【BASH】回顾与知识点梳理（二十三）

【BASH】回顾与知识点梳理二十三

- 二十三. Linux 账号管理（二）
- - 23.1 账号管理
  - - 新增与移除使用者： useradd, 相关配置文件, passwd, usermod, userdel
    - - usermod
      - userdel
  - 23.2 用户功能（普通用户可使用）
  - - id
    - finger
    - chfn
    - chsh
  - 23.3 新增与移除群组
  - - groupadd
    - groupmod
    - groupdel
    - gpasswd：群组管理员功能
  - 23.4 账号管理实例
  - 23.5 使用外部身份认证系统

该系列目录 --> 【BASH】回顾与知识点梳理（目录）

二十三. Linux 账号管理（二）

23.1 账号管理

接上章，我们继续学习账号管理相关内容

新增与移除使用者： useradd, 相关配置文件, passwd, usermod, userdel

usermod

所谓这『人有失手，马有乱蹄』，您说是吧？所以啰，当然有的时候会『不小心手滑了一下』在 useradd 的时候加入了错误的设定数据。或者是，在使用 useradd 后，发现某些地方还可以进行细部修改。此时，当然我们可以直接到 /etc/passwd 或 /etc/shadow 去修改相对应字段的数据，不过，Linux 也有提供相关的指令让大家来进行账号相关数据的微调呢～那就是 usermod 啰

[root@study ~]# usermod [-cdegGlsuLU] username
选项与参数：
-c ：后面接账号的说明，即 /etc/passwd 第五栏的说明栏，可以加入一些账号的说明。
-d ：后面接账号的家目录，即修改 /etc/passwd 的第六栏；
-e ：后面接日期，格式是 YYYY-MM-DD 也就是在 /etc/shadow 内的第八个字段数据啦！
-f ：后面接天数，为 shadow 的第七字段。
-g ：后面接初始群组，修改 /etc/passwd 的第四个字段，亦即是 GID 的字段！
-G ：后面接次要群组，修改这个使用者能够支持的群组，修改的是 /etc/group 啰～
-a ：与 -G 合用，可『增加次要群组的支持』而非『设定』喔！
-l ：后面接账号名称。亦即是修改账号名称， /etc/passwd 的第一栏！
-s ：后面接 Shell 的实际文件，例如 /bin/bash 或 /bin/csh 等等。
-u ：后面接 UID 数字啦！即 /etc/passwd 第三栏的资料；
-L ：暂时将用户的密码冻结，让他无法登入。其实仅改 /etc/shadow 的密码栏。
-U ：将 /etc/shadow 密码栏的 ! 拿掉，解冻啦！

如果你仔细的比对，会发现 usermod 的选项与 useradd 非常类似！这是因为 usermod 也是用来微调useradd 增加的使用者参数嘛！不过 usermod 还是有新增的选项，那就是-L与-U，不过这两个选项其实与 passwd 的 -l, -u 是相同的！而且也不见得会存在所有的 distribution 当中！接下来，让我们谈谈一些变更参数的实例吧！

# 范例一：修改使用者 vbird2 的说明栏，加上『VBird's test』的说明。
[root@study ~]# usermod -c "VBird's test" vbird2
[root@study ~]# grep vbird2 /etc/passwd
vbird2:x:1500:100:VBird's test:/home/vbird2:/bin/bash# 范例二：使用者 vbird2 这个账号在 2015/12/31 失效。
[root@study ~]# usermod -e "2015-12-31" vbird2
[root@study ~]# chage -l vbird2 | grep 'Account expires'
Account expires : Dec 31, 2015# 范例三：我们建立 vbird3 这个系统账号时并没有给予家目录，请建立他的家目录
[root@study ~]# ll -d ~vbird3
ls: cannot access /home/vbird3: No such file or directory <==确认一下，确实没有家目录的存在！
[root@study ~]# cp -a /etc/skel /home/vbird3
[root@study ~]# chown -R vbird3:vbird3 /home/vbird3
[root@study ~]# chmod 700 /home/vbird3
[root@study ~]# ll -a ~vbird3
drwx------. 3 vbird3 vbird3 74 May 4 17:51 . <==用户家目录权限
drwxr-xr-x. 10 root root 4096 Jul 20 22:51 ..
-rw-r--r--. 1 vbird3 vbird3 18 Mar 6 06:06 .bash_logout
-rw-r--r--. 1 vbird3 vbird3 193 Mar 6 06:06 .bash_profile
-rw-r--r--. 1 vbird3 vbird3 231 Mar 6 06:06 .bashrc
drwxr-xr-x. 4 vbird3 vbird3 37 May 4 17:51 .mozilla
# 使用 chown -R 是为了连同家目录底下的用户/群组属性都一起变更的意思；
# 使用 chmod 没有 -R ，是因为我们仅要修改目录的权限而非内部文件的权限！

