本文介绍Linux中创建、删除、修改用户和用户组，查看用户相关进程、查询用户历史操作等内容。

在Linux系统中，用户是指能够登录系统并使用资源的个体。每个用户都有一个唯一的用户名和对应的数字型用户ID（UID）。用户可以属于一个或多个用户组。Linux系统使用用户和用户组来管理对系统资源的访问权限，以确保系统的安全性和稳定性。

用户可以分为以下几类：

用户可以分为以下几类：

1. 超级用户（root）：拥有系统的最高权限，可以执行任何操作。
2. 系统用户：由系统创建的用户，通常用于运行特定的服务或程序，如www-data（Web服务器用户）、mysql（MySQL数据库用户）等。
3. **普通用户：**由管理员创建的用户，用于日常工作和管理。
   用户的信息存储在以下两个文件中：

/etc/passwd如：

可以看出，在Linux系统中，/etc/passwd文件列出的用户不仅包括实际的人类用户，还包括许多系统用户。这些系统用户主要用于运行和管理系统服务，而不是用于常规的登录和交互。这里是一些关键点来帮助你理解这些用户的存在和目的：

1. 系统用户：

这些用户通常用于特定的系统服务和守护进程（如web服务器、数据库服务等）。

系统用户通常不允许登录系统（即它们的shell通常设置为/usr/sbin/nologin或/bin/false），这是为了安全性，防止这些用户被用于普通的登录。

例如，www-data是web服务器（如Apache或Nginx）的默认用户，syslog用于系统日志服务，messagebus用于D-Bus消息总线系统。

2. 实际用户：

实际用户是指那些可以登录系统并进行交互的用户账户。这些用户的shell通常设置为/bin/bash或其他有效的shell。

在你提供的列表中，jclee95看起来像是一个实际的用户，因为它的shell设置为/bin/bash，并且有一个指向家目录的路径/home/jclee95。

用户组是 具有相似 属性 或 权限 的用户的集合。每个用户组也有一个 唯一的组名 和 对应的 数字型组ID（GID）。 用户组的存在简化了对用户的管理，可以方便地对一组用户进行权限控制。

用户组可以分为以下两类：

1. 主要组（Primary Group）：用户的默认组，在创建用户时指定。用户创建的文件的所属组默认为该用户的主要组。
2. 附属组（Secondary Group）：用户可以属于多个附属组，以获得对应组的权限。
   用户组的信息存储在以下文件中：

通过合理地规划和管理用户及用户组，可以有效地控制用户对系统资源的访问，提高系统的安全性和可管理性。

你可以使用vim打开/etc/group文件（也可以用cat命令简单查看）：

vim /etc/group

其内容结构如：

在 Linux 系统中，可以使用id命令查询用户的信息。该命令可以显示指定用户或当前用户的 用户ID（UID）、组ID（GID）以及所属的用户组信息。

id命令的基本语法如下：

id [OPTION]... [USER]...

以下是id命令的常用选项：

如果不指定任何选项，id 命令会打印一组有用的用户信息。

getent 命令是一个用于查询系统数据库的工具，它可以从不同的系统数据库中获取条目，如用户账户、组、主机名等。这个命令非常有用，因为它不仅可以访问传统的 /etc/passwd 或 /etc/group 文件，还可以查询由 nsswitch.conf 配置的其他数据源，例如 LDAP。

基本的 getent 命令格式如下：

getent [options] database [key ...]

其中：

• database：指定要查询的数据库名称；

• key：指定要查询的键值，例如用户名、组名等。

getent 支持多种数据库，这些数据库包括但不限于：

• passwd：用于获取用户账户信息。
• group：用于获取用户组信息。
• hosts：用于获取主机名和IP地址映射。
• services：用于服务和它们对应的端口号及协议。
• networks：网络名称和网络号。
• protocols：网络协议信息。
• shadow：用户密码信息（通常需要超级用户权限）。
• netgroup：网络组信息。

getent 提供了几个选项来修改其行为：

• -i, --no-idn：禁用国际化域名编码。
• -s, --service=CONFIG：指定服务配置。
• -?, --help：显示帮助信息。
• --usage：显示简短的使用信息。
• -V, --version：打印程序版本。

