gshadow

• 組名
• 密碼
• 組管理員的密碼
• 組成員

1 groupadd新增組
使用groupadd命令新增組，groupadd [-g GID] groupname

#創(chuàng)建基本組, 不指定gid
2 groupmod修改組
使用groupmod命令修改組

#-g 修改組gid
3.groupdel刪除組，
刪除時需要注意，如果用戶存在基本組則無法直接刪除該組，如果刪除用戶則會移除默認(rèn)的私有組，而不會移除基本組。

# 私有組的情況，直接刪除用戶，組也就沒了

4 gpasswd設(shè)置組密碼
使用gpasswd設(shè)置組密碼[擴(kuò)展，可以不會
[root@bgx ~]# groupadd devops
[root@bgx ~]# gpasswd devops
Changing the password for group devops
New Password:
Re-enter new password:
5 newgrp切換基本組身份
使用newgrp命令切換基本組身份[擴(kuò)展，可以不會

#1.檢查賬戶信息修改組信息
groupmod
-g 修改gid
-n 修改組名
刪除組
groupdel 刪除組
鏈接：https://www.cnblogs.com/coderxueshan/p/17930301.html
（版權(quán)歸原作者所有，侵刪）