CentOS 7 中用戶、密碼、組信息及相關(guān)配置的完整解析，涵蓋配置文件、屬性管理、密碼策略及 useradd 命令的用法和示例：

用戶與組信息存儲(chǔ)位置

用戶基本信息文件路徑：cat /etc/passwd如圖1所示字段格式（冒號(hào)分隔）用戶名:密碼占位符(x):UID:GID:描述信息:家目錄:登錄Shell

UID 規(guī)則：

0：root 用戶

1-999：系統(tǒng)用戶

1000-60000：普通用戶（默認(rèn)從 1000 開(kāi)始）

用戶密碼與安全屬性文件路徑：/etc/shadow如圖2所示字段格式（9 個(gè)字段）用戶名:加密密碼:最后修改密碼天數(shù):最小修改間隔:密碼有效期:過(guò)期前警告天數(shù):寬限期:賬號(hào)失效日:保留

加密算法標(biāo)識(shí)（密碼字段開(kāi)頭）

$6$：SHA-512（CentOS 7 默認(rèn)）

!! 或 *：賬戶被鎖定/無(wú)密碼

組信息文件路徑：/etc/group如圖3所示字段格式：組名:組密碼占位符(x):GID:組成員列表（逗號(hào)分隔）

附加組：用戶可屬于多個(gè)附加組（主組僅一個(gè)）

組密碼與管理文件路徑：/etc/gshadow如圖4所示字段格式：組名:加密密碼:組管理員:組成員

!：無(wú)有效密碼

用戶屬性與密碼策略配置

密碼策略文件文件路徑：/etc/login.defs關(guān)鍵參數(shù)PASS_MAX_DAYS 99999 # 密碼最長(zhǎng)有效期（默認(rèn)永不過(guò)期） PASS_MIN_DAYS 0 # 修改密碼的最小間隔天數(shù)（0 表示隨時(shí)可改） PASS_MIN_LEN 8 # 密碼最小長(zhǎng)度 PASS_WARN_AGE 7 # 密碼過(guò)期前警告天數(shù) UID_MIN 1000 # 普通用戶 UID 起始值 GID_MIN 1000 # 普通組 GID 起始值 CREATE_HOME yes # 是否自動(dòng)創(chuàng)建家目錄默認(rèn)用戶配置模板文件路徑：/etc/default/useradd默認(rèn)值示例如圖5所示

useradd 命令用法與示例

常用選項(xiàng)實(shí)用示例創(chuàng)建普通用戶（自動(dòng)生成 UID/GID）：如圖6所示useradd -m -s /bin/bash user創(chuàng)建用戶并指定屬性：如圖7所示useradd -u 11501 -g developers -G webadmins,db -d /opt/user2 -c "Dev User" user2創(chuàng)建系統(tǒng)用戶（禁止登錄）：如圖8所示useradd -r -s /sbin/nologin appuser設(shè)置密碼：如圖9所示echo "password123" | passwd --stdin user1 # root 可操作 passwd user1 # 交互式設(shè)置

密碼過(guò)期與賬戶鎖定管理

chage 命令查看/修改密碼策略：如圖10所示chage -l user1 # 查看策略 chage -M 90 -W 7 user1 # 設(shè)置有效期90天，提前7天警告 賬戶鎖定與解鎖如圖11所示passwd -l user1 # 鎖定賬戶（/etc/shadow 密碼前加 !!） passwd -u user1 # 解鎖

組管理命令

添加組：groupadd -g 2000 devgroup如圖12所示 修改組名：groupmod -n newgroup oldgroup如圖13所示 刪除組（需先移除成員）：groupdel devgroup如圖14所示 管理組成員：如圖15所示gpasswd -a user1 devgroup # 添加成員 gpasswd -d user1 devgroup # 移除成員

安全增強(qiáng)建議

強(qiáng)密碼策略

編輯 /etc/pam.d/system-auth，添加：

password requisite pam_pwquality.so retry=3 minlen=12 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1禁用 root SSH 登錄

修改 /etc/ssh/sshd_config：

PermitRootLogin no定期審計(jì)賬戶如圖16所示awk -F: ($3 >=1000) {print $1} /etc/passwd # 列出普通用戶 grep !! /etc/shadow # 檢查未激活賬戶

附：配置文件字段速查表

通過(guò)上述配置和命令，可高效管理 CentOS 7 用戶、組及密碼策略，提升系統(tǒng)安全性。