getent命令可以用来获取条目的数据库，如密码或组数据库。要列出所有用户，可以使用：

getent passwd

这将列出/etc/passwd文件的内容，其中包含了系统上每个用户的信息：

也可以指定用户组名以查询特定用户组，如：

getent passwd root

下面的命令将显示指定用户名的用户信息。

getent group

也可以指定用户组名以查询特定用户组，如：

getent group utmp

当然，该命令还可以查询其它的信息如查询特定服务可以用getent services ssh，这将显示SSH服务的端口和协议信息，感兴趣的读者可以自己试一试，这不是本文介绍的要点，因此不做展开。

getent 命令非常适合在多种数据源环境中工作，例如在使用 LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol）或其他网络服务进行用户和组管理的系统中。它提供了一种统一的方法来查询这些信息，无论它们实际存储在何处。

在前面的例子中，我们已经初步在各种零散的命令中接触了/etc/passwd、/etc/group文件。/etc/passwd、/etc/group、/etc/shadow等文件共同构成了Linux系统中用户和组管理的基础。

系统管理员可以通过修改这些文件来添加、删除、修改用户和组的信息，但通常建议使用专门的命令（如useradd、usermod、groupadd等）来进行这些操作，以确保数据的一致性和完整性。

在Linux系统中，/etc/目录下有几个重要的文件用于存储用户和组的信息。这些文件包括：

这些文件共同构成了Linux系统的用户和权限管理的基础。

/etc/passwd文件是Linux系统中的一个重要文件，它包含了系统中所有用户账户的信息。每一行代表一个用户，每行有7个字段，字段之间用冒号(:)分隔。例如：

其格式可以归纳为：

username:password:UID:GID:GECOS:directory:shell

这些字段的含义如下：

1. username：用户名。
2. password：密码字段，在现代Linux系统中通常为x，实际的密码哈希存储在/etc/shadow文件中。
3. UID：用户ID（User Identifier）。
4. GID：用户的主组ID（Group Identifier）。
5. GECOS：用户的全名或注释字段。
6. directory：用户的主目录。
7. shell：用户的默认登录Shell。

比如：

root:x:0:0:root:/root:/bin/bash

UID（用户标识符）是一个非负整数，用于在系统内部标识每个用户。在Linux系统中，UID为0的用户是超级用户（root），拥有最高权限。普通用户的UID通常从1000开始分配（在某些系统中可能从500开始）。

GID（用户组标识符）是一个非负整数，用于在系统内部标识每个用户组。在/etc/passwd文件中，GID字段表示用户的主组ID。用户可以属于多个组，但只能有一个主组。

/etc/group文件存储了系统中所有用户组的信息。每行代表一个组，字段之间用冒号(:)分隔，主要字段包括：

groupname:password:GID:user_list

1. groupname：组名。
2. password：组密码字段，通常为x，表示使用/etc/gshadow文件中的密码。
3. GID：组ID（Group Identifier）。
4. user_list：属于该组的用户列表，用户名之间用逗号(,)分隔。

/etc/shadow文件存储了用户密码的加密哈希值以及密码策略信息。这个文件的权限通常比较严格（只有root可读写），以保护用户密码的安全。每行代表一个用户，字段之间用冒号(:)分隔，例如：

可以看到一个用户行中，主要字段包括：

username:encrypted_password:last_change:min_days:max_days:warn_days:inactive_days:expiration_date

其中：

1. username：用户名。
2. encrypted_password：加密后的密码哈希值。
3. last_change：上次修改密码的日期（从1970年1月1日开始的天数）。
4. min_days：两次修改密码之间所需的最小天数。
5. max_days：密码的最长有效期（天数）。
6. warn_days：密码过期前多少天开始警告用户。
7. inactive_days：密码过期后多少天禁用账户。
8. expiration_date：账户的过期日期（从1970年1月1日开始的天数）。