userdel

这个功能就太简单了，目的在删除用户的相关数据，而用户的数据有：

用户账号/密码相关参数：/etc/passwd, /etc/shadow
使用者群组相关参数：/etc/group, /etc/gshadow
用户个人文件数据： /home/username, /var/spool/mail/username…

整个指令的语法非常简单：

[root@study ~]# userdel [-r] username
选项与参数：
-r ：连同用户的家目录也一起删除# 范例一：删除 vbird2 ，连同家目录一起删除
[root@study ~]# userdel -r vbird2

这个指令下达的时候要小心了！通常我们要移除一个账号的时候，你可以手动的将/etc/passwd与/etc/shadow 里头的该账号取消即可！一般而言，如果该账号只是『暂时不启用』的话，那么将/etc/shadow 里头账号失效日期 (第八字段) 设定为 0 就可以让该账号无法使用，但是所有跟该账号相关的数据都会留下来！ 使用 userdel 的时机通常是『你真的确定不要让该用户在主机上面使用任何数据了！』

另外，其实用户如果在系统上面操作过一阵子了，那么该用户其实在系统内可能会含有其他文件的。举例来说，他的邮件信箱 (mailbox) 或者是例行性工作排程 (crontab, 十五章) 之类的文件。所以，如果想要完整的将某个账号完整的移除，最好可以在下达 userdel -r username 之前，先以『find / -user username』查出整个系统内属于 username 的文件，然后再加以删除吧！

23.2 用户功能（普通用户可使用）

不论是useradd/usermod/userdel，那都是系统管理员所能够使用的指令，如果我是一般身份使用者，那么我是否除了密码之外，就无法更改其他的数据呢？当然不是啦！这里我们介绍几个一般身份用户常用的账号数据变更与查询指令啰！

id

id 这个指令则可以查询某人或自己的相关 UID/GID 等等的信息，他的参数也不少，不过，都不需要记～反正使用 id 就全部都列出啰！另外，也回想一下，我们在前一章谈到的循环时，就有用过这个指令喔！ ^_^

[root@study ~]# id [username]

# 范例一：查阅 root 自己的相关 ID 信息！
[root@study ~]# id
uid=0(root) gid=0(root) groups=0(root) context=unconfined_u:unconfined_r:unconfined_t:
s0-s0:c0.c1023
# 上面信息其实是同一行的数据！包括会显示 UID/GID 以及支持的所有群组！
# 至于后面那个 context=... 则是 SELinux 的内容，先不要理会他！# 范例二：查阅一下 vbird1 吧～
[root@study ~]# id vbird1
uid=1003(vbird1) gid=1004(vbird1) groups=1004(vbird1)
[root@study ~]# id vbird100
id: vbird100: No such user <== id 这个指令也可以用来判断系统上面有无某账号！

finger

finger 的中文字面意义是：『手指』或者是『指纹』的意思。这个 finger 可以查阅很多用户相关的信息喔！大部分都是在 /etc/passwd 这个文件里面的信息啦！不过，这个指令有点危险，所以新的版本中已经默认不安装这个软件！好啦！现在继续来安装软件先～记得第九章 dos2unix 的安装方式！假设你已经将光驱或光盘映像文件挂载在 /mnt 底下了，所以：

[root@study ~]# df -hT /mnt
Filesystem Type Size Used Avail Use% Mounted on
/dev/sr0 iso9660 7.1G 7.1G 0 100% /mnt # 先确定是有挂载光盘的啦！
[root@study ~]# rpm -ivh /mnt/Packages/finger-[0-9]*

