Linux批量创建用户、passwd、shadow、组管理、group、gshadow、默认配置文件login.defs、切换用户su、提升权限

在Linux中用户运行某个程序时，该程序的权限属于当前用户，进程所能够访问资源的权限取决于进程的运行者的身份。如果用户的id号为0，即使不叫root，他也是管理员；就算名字叫root它也可能是普通用户。当有多个不同名字的管理员时他们的id号都是0，不同名字管理员的操作也会分开记录，便于查阅。设置id号的另一便捷之处在于用户文件的交接，即管理员删除原用户名并且创建一个id号相同的新用户，原用户的文件就属于新用户了。在工作中时常要管理用户信息与部门信息，如批量创建用户，批量修改密码等，如果直接修改配置文件则有可能出错，因为配置文件都有相应的格式，许多配置文件必须Tab键打头才能被识别，因此最好使用专属命令修改配置文件。

用户组合权限管理

资源分配的安全3A

Authentication：认证

Authorization：授权

Accouting|Audition：审计

用户（user）

令牌token

管理员：root id=0

普通用户：系统用户：1-499（cent6），1-999（守护进程获取资源进行权限分配，是为某些系统服务准备的），nologin的类型

登录用户：（centos6）500+，（centos7）1000+，交互式登录

创建新建用户时，自动建立一个同名的私有组（private group），但必须要加入到一个主组（primary group）中

组（Group）

管理员组：root，0

id user #查看用户uid与名字、gid与名字与groups与所属组名

groups user #查看用户所属组名，无id号

普通组：-499，1-999；普通组：500+，1000+

Linux组名可与用户名相同，windows不可以#

主组（primary group）：一个用户只有一个，并且必须有一个

辅助组（secondary group）：一个用户可加入多个

私有组（private group）：新建用户自动创建的组

若创建文件的用户被删除了，该文件的拥有者和所属组不显示创建者。如果新建一个同id的用户，则该文件将属于新建用户，所以方便在工作中给新用户交接文件。

Linux中识别文件的归属不是看用户名与组名，识别是否管理员不是依据名字，而是依据id号#

用户信息的配置文件

whatis passwd | man 5 passwd #一般配置文件的帮助信息都在man 5

$/etc/passwd#$ :是一个有特定格式的用户及其属性信息文件（名字、UID、GID（primary group号）、描述信息、HOME目录、Shell类型）

pwconv：用户密码被转换到了/etc/shadow下，只有superuser才能read

pwunconv：不转换用户密码，直接显示在/etc/passwd的:x:位，此时没有shadow文件

$/etc/shadow#$ :用户密码及其相关属性（名字、（加密算法.salt.密码）、改口令时间（从1970到今的日数，如果设置为0，下次登入时必须改密码）、最短允许用户更改密码时间、最长允许不更改时间（小于最短时间表示永不允许更改密码），宽限期，账户有效期。

不设密码时为！！,此时不允许登录

passwd -e fz #马上失效密码，强制用户登录时修改

chage -d0 fz #马上失效密码，强制用户登录时修改

pwck #检查passwd的错误

usermod -U fz #解除:!!:“空密码”，解除两次之后可直接login，无需密码

usermod -L fz #锁定账号，不能登录，root能切换

getent passwd fz #只显示fz用户的信息

getent shadow fz #只显示fz的密码信息

$6:sha-512 最新的sha512加密算法 $1:md5-128 #已经不安全了 $5sha-256 #哈希算法是单向加密的

authconfig --passalgo=md5 --update #更换加密算法，新用户生效

chfn fz #增加第五列的描述信息

finger fz #查看fz用户的信息，包括shell类型和登录信息

echo jasonmc |passwd --stdin fz #设置密码，明文的，在history中有记录

chsh -s /bin/bash fz #更改fz的shell类型

/sbin/nologin #是一个可执行文件，shell类型指定为nologin将不可登录

touch /etc/nologin #系统维护，普通用户不能登录。在centos7上可 touch /run/nologin

vipw = vi /etc/passwd

组的配置文件
* $/etc/group#$ :组及其属性信息
* $/etc/gshadow#$ :组密码及其相关属性

gpasswd fz #设置组密码，如果组外用户知道密码则可自己加入该组，不安全，一般由root操作

新建文件默认属于当前用户的主组

groups user #查看用户所属的组

newgrp tom #临时切换当前用户的主组，此时新建文件的组属于tom

grpck #检查group文件的错误

vigr = vi /etc/group

创建用户

useradd fz

useradd -u 503 fz #创建一个指定uid的用户

useradd -u 0 -o fz #忽略检查uid唯一性

useradd -g newgroup fz #指定主组

useradd -G bin,root,ftp #多个辅助组 fz #指定新的辅助组，覆盖

useradd -aG bin,root,ftp fz #追加辅助组，不覆盖

useradd -d /home/newhome fz #指定新的家目录，父目录必须有，子目录必须没有

useradd -c “haha” #添加注释信息

useradd -N fz #不创建同名的主组，加入到id=100的user组

useradd -D 来自于 /etc/default/useradd文件 #创建普通用户时的默认选项，如shell类型，密码期限等，家目录及其一堆的文件，这些文件从/etc/skel拷贝，还会创建邮箱。 $创建系统用户时默认不会创建家目录与邮箱#$ 。

useradd -r #创建系统用户

$/etc/login.defs#$ #定义了所有的组与用户默认信息，包括邮箱、家目录、密码有效期、UID、加密算法。实质上通过authconfig –passalgo=sha6 –update修改的密码就是改了这个文件的信息。

cat <<EOF |newusers #用cat命令逐行输入，非常好用，EOF是多行重定向，或者这样：

newusers abc.txt #文件格式fz1:x:3001:3001::/home/fz1:/bin/bash #批量创建用户，注意不要用空行

cat <<EOF |chpasswd #cat多行重定向，逐行输入，非常方便，或者这样：

cat abc_pass.txt |chpasswd #fz1:lanfazong #批量密码，注意不要又空行

cp /etc/skel/.[^.]* /home/fz #复制skel下的文件到手动创建用户的家目录下，否则无法正常登录

usermod -u 20000 -g root -G bin，tom -s /bin/csh -d /home/new1 -m -c “hehe test” -l

newhehe -f 10 hehe #改了id，组，复制新家，新名字，最后期限（失效通牒）

userdel -r fz #删除用户，家目录，邮箱

组管理

groupmems -l -g root #查看root组的成员

groupmems -a fz -g root #增加fz到root组

groupmems -d fz -g root #删除

groupmod -G “ ” fz #删除所有辅助组

id -u fz #uid

id -g fz #gid

id -G fz #辅助组groups id

groups fz #用户所属的组

su切换用户

su user #不完全切换，非登录式切换，造成无法访问原来用户目录的情况，who am i显示登录用户，而不是切换用户

su - user #完全切换，登录式切换

su - root -c ‘cat /etc/passwd’ #方便普通用户完成root的命令，不必切换

如果普通用户编程管理员（usermod -og 0 fz）再改回普通用户就会出错#

安全上下文

用户运行某个程序时，该程序的权限属于当前用户，进程所能够访问资源的权限取决于进程的运行者的身份。