1、用户配置文件和密码配置文件

 

之前用到过一个命令 useradd ，这是一个创建用户（增加用户）的命令，

首先来看一个配置文件 /etc/passwd ，见下图，

passwd 这个文件就是用户的密码文件，是一个核心的配置文件。创建一个新的用户，都会在这个文件下增加一行内容，看一下最后的三行，是之前创建的用户：lys 和 user1 。

分析一下这些用户的组成，可以看到每个用户都由“：”分割成7段。每段含义为：第一段是用户名；第二段都是 x （表示密码）；第三段是所有者ID（即uid）；第四段是所属组ID（即gid）；第五段表示用户的注释信息，没有实质作用，且多数为空，不需太关注；第六段为用户的加目录，root用户为 /root/ ，普通用户为 /home/用户名 ；第七段为用户的 shell 。一般情况下，第七段为 /bin/bash 表示这个用户是可以登录的，而如果是 /sbin/nologin ，则表示这个用户是不能登录的，即使设置了密码也是不能登录的。

还有一个文件是专门存放密码的，为 /etc/shadow ，见下图，

文件 /etc/shadow 上的内容和 /etc/passwd 上的用户是一一对应的。这个文件是专门用来控制用户的密码的，与 /etc/passwd 类似，每个用户都由“：”分割成了九段。每段含义为：第一段是用户名；第二段是用户的密码，在 Linux 系统当中只有 root 用户有密码，还是加密的，而且这个密码是不能编译的，其他用户都是 * 或 !! ；第三段是一个数字，表示天数，从1970年1月1日开始到更改密码的天数；第四段数字默认是0，表示的是更改密码不受时间限制；第五段数字默认是99999，表示的是密码多少天后到期；第六段数字默认是7，表示密码到期前警告的提醒天数；第七段默认为空，表示账户的失效期限；第八段默认为空，表示账户在1970年1月1日以来将被禁用的天数；第九段默认为空，为保留字段，没有实际意义。

做个实验，给用户 lys 设置一个密码，这个密码和 root 的密码一样，见下图，

上图中，命令 head -n1 /etc/shadow; tail -n3 /etc/shadow ，表示在一行打两个命令，用分号做分割。可以看出，用户 root 和用户 lys 的密码虽然是一样的，但是加密的字符串是不一样的。

现在来看一下 man shadow ，见下图，

注意上图中，有个最近更改密码的日期，计算方法是从1970年1月1日开始到更改密码的天数，这是第三段的数字内容。有一行内容是 sp_min - days before which password may not be changed ，意思为要过多少天才可以更改密码，这是第四段的内容，默认为0表示不受限制。下一行内容是 sp_max - days after which password must be changed ，意思为密码多少天后到期，这是第五段的内容，默认为99999 。下一行内容是 sp_warn - days before password is to expire that user is warned of  pending password expiration ，意思为密码到期前的警告天数，默认为 7 ，即前7天会跳出警告，提醒密码7天后到期，这是第六段的内容。下一行内容是 sp_inact - days after password expires that account is considered inactive and disabled ，表示为账号的失效期限，默认为空，这是第七段的内容。下一行内容是 sp_expire - days since Jan 1, 1970 when account will be disabled ，表示为账户的生命周期，跟第三段差不多，意思为账户在1970年1月1日以来将被禁用的天数，这是第八段的内容。下一行内容是 sp_flag - reserved for future use ，为保留字段，没有实际意义，默认为空，这是第九段的内容。

以上就是密码配置文件的内容意义，仅作了解，正常工作中是用不到的。

 

2、用户组管理

 

还有一个关于组的文件，/etc/group 见下图，

这个和文件 /etc/passwd 不太一样，没有完全对应上，但是 /etc/passwd 文件有的，这边都有，关于字段的含义，也不用深究，意思都差不多。

再来看一个文件 /etc/gshadow ，这是和 /etc/shadow 对应的文件，见下图，

这个文件 /etc/gshadow 也是组的密码配置文件。再来看下图情况，都会发现有两个文件，

上图中的命令都是按两下 Tab 键的结果，其中带-号的文件，都是系统自动备份的文件。如果不小心删除掉原来的文件，就可以通过拷贝系统自动备份的文件来恢复原来的文件。

 

关于组有两个命令要介绍，一个是命令 groupadd ，增加组的意思，另一个命令是 groupdel ，删除组的意思。

现在创建一个组 grp1 ，见下图，

增加组的同时可以指定 ID ，组 grp1 的ID是1003，再新建一个指定 g ID 为 1005 的组 grp2 ，自定义ID最好是1000以上的，否则都会显示已经存在。

既然可以创建组，也可以删除组，使用命令 groupdel ，见下图，

现在把组 user1 删除掉，见下图，

系统提示不能删除用户 user1 的主组，这是因为组 user1 里面有一个用户 user1 。也就是说，删除一个组的前提条件是这个组里面没有用户。

 

3、用户管理

 

之前介绍过命令 useradd ，增加用户的意思，现在来继续创建一个用户 user2 ，见下图，

上图框框中的第三段 uid 为数字 1002 和 1003 ，说明普通用户创建的 uid 是从 1000 开始的，见下图，

上图中可以看出，创建用户的时候，uid 是很有规律的往后顺延，那么我们在创建用户的时候也是可以自定义用户的 uid ，见下图，

前面将 grp2 的 gid 自定义为 1005 ，现在直接在组 grp2 上创建 uid 为 1005 的用户 user3 。

上图红色框框中，加目录和 shell 都没有改动，依然是默认的。现在来尝试一下创建用户的同时指定用户的加目录和 shell ，见下图，

输入命令 useradd -u 1006 -g grp2 -d /home/liy111 -s /sbin/nologin user4 ，可以看到新建的用户 user4 的 uid 为1006 ，gid 为 1005 ，加目录为 /home/liy111 ，shell 为 /sbin/nologin 。后面输入命令 ls /home/ ，验证了目录 /home 下面也是有加目录 /liy111 的。

我们还可以在创建用户的时候，不创建加目录，见下图，

可以看出，目录 /home 下面没有目录 user5 ，所以 -M 选项的作用是创建用户的同时不创建加目录，那么用户 user5 到底有没有加目录呢？当然是有的，就是 /home/user5 ，只不过这个目录不存在而已，没有创建。

上图中，还能发现一个规律，uid 的命名是顺延的，创建用户 user5 的时候，没有指定 uid ，默认的 1007 是接着 1006 命名的，那么 gid 是不是也这样呢，再来做实验验证一下，见下图，

gid 为 1010 是我们指定的，接下来再创建一个用户 user8 ，什么也不指定，看看默认的 uid 和 gid 会是什么？见下图，

上图红色框框中可以看出 gid 是 1009 ，这和上面的 1010 没有关系，说明创建用户的时候，默认的 gid 是不会根据之前的 gid 的数字顺延，仅仅会根据 uid 的数字增加。

有的资料会显示 useradd 和 adduser 的命令是一样的，见下图，

 

还有一个删除用户的命令 userdel ，见下图，

执行命令 userdel user11 ，再用命令 tail -n7 /etc/passwd 查看，可以看到 user11 用户确实被删除了，但是用命令 ls /home/ 查看，加目录 user11 还在。这是因为系统默认用户 user11 的文件或许还有用处，就没有删除，而是留给管理员来手动操作删除加目录这一步。

也有命令选项是可以直接删除用户加目录的，见下图，

给命令 userdel 加个 -r 选项就可以实现。