我们就先来检查检查用户信息吧！

[root@study ~]# finger [-s] username
选项与参数：
-s ：仅列出用户的账号、全名、终端机代号与登入时间等等；
-m ：列出与后面接的账号相同者，而不是利用部分比对 (包括全名部分)

# 范例一：观察 vbird1 的用户相关账号属性
[root@study ~]# finger vbird1
Login: vbird1 Name:
Directory: /home/vbird1 Shell: /bin/bash
Never logged in.
No mail.
No Plan.

由于 finger 类似指纹的功能，他会将用户的相关属性列出来！如上表所示，其实他列出来的几乎都是 /etc/passwd 文件里面的东西。列出的信息说明如下：

Login：为使用者账号，亦即 /etc/passwd 内的第一字段；
Name：为全名，亦即 /etc/passwd 内的第五字段(或称为批注)；
Directory：就是家目录了；
Shell：就是使用的 Shell 文件所在；
Never logged in.：figner 还会调查用户登入主机的情况喔！
No mail.：调查 /var/spool/mail 当中的信箱资料；
No Plan.：调查 ~vbird1/.plan 文件，并将该文件取出来说明！

不过是否能够查阅到 Mail 与 Plan 则与权限有关了！因为 Mail / Plan 都是与使用者自己的权限设定有关， root 当然可以查阅到用户的这些信息，但是 vbird1 就不见得能够查到 vbird3 的信息，因为 /var/spool/mail/vbird3 与 /home/vbird3/ 的权限分别是 660, 700 ，那 vbird1 当然就无法查阅的到！这样解释可以理解吧？此外，我们可以建立自己想要执行的预定计划，当然，最多是给自己看的！可以这样做：

# 范例二：利用 vbird1 建立自己的计划档
[vbird1@study ~]$ echo "I will study Linux during this year." > ~/.plan
[vbird1@study ~]$ finger vbird1
Login: vbird1 Name:
Directory: /home/vbird1 Shell: /bin/bash
Last login Mon Jul 20 23:06 (CST) on pts/0
No mail.
Plan:
I will study Linux during this year.# 范例三：找出目前在系统上面登入的用户与登入时间
[vbird1@study ~]$ finger
Login Name Tty Idle Login Time Office Office Phone Host
dmtsai dmtsai tty2 11d Jul 7 23:07
dmtsai dmtsai pts/0 Jul 20 17:59

在范例三当中，我们发现输出的信息还会有 Office, Office Phone 等信息，那这些信息要如何记录呢？底下我们会介绍 chfn 这个指令！来看看如何修改用户的 finger 数据吧！

chfn

chfn 有点像是： change finger 的意思！这玩意的使用方法如下：

[root@study ~]# chfn [-foph] [账号名]
选项与参数：
-f ：后面接完整的大名；
-o ：您办公室的房间号码；
-p ：办公室的电话号码；
-h ：家里的电话号码！

# 范例一：vbird1 自己更改一下自己的相关信息！
[vbird1@study ~]$ chfn
Changing finger information for vbird1.
Name []: VBird Tsai test <==输入你想要呈现的全名
Office []: DIC in KSU <==办公室号码
Office Phone []: 06-2727175#356 <==办公室电话
Home Phone []: 06-1234567 <==家里电话号码
Password: <==确认身份，所以输入自己的密码
Finger information changed.
[vbird1@study ~]$ grep vbird1 /etc/passwd
vbird1:x:1003:1004:VBird Tsai test,DIC in KSU,06-2727175#356,06-1234567:/home/vbird1:/bin/bash
# 其实就是改到第五个字段，该字段里面用多个『 , 』分隔就是了！
[vbird1@study ~]$ finger vbird1
Login: vbird1 Name: VBird Tsai test
Directory: /home/vbird1 Shell: /bin/bash
Office: DIC in KSU, 06-2727175#356 Home Phone: 06-1234567
Last login Mon Jul 20 23:12 (CST) on pts/0
No mail.
Plan:
I will study Linux during this year.
# 就是上面特殊字体呈现的那些地方是由 chfn 所修改出来的！

