1、用戶賬戶概述-AAA介紹

AAA指的是Authentication、Authorization、Accounting，即認(rèn)證、授權(quán)和審計(jì)。

?認(rèn)證：驗(yàn)證用戶是否可以獲得權(quán)限，是3A的第一步，即驗(yàn)證身份；

?授權(quán)：授權(quán)用戶可以使用那些服務(wù)或資源，即身份驗(yàn)證成功后，賦予這個(gè)身份相應(yīng)的權(quán)限；

?審計(jì)：記錄用戶的操作情況，在Linux中，日志就是審計(jì)的一種手段。

Linux的用戶和組管理可以說是基于AAA進(jìn)行的，首先用戶登錄輸入用戶名密碼，就是認(rèn)證的過程；其次，在用戶登錄成功后，所

擁有的權(quán)限各不相同，這就是授權(quán)；最后，用戶的操作歷史會記錄在日志中，這是審計(jì)。

2、用戶和用戶組的關(guān)系

用戶和用戶組的對應(yīng)關(guān)系有以下 4 種：

1).一對一：一個(gè)用戶可以存在一個(gè)組中，是組中的唯一成員；

2).一對多：一個(gè)用戶可以存在多個(gè)用戶組中，此用戶具有這多個(gè)組的共同權(quán)限；

3).多對一：多個(gè)用戶可以存在一個(gè)組中，這些用戶具有和組相同的權(quán)限；

4).多對多：多個(gè)用戶可以存在多個(gè)組中，也就是以上 3 種關(guān)系的擴(kuò)展。

3、用戶和用戶組的配置文件

用戶和組的信息存放在下面三個(gè)文件中

/etc/passwd 存儲用戶賬戶信息

/etc/shadow 存儲用戶密碼信息

/etc/group 存儲用戶組信息

4、用戶的配置文件

/etc/passwd：存儲用戶賬戶信息

存儲格式為，

name:password:UID:GID:comment:directory:shell

?name：用戶登錄名；

?password：用戶口令，用占位符x表示；

?UID：用戶ID，用戶登錄時(shí)，系統(tǒng)根據(jù)UID，而非用戶名來識別用戶；

?GID：用戶所屬的主組ID；

?comment：用戶的注釋信息；

?directory：用戶家目錄的絕對路徑；

?shell：用戶的默認(rèn)shell。

5、用戶密碼的配置文件

存儲格式為

登錄名:$加密算法$salt$加密了的密碼:最后一次更改密碼的日期:密碼最小期限:密碼最大期限:密碼警告時(shí)間段:密碼禁用期:賬戶過期日期:保留字段

6、用戶和用戶組ID

Linux系統(tǒng)使用UID（User ID）來標(biāo)識不同用戶。

UID是16bits的二進(jìn)制數(shù)字，所以換算成十進(jìn)制，UID的范圍是0~65535，Linux根據(jù)用戶類別，對UID劃分做了規(guī)定：

?管理員UID為0

Tips：當(dāng)用戶UID為0時(shí)，該用戶就是管理員，所以不只root才是管理員，可以手動指定，但不建議。

?普通用戶（1~65535）UID:

?0–99 系統(tǒng)使用

?100–499 特殊的系統(tǒng)用戶使用(比如:services and programs)

?SLES 9中, 普通用戶的UID從1000開始

7、用戶組的配置文件

存儲格式為，

group_name:password:GID:user_list

?group_name：組名；

?password：用戶組的口令，用占位符x表示，一般Linux用戶組都沒有口令；

?GID：組ID；

?user_list：用戶列表，注意，這里列出的是以該組為附加組的用戶列表，以此組為主組的用戶沒有列在此處。

8、用戶和用戶組管理命令

useradd

用于創(chuàng)建的新的系統(tǒng)用戶

補(bǔ)充說明：

useradd命令 用于Linux中創(chuàng)建的新的系統(tǒng)用戶。useradd可用來建立用戶帳號。帳號建好之后，再用passwd設(shè)定帳號的密碼．而可用userdel刪除帳號。使用useradd指令所建立的帳號，實(shí)際上是保存在/etc/passwd文本文件中。

語法:

useradd (選項(xiàng))