在Linux系统中，用户的创建和删除是日常管理任务的一部分。这些操作通常通过命令行工具进行，以确保系统的用户管理是适当和安全的。

在Linux中，创建新用户通常使用useradd命令。这个命令允许管理员添加新用户并设置用户的初始配置，如用户的主目录、登录Shell等。其基本命令格式为：

sudo useradd [options] username

常用选项：

• -m, --create-home：创建用户的主目录。
• -d, --home-dir HOME_DIR：指定用户的主目录。
• -s, --shell SHELL：指定用户的登录Shell。
• -g, --gid GROUP：指定用户的初始登录组。
• -G, --groups GROUPS：指定用户的附加组。
• -u, --uid UID：为用户指定UID。

最简单的新增用户如：

sudo useradd test1

使用cat /etc/passwd命令可以查看到新增的一个名为test1的用户：

例如创建一个名为test2的用户，并通过-m选项为其创建主目录，通过-s选项指定bash（/bin/bash）为登录的Shell：

sudo useradd -m -s /bin/bash test2

通过指定-m参数，在home下新增了用户主目录：

在Linux系统中，创建用户后，通常需要为新用户设置密码以确保账户的安全性。密码可以通过passwd命令来设置。基本命令格式：

sudo passwd [username]

当运行此命令时，系统会提示你输入新密码，并要求再次输入以确认。
现在为为新创建的用户test1、test2设置密码：

可见，当运行此命令时，系统会提示你输入新密码，并要求再次输入以确认。

在创建用户时，可以指定用户的初始登录组（主组）和附加组。这可以通过useradd命令的-g（指定主组）和-G（指定附加组）选项来实现。

sudo useradd -g [主组] -G [附加组1,附加组2,...] [username]

• -g 选项后跟用户的主组ID或名称。

• -G 选项后跟一个或多个附加组ID或名称，用逗号分隔。

例如，先创建一个名为wheel的用户组，再创建一个名为test3的用户，将其主组设置为users，并将其添加到wheel和audio两个附加组：

sudo groupadd wheel

sudo useradd -m -s /bin/bash -g users -G wheel,audio test3

在Linux系统中，切换用户是一个常见的操作，特别是当你需要以不同用户的权限执行任务时。这可以通过使用su（substitute user或switch user）命令来实现。其基本命令格式为：

su [options] [username]

其中常用选项：

• - 或 -l 或 --login：以登录shell启动，这意味着会切换到用户的主目录，加载用户的环境变量等。
• -c 或 --command：作为指定用户运行单个命令，命令执行完毕后返回原用户。

如果不指定用户名，su命令默认切换到超级用户（root）。当执行su命令时，系统通常会要求输入目标用户的密码。

如切换到root用户：

su

切换到普通用户（例如test2）：

su - test2

这将切换到用户test2，并加载test2的用户环境。如果设置了密码，则需要输入

删除用户在Linux中通常使用userdel命令。这个命令允许管理员从系统中删除用户账户。其基本命令格式为：

sudo userdel [options] username

其中常用选项：

• -r, --remove：表示删除用户的同时，删除用户的主目录和邮件目录。

对于test1用户，可以直接删除它：

sudo userdel test1

可以看到用户test1被正常删除了。

如果删除刚刚创建的名为test1的用户及其主目录时使用 -r 选项：

sudo userdel -r test1

将有错误提示：

• userdel: test1 mail spool (/var/mail/test1) not found
• userdel: test1 home directory (/home/test1) not found

这是因为，创建 test1 用户时没有使用 -m 选项（或者相应的配置没有设置为自动创建主目录），则不会为该用户创建主目录。同样，邮件系统没有为该用户配置或创建邮件目录，该目录也不会存在。因此有上面的错误信息。
不过这不会妨碍用户的正常删除。

由于创建用户test2时使用了-m选项，如果我们希望删除用户时将对应的用户目录也一块删除，则删除用户时需要增加一个 -r 选项：

sudo userdel -r test2

这里使用 cat /etc/passwd | grep test2 过滤掉了其它用户行。可见删除后test2用户目录也删除了。（另外，/var/mail/test2 在test2用户创建时没有对应建立，这不影响。）

