Linux如何管理系统默认用户和组-linux运维-PHP中文网

答案：Linux通过/etc/passwd、/etc/shadow、/etc/group等文件及useradd、groupmod等命令管理用户和组，确保系统安全与服务隔离。

linux如何管理系统默认用户和组

Linux管理系统默认用户和组的核心机制，在于一套基于文件和命令的权限与身份认证体系。它通过特定的配置文件（如

/etc/passwd

登录后复制

/etc/shadow

登录后复制

/etc/group

登录后复制

/etc/gshadow

登录后复制

）来存储用户和组的信息，并辅以一系列命令行工具（

useradd

登录后复制

usermod

登录后复制

userdel

登录后复制

groupadd

登录后复制

groupmod

登录后复制

groupdel

登录后复制

等）进行日常操作。这些默认的用户和组，从系统层面确保了服务的隔离性与安全性，是构建稳定、健壮Linux环境的基石。

解决方案

在Linux系统中，管理用户和组是一个基础且关键的系统管理任务。这不仅仅是创建几个账户那么简单，它关乎到整个系统的安全边界、资源访问控制以及服务的正常运行。我的经验告诉我，理解这些默认机制，远比死记硬背命令重要。

用户管理的核心要素：

每个用户在系统里都有一个唯一的数字标识符（UID）和一个用户名。这些信息主要存储在

/etc/passwd

登录后复制

文件中，它记录了用户的基本信息，包括用户名、加密密码占位符（实际密码哈希在

/etc/shadow

登录后复制

中）、UID、GID（主组ID）、用户全名或描述、家目录路径以及默认的Shell。

例如，创建一个新用户：

sudo useradd -m -s /bin/bash -g users -G sudo,docker newuser

登录后复制

这里，

-m

登录后复制

会自动创建家目录，

-s

登录后复制

指定了默认的Shell，

-g

登录后复制

设置主组，而

-g

登录后复制

则将用户添加到额外的辅助组。之后，务必为新用户设置密码：

sudo passwd newuser

登录后复制

一个健壮的密码策略是安全的第一道防线。

修改用户属性，比如更改用户名、家目录或附加组：

sudo usermod -l new_username old_username

登录后复制

（修改用户名）

sudo usermod -d /home/new_home -m newuser

登录后复制

（修改家目录并移动内容）

sudo usermod -aG www-data newuser

登录后复制

（将用户添加到

www-data

登录后复制

组，注意

-a

登录后复制

选项是追加，否则会覆盖原有辅助组）有时候，为了安全，我们可能需要禁用某个用户的登录权限，但不删除其账户：

sudo usermod -s /usr/sbin/nologin newuser

登录后复制

当一个用户不再需要时，删除它也很直接：

sudo userdel -r olduser

登录后复制

-r

登录后复制

参数会一并删除用户的家目录及其内容。但要小心，删除前最好备份重要数据，并确认该用户没有正在运行的服务或重要的文件。

组管理的核心要素：

组则是一组用户的集合，它们共享某些文件或目录的访问权限。每个组也有一个唯一的数字标识符（GID）和一个组名。组信息存储在

/etc/group

登录后复制

文件中，它记录了组名、加密密码占位符（实际密码哈希在

/etc/gshadow

登录后复制

中）、GID以及该组的成员列表。

创建一个新组：

sudo groupadd newgroup

登录后复制

或者指定一个GID：

sudo groupadd -g 2000 newgroup_with_specific_gid

登录后复制

修改组名或GID：

sudo groupmod -n new_groupname old_groupname

登录后复制

（修改组名）

sudo groupmod -g 2001 newgroup

登录后复制

（修改GID）

删除组：

sudo groupdel oldgroup

登录后复制

请确保没有用户将此组设为主组，否则删除可能会失败或导致问题。

管理组的成员是日常操作中的重头戏。你可以使用

gpasswd

登录后复制

命令：

sudo gpasswd -a user group

登录后复制

（将用户添加到组）

sudo gpasswd -d user group

登录后复制

（将用户从组中移除）

这些命令和文件构成了Linux用户和组管理的基础。深入理解它们，能让你在实际操作中更加游刃有余，也能更好地排查问题。

Linux系统默认用户和组有哪些，它们各自的用途是什么？

谈到Linux的默认用户和组，这其实是一个非常有趣的话题，因为它直接体现了“最小权限原则”和“职责分离”的设计哲学。我们安装完一个全新的Linux系统，会发现里面已经有了一大堆用户和组，它们看起来有些神秘，但各自都有明确的职责。