这个指令说实在的，除非是你的主机有很多的用户，否则倒真是用不着这个程序！这就有点像是 bbs 里头更改你『个人属性』的那一个资料啦！不过还是可以自己玩一玩！尤其是用来提醒自己相关资料啦！ ^_^

chsh

这就是 change shell 的简写！使用方法就更简单了！

[vbird1@study ~]$ chsh [-ls]
选项与参数：
-l ：列出目前系统上面可用的 shell ，其实就是 /etc/shells 的内容！
-s ：设定修改自己的 Shell 啰

# 范例一：用 vbird1 的身份列出系统上所有合法的 shell，并且指定 csh 为自己的 shell
[vbird1@study ~]$ chsh -l
/bin/sh
/bin/bash
/sbin/nologin <==所谓：合法不可登入的 Shell 就是这玩意！
/usr/bin/sh
/usr/bin/bash
/usr/sbin/nologin
/bin/tcsh
/bin/csh <==这就是 C shell 啦！
# 其实上面的信息就是我们在 bash 中谈到的 /etc/shells 啦！
[vbird1@study ~]$ chsh -s /bin/csh; grep vbird1 /etc/passwd
Changing shell for vbird1.
Password: <==确认身份，请输入 vbird1 的密码
Shell changed.
vbird1:x:1003:1004:VBird Tsai test,DIC in KSU,06-2727175#356,06-1234567:/home/vbird1:/bin/csh
[vbird1@study ~]$ chsh -s /bin/bash
# 测试完毕后，立刻改回来！
[vbird1@study ~]$ ll $(which chsh)
-rws--x--x. 1 root root 23856 Mar 6 13:59 /bin/chsh

不论是 chfn 与 chsh ，都是能够让一般用户修改 /etc/passwd 这个系统文件的！所以你猜猜，这两个文件的权限是什么？一定是 SUID 的功能啦！看到这里，想到前面！这就是 Linux 的学习方法～^_^

23.3 新增与移除群组

OK！了解了账号的新增、删除、更动与查询后，再来我们可以聊一聊群组的相关内容了。基本上，群组的内容都与这两个文件有关：/etc/group, /etc/gshadow。群组的内容其实很简单，都是上面两个文件的新增、修改与移除而已，不过，如果再加上有效群组的概念，那么newgrp 与 gpasswd 则不可不知呢！

groupadd

[root@study ~]# groupadd [-g gid] [-r] 组名
选项与参数：
-g ：后面接某个特定的 GID ，用来直接给予某个 GID ～
-r ：建立系统群组啦！与 /etc/login.defs 内的 GID_MIN 有关。

# 范例一：新建一个群组，名称为 group1
[root@study ~]# groupadd group1
[root@study ~]# grep group1 /etc/group /etc/gshadow
/etc/group:group1:x:1503:
/etc/gshadow:group1:!::
# 群组的 GID 也是会由 1000 以上最大 GID+1 来决定！

groupmod

跟 usermod 类似的，这个指令仅是在进行 group 相关参数的修改而已。

[root@study ~]# groupmod [-g gid] [-n group_name] 群组名
选项与参数：
-g ：修改既有的 GID 数字；
-n ：修改既有的组名

# 范例一：将刚刚上个指令建立的 group1 名称改为 mygroup ， GID 为 201
[root@study ~]# groupmod -g 201 -n mygroup group1
[root@study ~]# grep mygroup /etc/group /etc/gshadow
/etc/group:mygroup:x:201:
/etc/gshadow:mygroup:!::

不过，还是那句老话，不要随意的更动 GID ，容易造成系统资源的错乱喔！

groupdel

呼呼！ groupdel 自然就是在删除群组的啰～用法很简单：

[root@study ~]# groupdel [groupname]

# 范例一：将刚刚的 mygroup 删除！
[root@study ~]# groupdel mygroup# 范例二：若要删除 vbird1 这个群组的话？
[root@study ~]# groupdel vbird1
groupdel: cannot remove the primary group of user 'vbird1'

