Linux 用户管理详解

Linux 系统的用户管理涉及创建、删除、修改用户和用户组，以及配置权限和访问控制。以下是对 Linux 用户管理的详细讲解，包括基本操作和常用命令。

1. 用户管理

1.1 创建用户

• 创建一个新用户：

sudo useradd username

这会创建一个新的用户，但不会为其创建主目录，也不会设置密码。

• 创建用户并创建主目录：

sudo useradd -m -s /bin/bash username

• -m：创建用户的主目录。
• -s：指定用户的默认 shell（如 /bin/bash）。

• 设置用户密码：

sudo passwd username

1.2 删除用户

• 删除用户：

sudo userdel username

• 删除用户及其主目录：

sudo userdel -r username

1.3 修改用户信息

• 更改用户的默认 shell：

sudo usermod -s /bin/zsh username

• 将用户添加到用户组：

sudo usermod -aG groupname username

• -aG：将用户追加到指定组。

• 更改用户的家目录：

sudo usermod -d /new/home/directory username

1.4 查看用户信息

• 查看所有用户：

cat /etc/passwd

• 查看特定用户的信息：

id username

2. 用户组管理

2.1 创建用户组

• 创建一个新用户组：

sudo groupadd groupname

2.2 删除用户组

• 删除一个用户组：

sudo groupdel groupname

2.3 修改用户组

• 更改用户组名称：

sudo groupmod -n newgroupname oldgroupname

2.4 将用户添加到用户组

• 将用户添加到现有组：

sudo usermod -aG groupname username

2.5 查看用户组信息

• 查看所有用户组：

cat /etc/group

• 查看用户所在的组：

groups username

3. 权限管理

3.1 修改文件和目录所有者

• 更改文件或目录的所有者和组：

sudo chown owner:group filename

• owner：新的文件所有者。
• group：新的文件组。

3.2 设置 SUID 和 SGID 权限

• SUID（Set User ID）：使文件以文件所有者的权限运行。

chmod u+s filename

• SGID（Set Group ID）：使文件以文件所在组的权限运行，或使目录内的文件继承目录的组。

chmod g+s directory

3.3 设置 Sticky Bit

• Sticky Bit：确保只有文件的所有者可以删除文件。

chmod +t directory

4 修改用户密码

4.1 修改当前用户的密码

如果你需要修改当前用户的密码，可以使用 passwd 命令：

passwd

系统会提示你输入当前密码，然后输入新密码。确认新密码后，密码会被更新。

4.2 修改其他用户的密码

如果你是超级用户（root）或具有适当权限的用户，可以修改其他用户的密码。使用以下命令：

sudo passwd username

将 username 替换为你要修改密码的用户名。系统会提示你输入新密码，并要求确认。

4.3 强制用户在下次登录时更改密码

为了增强安全性，可能需要强制用户在下次登录时更改密码。这可以通过设置密码过期策略来实现：

sudo chage -d 0 username

将 username 替换为目标用户名。这将使得用户在下次登录时被要求更改密码。

4.4 查看用户的密码过期信息

你可以查看用户的密码过期信息，了解密码的状态和过期日期：

sudo chage -l username

4.5 设置密码过期策略

你还可以使用 chage 命令设置密码的过期策略，例如设置密码过期时间：

• 设置密码有效期（以天为单位）：

sudo chage -M 30 username

这将设置密码在 30 天后过期。

• 设置密码过期前的警告期（以天为单位）：

sudo chage -W 7 username

这将设置用户在密码过期前 7 天收到警告。

5 禁止用户登录 SSH

在某些情况下，你可能需要禁止某个用户通过 SSH 登录到系统。下面是几种实现这一目标的方法：

5.1 修改 SSH 配置文件

你可以通过编辑 SSH 配置文件来禁止特定用户登录。以下是步骤：

1. 编辑 SSH 配置文件：

sudo nano /etc/ssh/sshd_config

2. 添加或修改以下行以禁用特定用户：

DenyUsers username

将 username 替换为你要禁止登录的用户名。你可以用空格分隔多个用户名。

3. 保存更改并重新启动 SSH 服务：

sudo systemctl restart ssh

5.2 修改用户的 shell

另一种方法是将用户的默认 shell 更改为一个不可登录的 shell（如 /sbin/nologin 或 /bin/false），这会阻止用户登录系统，包括通过 SSH。

1. 更改用户的 shell：

sudo usermod -s /sbin/nologin username

或

sudo usermod -s /bin/false username

这会使用户无法通过任何方式登录系统。

5.3 更新 /etc/hosts.deny文件

你可以通过更新 /etc/hosts.deny 文件来阻止用户通过 SSH 登录，但这种方法较为少用。

1. 编辑 /etc/hosts.deny 文件：

sudo nano /etc/hosts.deny

2. 添加以下行：

sshd: username

将 username 替换为你要禁止的用户名。

3. 保存更改。

5.4 禁用用户的 SSH 密钥

如果用户使用的是密钥认证，你可以从用户的 authorized_keys 文件中移除相应的公钥。确保你已经知道如何重新获得或替换密钥。

1. 编辑用户的 authorized_keys 文件：

sudo nano /home/username/.ssh/authorized_keys

2. 删除相关公钥行。
3. 保存更改。

6. 用户账户锁定与解锁

6.1 锁定用户账户

锁定账户将禁止用户登录系统，但不删除用户的文件或账户记录。你可以通过以下命令锁定账户：

sudo usermod -L username

6.2 解锁用户账户

要解锁用户账户，使其可以重新登录：

sudo usermod -U username

7 设置账户到期日期

你可以为用户设置账户的有效期，到期后用户将无法登录。

设置账户到期日期

sudo usermod -e YYYY-MM-DD username

将 YYYY-MM-DD 替换为账户过期的日期。

查看账户到期日期

sudo chage -l username

8 监控用户登录

你可以使用一些工具来监控用户的登录情况和历史记录。

查看用户登录历史

last username

查看用户的当前登录

w 或 who

9 管理用户的文件和目录

设置用户的配额

你可以设置用户的磁盘配额来限制用户可以使用的磁盘空间。

1. 启用配额：编辑 /etc/fstab 文件，确保文件系统的挂载选项包含 usrquota 或 grpquota。
2. 创建配额数据库：

sudo quotacheck -cug /mountpoint

1. 设置配额：

sudo edquota -u username

编辑用户的配额设置，保存更改后生效。

10 设置用户的环境变量

你可以为用户配置环境变量，影响用户会话中的默认设置。

为用户设置环境变量

1. 编辑用户的 .bashrc 或 .profile 文件：

nano /home/username/.bashrc

2. 添加环境变量：

export VAR_NAME=value

3. 应用更改：

source /home/username/.bashrc

11 配置用户的自定义提示符

你可以为每个用户设置个性化的 shell 提示符，增强用户体验。

11.1 编辑用户的 .bashrc 文件：

nano /home/username/.bashrc

11.2 添加自定义提示符设置：

PS1='[\u@\h \W]\$ '

说明：

• \u：表示当前用户名。比如，如果你以 john 用户登录，它会显示 john。
• @：是一个常量字符，用于分隔用户名和主机名。
• \h：表示当前主机名的短名称（不包括域名部分）。例如，如果你的计算机名称是 mycomputer.local，它会显示 mycomputer。
• \W：表示当前工作目录的基本名称（即，当前目录的最后一部分）。如果你在 /home/john/projects 目录下，它会显示 projects。
• \$：表示提示符符号。如果是普通用户，显示 $；如果是超级用户（root），显示 #。