[轉貼]Linux新增使用者和組

linux添加使用者原文:http://blog.chinaunix.net/u/12110/showart.php?id=60958添加使用者

要在系統上添加使用者：

1. 使用 useradd 命令來建立一個鎖定的使用者帳號：

   useradd <username>

2. 使用 passwd 命令，通過指派口令和口令老化規則來給某帳號開鎖：

   passwd <username>

useradd 的命令列選項在表 25-1中被列出。

<>選項 描述

-c comment	使用者的注釋。
-d home-dir	用來取代預設的 /home/ username 主目錄。
-e date	禁用帳號的日期，格式為：YYYY-MM-DD
-f days	口令到期後，帳號禁用前的天數（若指定了 0 ，帳號在口令到期後會被立刻禁用。若指定了 -1 ，口令到期後，帳號將不會被禁用）。
-g group-name	使用者預設組群的組群名或組群號碼（該組群在指定前必須存在）。
-G group-list	使用者是其中成員的額外組群名或組群號碼（預設以外的）列表，用逗號分隔（組群在指定前必須存在）。
-m	若主目錄不存在則建立它。
-M	不要建立主目錄。
-n	不要為使用者建立使用者私人組群。
-r	建立一個 UID 小於 500 的不帶主目錄的系統帳號。
-p password	使用 crypt 加密的口令。
-s	使用者的登入 shell，預設為 /bin/bash 。
-u uid	使用者的 UID，它必須是獨特的，且大於 499。

表 25-1. useradd 命令列選項

添加組群

要給系統添加組群，使用 groupadd 命令：

groupadd <group-name>

groupadd 的命令列選擇在表 25-2中被列出。

<>選項 描述

-g gid	組群的 GID，它必須是獨特的，且大於 499。
-r	建立小於 500 的系統組群。
-f	若組群已存在，退出並顯示錯誤（組群不會被改變）。如果指定了 -g 和 -f 選項，而組群已存在， -g 選項就會被忽略。

表 25-2. groupadd 命令列選項

口令老化

為安全起見，要求使用者定期改變他們的口令是明智之舉。這可以在 使用者管理員 的 「口令資訊」 標籤上添加或編輯使用者時做到。

要從 shell 提示下為使用者配置口令到期，使用 chage 命令，隨後使用表 25-3中的選項，以及使用者的使用者名稱。

重要：要使用 chage 命令，屏蔽口令一定要被啟用。

<>選項 描述

-m days	指定使用者必須改變口令所間隔的最少天數。如果值為 0,，口令就不會到期。
-M days	指定口令有效最多天數。當該選項指定的天數加上 -d 選項指定的天數小於當前的日期，使用者在使用該帳號前就必須改變口令。
-d days	指定自從 1970 年 1 月 1 日起，口令被改變的天數。
-I days	指定口令到期後，帳號被鎖前不活躍的天數。如果值為 0，帳號在口令到期後就不會被鎖。
-E date	指定帳號被鎖的日期，日期格式為 YYYY-MM-DD。若不用日期，也可以使用自 1970 年1月1日後經過的天數。
-W days	指定口令到期前要警告使用者的天數。

表 25-3. change 命令列選項

竅門：如果 chage 命令後緊跟著使用者名稱（無其它選項），它會顯示當前口令的老化數值並運行這些數值被改變。

如果系統管理員想讓使用者在首次登入時設定口令，使用者的口令可以被設定為立即到期，從而強制使用者在首次登入後立即改變它。

要強制使用者在首次登入到控制台時配置口令，請遵循以下步驟。注意，若使用者使用 SSH 協議來登入，這個過程就行不通。

1. 鎖住使用者的口令 — 如果使用者不存在，使用 useradd 命令來建立這個使用者帳號，但是不要給它任何口令，所以它仍舊被鎖。

   如果口令已經被啟用，使用下面的命令來鎖住它：

   usermod -L username

2. 強制即刻口令到期 — 鍵入下面的命令：

   chage -d 0 username

   該命令把口令最後一次改變的日期設定為 epoch（1970年1月1）。不管口令到期策略是否存在，這個值會強制口令立即到期

3. 給帳號開鎖 — 達到這一目的有兩種常用方法。管理員可以指派一個初始口令或空口令。

   警告:不要使用 passwd 來設定口令，因為它會禁用剛剛配置的口令即刻到期。

   要指派初始口令，遵循以下步驟：

   • 使用 python 命令來啟動命令列 python 解譯器。它的顯示如下：

     Python 2.2.2 (#1, Dec 10 2002, 09:57:09) [GCC 3.2.1 20021207 (Red Hat Linux 8.0 3.2.1-2)] on linux2 Type "help", "copyright", "credits" or "license" for more information. >>>