最核心的默认用户：

root (UID 0): 这是超级用户，拥有系统上所有权限。它能做任何事情，因此也是最危险的账户。日常操作中，我们应该尽量避免直接使用root登录，而是通过
```
sudo
```
登录后复制
命令以普通用户身份执行特权操作。
系统用户 (UID 1-999，具体范围可能因发行版而异): 这些用户通常没有交互式登录Shell，也没有家目录（或家目录指向
```
/
```
登录后复制
），它们的存在是为了运行特定的系统服务或程序。
- bin, daemon, sys: 这些是很早期的系统用户，通常用于拥有系统二进制文件或运行一些基础的守护进程。它们自身不执行太多操作，更多是作为权限上下文的标识。
- adm: 主要用于系统管理和日志相关的任务，例如可以访问某些日志文件。
- lp: 负责打印服务相关的操作。
- sync, shutdown, halt: 这些是系统关机或重启过程中使用的特殊用户。
- mail, postfix, dovecot: 如果你的系统运行邮件服务，你会看到这些用户，它们负责处理邮件的发送、接收和存储。
- www-data (或 apache, nginx): 这是Web服务器（如Apache, Nginx）运行进程时所使用的用户。将Web服务运行在一个低权限用户下，可以有效防止Web应用被攻破后对整个系统的影响。
- mysql, postgres: 数据库服务运行的用户，类似Web服务，也是为了隔离权限。
- nobody (UID 65534): 这是一个非常低权限的用户，通常用于网络文件系统（NFS）的匿名访问，或者某些服务在不需要任何特定权限时使用它作为执行上下文。它几乎没有任何权限，是安全的“沙盒”。

常见的默认组：

组的种类同样繁多，很多组与上述的系统用户同名，作为它们的主组。但也有一些特别重要的功能性组：

root: root用户的主组。
bin, daemon, sys, adm, lp, mail, users, nogroup, nobody: 这些通常是与同名系统用户关联的组，用于管理这些用户对特定资源的访问。
sudo (或 wheel): 这个组非常关键！它的成员可以通过
```
sudo
```
登录后复制
命令以root权限执行指令。将用户添加到这个组需要非常谨慎。
dialout, cdrom, floppy, audio, video, plugdev: 这些组通常用于管理用户对特定硬件设备的访问权限，比如串口、光驱、软驱、声卡、显卡或USB设备。
netdev: 允许用户管理网络设备。
docker: 如果安装了Docker，这个组的成员可以直接运行Docker命令，而无需
```
sudo
```
登录后复制
。这提供了便利，但也意味着需要对该组成员的权限有充分信任。

这些默认用户和组的设计，体现了Linux系统在多用户、多任务环境下的安全考量。每个服务或进程都尽量以其所需的最少权限运行，通过用户和组的隔离，降低了潜在的安全风险。理解它们，是进行有效系统管理和安全配置的第一步。

如何安全地添加、修改和删除Linux用户和组？

安全地管理用户和组，不仅仅是执行命令，更重要的是理解其背后的安全含义和最佳实践。我个人认为，这就像在建造一栋房子，每一扇门、每一道锁都得考虑周全，否则就会留下隐患。

安全地添加用户：

乾坤圈新媒体矩阵管家

新媒体账号、门店矩阵智能管理系统

查看详情

最小权限原则： 这是金科玉律。只赋予用户完成其工作所需的最小权限。例如，一个开发人员通常不需要
```
sudo
```
登录后复制
权限来修改系统配置文件。
```
sudo useradd -m -s /bin/bash -g developers -G project_alpha,ssh_users new_dev_user
```
登录后复制
这里，我将他设置了一个主组
```
developers
```
登录后复制
，并加入了特定的项目组和SSH访问组。
强密码策略： 为新用户设置一个复杂且难以猜测的密码。使用
```
sudo passwd new_dev_user
```
登录后复制
后，强制用户首次登录时修改密码是一个好习惯（尽管这通常需要额外的PAM配置）。
禁用不必要的Shell： 对于那些只需要访问特定服务而不需要登录Shell的用户（如数据库账户），将他们的Shell设置为
```
/usr/sbin/nologin
```
登录后复制
或
```
/bin/false
```
登录后复制
。
```
sudo useradd -m -s /usr/sbin/nologin -g services db_user
```
登录后复制
明确家目录权限： 确保新用户家目录的权限是安全的，通常是
```
drwxr-xr-x
```
登录后复制
或
```
drwx------
```
登录后复制
。
```
useradd -m
```
登录后复制
通常会设置合理的默认权限。

安全地修改用户：

审计变更： 任何对用户权限的修改，尤其是添加
```
sudo
```
登录后复制
权限或更改敏感组，都应该被记录和审计。
```
sudo usermod -aG sudo existing_user
```
登录后复制
（慎用！这会赋予用户root权限）在执行前，问自己：这个用户真的需要这个权限吗？
谨慎更改UID/GID： 更改用户的UID或主组的GID是一个复杂操作，因为它会影响到该用户或组拥有的所有文件和目录的权限。如果必须更改，通常需要配合
```
find
```
登录后复制
和
```
chown
```
登录后复制
/
```
chgrp
```
登录后复制
来修复文件权限。
```
sudo usermod -u 2000 -g 2000 existing_user
```
登录后复制
```
sudo find / -uid OLD_UID -exec chown -h NEW_UID {} +
```
登录后复制
```
sudo find / -gid OLD_GID -exec chgrp -h NEW_GID {} +
```
登录后复制
这需要非常小心，并且最好在维护窗口进行。
定期审查： 用户的权限和组 membership 应该定期审查，确保它们仍然符合最小权限原则。