-d/--home-dir <登入目錄>： 指定用戶登入時(shí)的啟始目錄；

-g/--gid <群組>： 指定用戶所屬的群組；

-G/--groups <群組>： 指定用戶所屬的附加群組；

-m/--create-home 自動建立用戶的登入目錄

-s/--shell ： 指定用戶登入后所使用的shell；

-u/--uid ： 指定用戶id。

舉例：useradd -d /home/idtech -m -g idtech -s /bin/sh -u 1000 idtech

usermod

用于修改用戶的基本信息

補(bǔ)充說明

usermod命令 用于修改用戶的基本信息。usermod 命令不允許你改變正在線上的使用者帳號名稱。當(dāng) usermod 命令用來改變user id，必須確認(rèn)這名user沒在電腦上執(zhí)行任何程序。

語法

usermod(選項(xiàng))(參數(shù))

選項(xiàng)

-l <帳號名稱>：修改用戶帳號名稱；

-L 鎖定用戶密碼，使密碼無效；

-s ： 修改用戶登入后所使用的shell；

-u ： 修改用戶ID；

-U 解除密碼鎖定。

舉例：usermod -s /bin/bash idtech 或者直接修改/etc/passwd文件idtech用戶行配置

userdel

用于刪除給定的用戶以及與用戶相關(guān)的文件

補(bǔ)充說明

userdel命令 用于刪除給定的用戶，以及與用戶相關(guān)的文件。若不加選項(xiàng)，則僅刪除用戶帳號，而不刪除相關(guān)文件。

語法

userdel(選項(xiàng))(參數(shù))

選項(xiàng)

-f：強(qiáng)制刪除用戶，即使用戶當(dāng)前已登錄；

-r：刪除用戶的同時(shí)，刪除與用戶相關(guān)的所有文件。

舉例：userdel idtech

groupadd

用于創(chuàng)建一個(gè)新的工作組

語法

groupadd(選項(xiàng))(參數(shù))

選項(xiàng)

-g：指定新建工作組的id；

groupdel

用于刪除指定的工作組

補(bǔ)充說明

groupdel命令 用于刪除指定的工作組，本命令要修改的系統(tǒng)文件包括/ect/group和/ect/gshadow。若該群組中仍包括某些用戶，則必須先刪除這些用戶后，方能刪除群

組。

語法

groupdel(參數(shù))

參數(shù)

組：要刪除的工作組名。

passwd

用于讓用戶可以更改自己的密碼

補(bǔ)充說明

passwd命令 用于設(shè)置用戶的認(rèn)證信息，包括用戶密碼、密碼過期時(shí)間等。系統(tǒng)管理者

則能用它管理系統(tǒng)用戶的密碼。只有管理者可以指定用戶名稱，一般用戶只能變更自

己的密碼。

語法

passwd (選項(xiàng)) (參數(shù))

選項(xiàng)

-d：刪除密碼，僅有系統(tǒng)管理者才能使用；

-l：鎖住密碼；

-u：解開已上鎖的帳號。

9、文件目錄權(quán)限管理命令

chown

用來變更文件或目錄的擁有者或所屬群組

補(bǔ)充說明

chown命令 改變某個(gè)文件或目錄的所有者和所屬的組，該命令可以向某個(gè)用戶授權(quán)，使該用戶變成指定文件的所有者或者改變文件所屬的組。用戶可以是用戶或者是用戶D，用戶組可以是組名或組id。文件名可以使由空格分開的文件列表，在文件名中可以包含通配符。只有文件主和超級用戶才可以便用該命令。

語法

chown(選項(xiàng))(參數(shù))

選項(xiàng)

-R或——recursive：遞歸處理，將指定目錄下的所有文件及子目錄一并處理；

-v或——version：顯示指令執(zhí)行過程；

舉例：chown -R idtech /idtech/idtech

chmod

用來變更文件或目錄的權(quán)限

主要用途:

通過符號組合的方式更改目標(biāo)文件或目錄的權(quán)限。通過八進(jìn)制數(shù)的方式更改目標(biāo)文件或目錄的權(quán)限。通過參考文件的權(quán)限來更改目標(biāo)文件或目錄的權(quán)限。