   • 在提示下，鍵入以下命令（把 password 替換成要加密的口令，把 salt 替換成恰巧兩個大寫或小寫字母、數字、點字元或斜線字元，譬如 + ab 或 + 12 ）：

     import crypt; print crypt.crypt(" password "," salt ")

     其輸出的加密口令類似於 12CsGd8FRcMSM 。

   • 鍵入 [Ctrl] - [D] 來退出 Python 解譯器。

   • 把加密口令的輸出剪貼到以下命令中（不帶頭尾的空格）：

     usermod -p " encrypted-password " username

   與其指派初始口令，你還可以使用以下命令來指派空口令：

   usermod-p"" username

   小心:使用空口令對使用者和管理員來說都很方便，但它卻帶有一個輕微的危險性——第三方可以會首先登入並進入系統。要減小這種威脅，推薦管理員在給帳號開鎖的時候校正使用者已經做好了登入準備。

   無論是哪一種情況，首次登入後，使用者都會被提示輸入新口令。

對進程的解釋

下列步驟示範了在啟用屏蔽口令的系統上使用 useradd juan 命令後的情形：

1. 在 /etc/passwd 檔案中新添了有關 juan 的一行。這一行的特點如下：

   • 它以使用者名稱 juan 開頭。

   • 口令欄位有一個“ x ”，表示系統使用屏蔽口令。

   • 500 或 500 以上的 UID 被建立。（在 Red Hat Linux 中，500 以下的 UID 和 GID 被保留為系統使用。）

   • 500 或 500 以上的 GID 被建立。

   • 可選的 GECOS 資訊被留為空白。

   • juan 的主目錄被設為 /home/juan/ 。

   • 預設的 shell 被設為 /bin/bash 。

2. 在 /etc/shadow 檔案中新添了有關 juan 的一行。這一行的特點如下：

   • 它以使用者名稱 juan 開頭。

   • 出現在 /etc/shadow 檔案中口令欄位內的兩個歎號（ !! ）會鎖住帳號。

     註記:如果某個加密的口令使用了 -p 標誌被傳遞，這個口令會被放置在 /etc/shadow 檔案中用於該使用者的那一行中。

   • 口令被設定為永不到期。

3. 在 /etc/group 檔案中新添了一行有關 juan 組群的資訊。和使用者名稱相同的組群叫做 使用者私人組群（user private group） 。關於使用者私人組群的詳情，請參閱第 25.1 節。

   在 /etc/group 檔案中新添的這一行具有如下特點：

   • 它以組群名 juan 開頭。

   • 口令欄位有一個“ x ”，表示系統使用屏蔽口令。

   • GID 與列舉 /etc/passwd 檔案中使用者 juan 行中的相同。

4. 在 /etc/gshadow 檔案中新添了有關 juan 組群的一行。這一行的特點如下：

   • 它以組群名 juan 開頭。

   • 出現在 /etc/gshadow 檔案中口令欄位內的一個歎號（ ! ）會鎖住該組群。

   • 所有其它欄位都為空白。

5. 用於使用者 juan 的目錄被建立在 /home/ 目錄之下。該目錄為使用者 juan 和組群 juan 所有。它的讀寫和執行許可權僅 為使用者 juan 所有。所有其它許可權都被拒絕。

6. /etc/skel/ 目錄（包含預設使用者設定）內的檔案被複製到建立的 /home/juan/ 目錄中。

這時候，系統上就存在了一個叫做 juan 的被鎖的帳號。要啟用它，管理員必須使用 passwd 命令該帳號指派一個口令，或者還可以設定口令老化規則。