有时候，管理员可能需要修改现有用户的信息，如更改用户名、用户组、登录Shell或主目录等。这些操作通常通过命令行工具 usermod 来完成。该命令的基本命令格式为：

sudo usermod [options] username

其中选项有：

• -l, --login NEW_LOGIN：更改用户的登录名。

• -d, --home HOME_DIR：更改用户的主目录。

• -m, --move-home：移动用户的主目录内容到新位置。

• -s, --shell SHELL：更改用户的登录Shell。

• -g, --gid GROUP：更改用户的主组。

• -G, --groups GROUPS：更改用户的附加组。

• -a, --append：将用户添加到补充组，而不移除其它组。

• -u, --uid UID：更改用户的UID。

1. 更改用户名：
   将用户名从 oldname 更改为 newname：

sudo usermod -l newname oldname

2. 更改用户主目录：

更改用户 username 的主目录到 /new/home/dir 并移动现有内容：

sudo usermod -d /new/home/dir -m username

3. 更改登录Shell：

更改用户 username 的登录Shell为 /bin/zsh：

sudo usermod -s /bin/zsh username

4. 更改用户的主组和附加组：

更改用户 username 的主组为 newgroup，并设置附加组为 group1 和 group2：

sudo usermod -g newgroup -G group1,group2 username

5. 添加用户到附加组而不移除现有组：

将用户 username 添加到 additionalgroup 组，同时保留其在其他组的成员资格：

sudo usermod -aG additionalgroup username

管理和查询特定用户的进程是常见的系统管理任务，比如当你删除一个用户时，就需要关闭这个用户跑起来的进程。管理和查询特定用户的进程还可以帮助管理员监控资源使用情况、终止不需要的进程或调试用户级的应用问题。

使用 ps 命令结合适当的选项可以列出特定用户的所有进程：

ps -u username

例如查看当前用户test1对应的所有进程：

ps -u test1

可看到，输出将包括进程ID、终端、运行时间和命令名称等信息。

如果需要终止某个用户的所有进程，可以使用 pkill 或 killall 命令。

使用 pkill：

sudo pkill -u username

这个命令将发送SIGTERM信号到所有属于指定用户的进程，请求它们正常退出。

默认情况下，pkill 发送的是 SIGTERM 信号，这是一个“温和”的终止信号，允许进程进行清理操作后再退出。然而，并非所有进程都会响应 SIGTERM 信号，比如：。

可以使用kill进一步删除，如：

kill -s 9 7913

使用 killall：

sudo killall -u username

这个命令的作用类似于 pkill，也是发送SIGTERM信号来终止用户的所有进程。

默认情况下，pkill 和 killall 发送的是SIGTERM信号，该信号允许进程进行清理操作后再退出。如果进程没有响应，你可能需要发送更强制的信号，如SIGKILL（使用 -9 选项），例如 sudo pkill -9 -u username。

在Linux系统中，查询用户的历史操作通常涉及到查看用户的命令行历史记录。这可以帮助系统管理员了解用户在系统上执行了哪些命令，对于审计、监控或故障排查等场景非常有用。

Linux系统通常使用.bash_history文件来存储用户的命令行历史。这个文件位于用户的主目录下。

查看当前用户的命令历史可以使用下面的方法：

cat ~/.bash_history

或者者使用history命令：

history

可见，它们都将列出当前用户会话中执行的命令历史。

对于更详细的用户活动跟踪，可以使用Linux的审计系统（auditd）。auditd是一个强大的工具，可以配置来记录更详细的用户活动，包括文件访问、系统调用等。

sudo apt-get install auditd    # Debian/Ubuntu
# 或者
sudo yum install audit         # CentOS/RHEL

配置审计规则：
例如，要审计所有用户对特定文件的访问：

sudo auditctl -w /path/to/file -p war -k keyname

这里-w指定要监控的文件路径，-p指定要监控的操作（写入w、读取r、属性更改a），-k是一个标签，用于在报告中识别这条规则。

例如，要审计所有用户对特定文件的访问：

sudo auditctl -w /path/to/file -p war -k keyname

这里-w指定要监控的文件路径，-p指定要监控的操作（写入w、读取r、属性更改a），-k是一个标签，用于在报告中识别这条规则。

sudo ausearch -k keyname

这将显示所有标记为keyname的相关活动。