安全地删除用户：

数据备份与归档： 在删除用户之前，务必备份其家目录中的所有重要数据，并考虑归档。
```
sudo tar -czvf /var/backups/olduser_home_backup.tar.gz /home/olduser
```
登录后复制
检查用户活动： 确认该用户没有正在运行的进程，也没有作为某个服务的运行账户。
```
ps -u olduser
```
登录后复制
可以帮助你检查。
删除用户及家目录：
```
sudo userdel -r olduser
```
登录后复制
```
-r
```
登录后复制
参数会删除用户账户和其家目录。如果用户拥有其他文件，这些文件将变为由UID数字标识的孤儿文件，可能需要手动查找和处理。
清理残留： 检查
```
/var/mail
```
登录后复制
、
```
cron
```
登录后复制
任务、
```
sudoers
```
登录后复制
文件等地方，确保没有该用户的残留配置。

安全地管理组：

避免滥用： 不要将所有用户都添加到“万能”组（如
```
users
```
登录后复制
或
```
sudo
```
登录后复制
），这会削弱权限隔离。
专用组： 为特定项目或服务创建专用组，并只将相关用户添加到这些组中。
```
sudo groupadd project_alpha
```
登录后复制
```
sudo gpasswd -a dev1 project_alpha
```
登录后复制
```
sudo gpasswd -a dev2 project_alpha
```
登录后复制
定期审查组员： 尤其是对于
```
sudo
```
登录后复制
、
```
docker
```
登录后复制
等高权限组，需要定期审查其成员列表，移除不再需要的成员。

记住，安全管理用户和组是一个持续的过程，它需要管理员的警惕、细致和对系统安全的深刻理解。

如何查看和审计Linux系统中的用户和组配置？

在Linux系统管理中，查看和审计用户与组的配置是确保系统安全和合规性的关键环节。这不仅仅是看一眼文件那么简单，更像是在做一次系统级的“体检”，需要细致入微地去发现潜在的健康问题。

查看用户和组信息：

最直接的方式是查阅配置文件：

用户基本信息：
```
cat /etc/passwd
```
登录后复制
你会看到类似
```
username:x:UID:GID:comment:home_dir:shell
```
登录后复制
的条目。
用户密码哈希和过期信息：
```
sudo cat /etc/shadow
```
登录后复制
这个文件权限非常严格，只有root能读。它包含
```
username:password_hash:last_change:min_days:max_days:warn_days:inactive_days:expiry_date:reserved
```
登录后复制
。这是审计用户密码策略的核心。
组基本信息：
```
cat /etc/group
```
登录后复制
格式为
```
groupname:x:GID:members
```
登录后复制
。
组密码哈希和管理员信息：
```
sudo cat /etc/gshadow
```
登录后复制
类似于
```
/etc/shadow
```
登录后复制
，但针对组。

除了直接查看文件，还有更友好的命令：

查看单个用户详细信息：
```
id username
```
登录后复制
它会显示用户的UID、主GID、所有辅助组的GID和名称。
查看用户所属的所有组：
```
groups username
```
登录后复制
这是一个快速查看用户组成员关系的方式。
查询用户或组信息（跨NSS）：
```
getent passwd username
```
登录后复制
或
```
getent group groupname
```
登录后复制
```
getent
```
登录后复制
命令更强大，它会查询Name Service Switch (NSS) 配置的所有源，包括本地文件、LDAP、NIS等，确保你获取的是最全面的信息。

审计用户和组配置：

审计是一个更主动、更深入的过程，旨在发现潜在的安全漏洞或不合规项。

密码策略审计：
- 检查密码过期时间：
```
chage -l username
```
  登录后复制
  查看用户的密码最后更改日期、最小/最大密码有效期、警告期等。确保所有用户都有合理的密码过期策略。
- 查找无密码用户或弱密码：直接分析
```
/etc/shadow
```
  登录后复制
  中的哈希值是困难的，但可以寻找空哈希或使用工具（如
```
john
```
  登录后复制
  或
```
hashcat
```
  登录后复制
  ）进行离线破解测试。
不活跃账户审计：
- 查找长时间未登录的用户：
```
lastlog
```
  登录后复制
  命令可以显示所有用户的最后登录时间。对于那些长时间未登录的账户，应考虑禁用或删除。
- 检查过期账户：
```
chage -l username
```
  登录后复制
  也能显示账户本身的过期日期。
特权账户审计：
- 审查
```
sudo
```
  登录后复制
  组成员：
```
grep -E '^sudo|^wheel' /etc/group
```
  登录后复制
  定期检查哪些用户被赋予了
```
sudo
```
  登录后复制
  权限，确保这些权限是必要的且经过授权的。
- ```
sudoers
```
  登录后复制
  文件审计：
```
sudo visudo -c
```
  登录后复制
  使用
```
visudo
```
  登录后复制
  命令安全地编辑和检查
```
/etc/sudoers
```
  登录后复制
  文件，确保其配置正确且没有不必要的权限赋予。
- 检查UID 0用户：除了root之外，不应该有其他用户的UID为0。`awk -