为什么 mygroup 可以删除，但是 vbird1 就不能删除呢？原因很简单，『有某个账号 (/etc/passwd) 的initial group 使用该群组！』如果查阅一下，你会发现在 /etc/passwd 内的 vbird1 第四栏的 GID 就是 /etc/group 内的 vbird1 那个群组的 GID ，所以啰，当然无法删除～否则 vbird1 这个用户登入系统后，就会找不到 GID ，那可是会造成很大的困扰的！那么如果硬要删除 vbird1 这个群组呢？你『必须要确认 /etc/passwd 内的账号没有任何人使用该群组作为 initial group 』才行喔！所以，你可以：

修改 vbird1 的 GID ，
或者是删除 vbird1 这个使用者。

gpasswd：群组管理员功能

如果系统管理员太忙碌了，导致某些账号想要加入某个项目时找不到人帮忙！这个时候可以建立『群组管理员』喔！什么是群组管理员呢？就是让某个群组具有一个管理员，这个群组管理员可以管理哪些账号可以加入/移出该群组！那要如何『建立一个群组管理员』呢？就得要透过 gpasswd 啰！

# 关于系统管理员(root)做的动作：
[root@study ~]# gpasswd groupname
[root@study ~]# gpasswd [-A user1,...] [-M user3,...] groupname
[root@study ~]# gpasswd [-rR] groupname
选项与参数：：若没有任何参数时，表示给予 groupname 一个密码(/etc/gshadow)
-A ：将 groupname 的主控权交由后面的使用者管理(该群组的管理员)
-M ：将某些账号加入这个群组当中！
-r ：将 groupname 的密码移除
-R ：让 groupname 的密码栏失效# 关于群组管理员(Group administrator)做的动作：
[someone@study ~]$ gpasswd [-ad] user groupname
选项与参数：
-a ：将某位使用者加入到 groupname 这个群组当中！
-d ：将某位使用者移除出 groupname 这个群组当中。

# 范例一：建立一个新群组，名称为 testgroup 且群组交由 vbird1 管理：
[root@study ~]# groupadd testgroup <==先建立群组
[root@study ~]# gpasswd testgroup <==给这个群组一个密码吧！
Changing the password for group testgroup
New Password:
Re-enter new password:
# 输入两次密码就对了！
[root@study ~]# gpasswd -A vbird1 testgroup <==加入群组管理员为 vbird1
[root@study ~]# grep testgroup /etc/group /etc/gshadow
/etc/group:testgroup:x:1503:
/etc/gshadow:testgroup:$6$MnmChP3D$mrUn.Vo.buDjObMm8F2emTkvGSeuWikhRzaKHxpJ...:vbird1:
# 很有趣吧！此时 vbird1 则拥有 testgroup 的主控权喔！身份有点像板主啦！# 范例二：以 vbird1 登入系统，并且让他加入 vbird1, vbird3 成为 testgroup 成员
[vbird1@study ~]$ id
uid=1003(vbird1) gid=1004(vbird1) groups=1004(vbird1) ...
# 看得出来，vbird1 尚未加入 testgroup 群组喔！
[vbird1@study ~]$ gpasswd -a vbird1 testgroup
[vbird1@study ~]$ gpasswd -a vbird3 testgroup
[vbird1@study ~]$ grep testgroup /etc/group
testgroup:x:1503:vbird1,vbird3

23.4 账号管理实例

账号管理不是随意建置几个账号就算了！有时候我们需要考虑到一部主机上面可能有多个账号在协同工作！举例来说，在大学任教时，我们学校的专题生是需要分组的，这些同一组的同学间必须要能够互相修改对方的数据文件，但是同时这些同学又需要保留自己的私密数据，因此直接公开家目录是不适宜的。那该如何是好？为此，我们底下提供几个例子来让大家思考看看啰：

任务一：单纯的完成上头交代的任务，假设我们需要的账号数据如下，你该如何实作？

账号名称	账号全名	支援次要群组	是否可登入主机	密码
myuser1	1st user	mygroup1	可以	password
myuser2	2nd user	mygroup1	可以	password
myuser3	3rd user	无额外支持	不可以	password

