共计 3276 个字符,预计需要花费 9 分钟才能阅读完成。
Linux 是天生的多用户操作系统。这意味着什么?你的服务器上可以同时存在几十个用户,各干各的,互不干扰——前提是你把用户和权限管理搞明白了。
这篇文章带你吃透 Linux 用户与用户组管理的核心知识。读完之后,你能清楚地回答三个问题:用户信息到底存在哪?怎么增删改用户?用户组又是怎么回事?
## 先搞懂 Linux 的多用户体系
在 Linux 的世界里,每个用户都有一个唯一的数字编号,叫 UID(User ID)。系统内部认的不是用户名,而是这个数字。
用户大致分三类:
– **root 用户 **:UID 为 0,拥有系统最高权限,能干任何事。权力大,风险也大,日常操作别用它。
– ** 系统用户 **:UID 通常在 1-999 之间,给各种服务进程用的,比如 nginx、mysql。这些用户一般不能登录系统。
– ** 普通用户 **:UID 从 1000 开始,就是你我这样的真实使用者。
每个用户必须属于至少一个用户组。创建用户时,系统默认会建一个同名的组作为主组。你还可以把用户加到别的组里(附加组),方便做权限管理。
坦白说,很多新手觉得用户组没什么用。但当你管理一台多人协作的服务器时,用户组就是最省心的权限管理方式——给组设权限,组里的人自动继承,不用一个一个改。
## 三个关键文件,用户信息的 ” 数据库 ”
Linux 没有用花哨的数据库存用户信息,就是三个纯文本文件。了解它们的结构,排查问题时能帮大忙。
### /etc/passwd —— 用户账号信息
别被名字骗了,这个文件里其实没有密码(早期有,后来挪走了)。每一行代表一个用户,用冒号分隔成 7 个字段:
“`
username:x:UID:GID: 描述信息: 家目录: 登录 Shell
“`
举个真实的例子:
“`
zhangsan:x:1001:1001:Zhang San:/home/zhangsan:/bin/bash
“`
逐个字段解读:
| 字段 | 含义 | 示例 |
|——|——|——|
| username | 用户名 | zhangsan |
| x | 密码占位符,实际密码在 shadow 文件 | x |
| UID | 用户 ID | 1001 |
| GID | 主组 ID | 1001 |
| 描述信息 | 备注,可以为空 | Zhang San |
| 家目录 | 用户登录后的默认目录 | /home/zhangsan |
| 登录 Shell | 用户使用的命令解释器 | /bin/bash |
如果登录 Shell 是 `/sbin/nologin`,说明这个用户不能交互登录,通常是系统服务用户。
### /etc/shadow —— 密码的真正藏身处
这个文件只有 root 能读,存放加密后的密码和密码策略信息:
“`
zhangsan:$6$xxxx…:19800:0:99999:7:::
“`
关键字段包括:加密密码、上次修改时间、最短修改间隔、最长有效期、过期前警告天数等。如果密码字段是 `!!` 或 `*`,表示账号被锁定或没设密码。
### /etc/group —— 用户组信息
每行一个组,4 个字段:
“`
groupname:x:GID: 组成员列表
“`
“`
developers:x:1002:zhangsan,lisi
“`
组成员列表里用逗号分隔。注意,用户的主组关系记录在 `/etc/passwd` 的 GID 字段里,不会出现在这个成员列表中。
## 用户管理实操
### 创建用户:useradd
最基本的用法:
“`bash
useradd zhangsan
“`
这会自动完成:创建用户、分配 UID、创建同名主组、建立家目录。但新用户还没密码,不能登录。
更常用的是带参数创建:
“`bash
useradd -m -s /bin/bash -G developers -c “ 张三 ” zhangsan
“`
参数解释:
– `-m`:强制创建家目录
– `-s /bin/bash`:指定登录 Shell
– `-G developers`:加入附加组
– `-c “ 张三 ”`:添加备注信息
创建完别忘了设密码。
### 设置密码:passwd
“`bash
passwd zhangsan
“`
系统会让你输入两次新密码。普通用户只能改自己的密码,root 可以改任何人的。
几个实用技巧:
“`bash
# 锁定用户(禁止登录)
passwd -l zhangsan
# 解锁用户
passwd -u zhangsan
# 强制用户下次登录时修改密码
passwd -e zhangsan
“`
### 修改用户:usermod
用户创建后需要调整?用 `usermod`,参数和 `useradd` 很像:
“`bash
# 修改用户名
usermod -l newname zhangsan
# 修改家目录并迁移文件
usermod -d /home/newname -m zhangsan
# 添加附加组(注意 -a 参数,不加会覆盖原有附加组)
usermod -aG docker zhangsan
# 修改登录 Shell
usermod -s /sbin/nologin zhangsan
“`
这里有个坑要特别提醒:`-G` 不加 `-a` 会直接替换所有附加组。比如用户原来在 developers 和 docker 两个组,你执行 `usermod -G test zhangsan`,用户就只剩 test 这一个附加组了。所以追加组的时候,`-aG` 两个参数要一起用。
### 删除用户:userdel
“`bash
# 只删除用户,保留家目录
userdel zhangsan
# 连家目录一起删
userdel -r zhangsan
“`
我的建议是:生产环境别轻易加 `-r`。万一用户目录里有重要数据,删了就找不回来了。先把用户删掉(或锁定),确认没问题后再手动清理目录。
## 用户组管理
### 创建组:groupadd
“`bash
# 创建普通组
groupadd developers
# 指定 GID 创建
groupadd -g 2000 devops
“`
### 删除组:groupdel
“`bash
groupdel developers
“`
注意:如果某个用户的主组是这个组,删除会失败。你得先把用户的主组改掉。
### 修改组:groupmod
“`bash
# 改组名
groupmod -n newname oldname
# 改 GID
groupmod -g 3000 developers
“`
### 管理组成员:gpasswd
除了 `usermod -aG`,还可以用 `gpasswd` 来管理组成员:
“`bash
# 添加用户到组
gpasswd -a zhangsan developers
# 从组中移除用户
gpasswd -d zhangsan developers
“`
怎么说呢,`gpasswd` 在移除组成员时比 `usermod` 方便得多——`usermod` 没有 ” 从某个组中移除 ” 的直接选项。
## 几个常用的查询命令
日常管理中,经常需要查看用户和组的信息:
“`bash
# 查看当前用户的 UID、GID 和所属组
id zhangsan
# 查看用户属于哪些组
groups zhangsan
# 查看当前登录的是谁
whoami
# 查看系统当前所有登录用户
who
“`
`id` 命令输出示例:
“`
uid=1001(zhangsan) gid=1001(zhangsan) groups=1001(zhangsan),1002(developers)
“`
一目了然:UID、主组、附加组全有了。
## 实际运维中的几点建议
** 第一,别把所有事都用 root 做。** 给自己建个普通用户,需要权限时用 `sudo`。这不是多此一举——一个手滑的 `rm -rf /` 就够你哭的。
** 第二,善用用户组管理权限。** 比如项目目录设置为某个组可读写,把相关人员加进组就行,比一个个设 ACL 省事多了。
** 第三,离职员工的账号要及时处理。** 先用 `passwd -l` 锁定,确认没有遗留工作后再用 `userdel` 清除。
** 第四,定期检查 /etc/passwd 和 /etc/shadow。** 看看有没有异常用户,UID 为 0 的账号除了 root 不应该再有别的。
Linux 的用户管理看起来命令不少,但核心逻辑很简单:用户和组是权限管理的基本单元,三个文本文件记录了所有信息,增删改查各有对应的命令。把这些吃透了,日常管理基本不会卡壳。