參數(shù):

mode：八進(jìn)制數(shù)或符號組合。

file：指定要更改權(quán)限的一到多個(gè)文件。

選項(xiàng)

-R, --recursive：對目錄以及目錄下的文件遞歸執(zhí)行更改權(quán)限操作。

舉例：

chmod -R 777 /home/idtech

chmod +x /home/idtech

文件目錄權(quán)限掩碼

權(quán)限位包括3組，用八進(jìn)制表示rwxr-xr-x 即為755

su

是最簡單的用戶切換命令，通過該命令可以實(shí)現(xiàn)任何身份的切換。

? 普通用戶切換為 root 用戶

? root 用戶切換為普通用戶

? 普通用戶之間的切換。

注意：

? 普通用戶之間切換以及普通用戶切換至 root 用戶，都需要知曉對方的密碼，只有正確輸入密碼，才能實(shí)現(xiàn)切換；

? 從 root 用戶切換至其他用戶，無需知曉對方密碼，直接可切換成功。

舉例：

su 切換到root用戶

su idtech 切換到idtech用戶

10、使用其它用戶權(quán)限執(zhí)行命令

sudo命令

用法相對su命令，sudo的執(zhí)行僅需要輸入用戶自己的密碼即可，甚至可以設(shè)定不需要輸入密碼即可執(zhí)行超級管理員權(quán)限的命令。

并非所有人都能夠執(zhí)行sudo，且僅有規(guī)范到/etc/sudoers內(nèi)的用戶才能夠執(zhí)行sodu命令。

[sudo 指令 或 sudo -u username 指令]

表示以某用戶的環(huán)境執(zhí)行命令， 不加用戶表示以root用戶的身份執(zhí)行。

sudo執(zhí)行流程：

3.1 當(dāng)用戶執(zhí)行sudo時(shí)，系統(tǒng)在/etc/sudoers檔案中搜索該使用者是否具有 sudo執(zhí)行權(quán)限；

3.2 若使用者具備可執(zhí)行的sudo權(quán)限后，便讓使用者【輸入自己的密碼】來確認(rèn)；

3.3 若密碼輸入成功，便開始執(zhí)行sudo后續(xù)的指令（root執(zhí)行sudo時(shí)無需輸入密碼）；

3.4 若切換者的身份與執(zhí)行者相同時(shí)，也無需輸入密碼。sudo執(zhí)行失效為5分鐘，超過5分鐘需要重新輸入密碼。

舉例：

sudo passwd

sudo rm -rf /

修改root用戶密碼

使用root用戶權(quán)限刪除根目錄

使能普通用戶的sudo命令，該項(xiàng)操作就是統(tǒng)信UOS系統(tǒng)中的啟用“開發(fā)者模式”

visudo與/etc/sudoers

若要非root用戶執(zhí)行root權(quán)限，則root需要先使用visudo命令編輯/etc/sudoers文檔，讓該賬號用戶全部或部分root權(quán)限。

為什么要使用visudo，這是因?yàn)?etc/soduers具有語法限定，如果設(shè)定錯(cuò)誤會造成設(shè)置失效，因此才使用visudo命令去編輯，編輯結(jié)束離開文件時(shí)，系統(tǒng)會去檢測文件的語法。

編輯步驟如下：

輸入root賬戶下輸入visudo，或非root賬戶具備sudo權(quán)限的賬戶輸入：sudo

visudo。

進(jìn)入編輯模式，在root行下面新增一行：

root ALL=(ALL) ALL

test ALL=(ALL) ALL

顯示當(dāng)前用戶id

打印真實(shí)以及有效的用戶和所在組的信息

概要

id [OPTION]... [USER]...

主要用途

沒有選項(xiàng)時(shí)，打印指定用戶ID信息。

whoami

打印當(dāng)前有效的用戶ID對應(yīng)的名稱

概要

whoami [OPTION]...

主要用途

打印當(dāng)前有效的用戶ID對應(yīng)的名稱。

常用命令小結(jié)

?用戶管理：useradd，usermod，userdel

?組管理：groupadd，groupdel

?密碼管理：passwd

?文件目錄權(quán)限：chmod，chown

?其它相關(guān)命令：whoami，id，su，sudo