# 先处理账号相关属性的数据：
[root@study ~]# groupadd mygroup1
[root@study ~]# useradd -G mygroup1 -c "1st user" myuser1
[root@study ~]# useradd -G mygroup1 -c "2nd user" myuser2
[root@study ~]# useradd -c "3rd user" -s /sbin/nologin myuser3
# 再处理账号的密码相关属性的数据：
[root@study ~]# echo "password" | passwd --stdin myuser1
[root@study ~]# echo "password" | passwd --stdin myuser2
[root@study ~]# echo "password" | passwd --stdin myuser3

要注意的地方主要有：myuser1 与 myuser2 都有支援次要群组，但该群组不见得会存在，因此需要先手动建立他！然后 myuser3 是『不可登入系统』的账号，因此需要使用 /sbin/nologin 这个 shell 来给予，这样该账号就无法登入啰！这样是否理解啊！接下来再来讨论比较难一些的环境！如果是专题环境该如何制作？

任务二：我的使用者 pro1, pro2, pro3 是同一个项目计划的开发人员，我想要让这三个用户在同一个目录底下工作，但这三个用户还是拥有自己的家目录与基本的私有群组。假设我要让这个项目计划在 /srv/projecta 目录下开发，可以如何进行？

# 1. 假设这三个账号都尚未建立，可先建立一个名为 projecta 的群组，
# 再让这三个用户加入其次要群组的支持即可：
[root@study ~]# groupadd projecta
[root@study ~]# useradd -G projecta -c "projecta user" pro1
[root@study ~]# useradd -G projecta -c "projecta user" pro2
[root@study ~]# useradd -G projecta -c "projecta user" pro3
[root@study ~]# echo "password" | passwd --stdin pro1
[root@study ~]# echo "password" | passwd --stdin pro2
[root@study ~]# echo "password" | passwd --stdin pro3# 2. 开始建立此项目的开发目录：
[root@study ~]# mkdir /srv/projecta
[root@study ~]# chgrp projecta /srv/projecta
[root@study ~]# chmod 2770 /srv/projecta
[root@study ~]# ll -d /srv/projecta
drwxrws---. 2 root projecta 6 Jul 20 23:32 /srv/projecta

但接下来有个困扰的问题发生了！假如任务一的 myuser1 是 projecta 这个项目的助理，他需要这个项目的内容，但是他『不可以修改』项目目录内的任何数据！那该如何是好？你或许可以这样做：

将 myuser1 加入 projecta 这个群组的支持，但是这样会让 myuser1 具有完整的 /srv/projecta 的权限，myuser1 是可以删除该目录下的任何数据的！这样是有问题的；
将 /srv/projecta 的权限改为 2775 ，让 myuser1 可以进入查阅数据。但此时会发生所有其他人均可进入该目录查阅的困扰！这也不是我们要的环境。

真要命！传统的 Linux 权限无法针对某个个人设定专属的权限吗？其实是可以啦！接下来我们就来谈谈这个功能吧！

23.5 使用外部身份认证系统

有时候，除了本机的账号之外，我们可能还会使用到其他外部的身份验证服务器所提供的验证身份的功能！举例来说， windows 底下有个很有名的身份验证系统，称为 Active Directory (AD)的东西，还有 Linux 为了提供不同主机使用同一组账号密码，也会使用到LDAP, NIS等服务器提供的身份验证等等！

如果你的 Linux 主机要使用到上面提到的这些外部身份验证系统时，可能就得要额外的设定一些数据了！为了简化用户的操作流程，所以 CentOS 提供一只名为authconfig-tui的指令给我们参考，这个指令的执行结果如下：
在这里插入图片描述你可以在该画面中使用 [tab] 按钮在各个项目中间切换，不过，因为我们没有适用的服务器可以测试，因此这里仅是提供一个参考的依据，未来如果谈到服务器章节时，你要如果谈到服务器章节时，服器有印象，处理外部身份验证的方式可以透过 authconfig-tui 就好了！上图中最多可供操作的，大概仅有支持 MD5 这个早期的密码格式就是了！此外，不要随便将已经启用的项目 (上头有星号＊的项目) 取消喔！可能某些账号会失效…