Linux常用命令之--useradd，userdel，usermod，groupadd，groupdel，groupmod，gpasswd

會創建用戶，并同時創建和用戶同名的組；郵件文件；家目錄（默認存放在/HOME/里的同名文件夾里）

成都創新互聯公司為企業級客戶提高一站式互聯網+設計服務，主要包括成都網站制作、成都網站設計、手機APP定制開發、微信小程序定制開發、宣傳片制作、LOGO設計等，幫助客戶快速提升營銷能力和企業形象，創新互聯各部門都有經驗豐富的經驗，可以確保每一個作品的質量和創作周期，同時每年都有很多新員工加入，為我們帶來大量新的創意。 

語 法：useradd [選項] 用戶名

常用選項 :

? -c 備注 加上備注文字

? -d 目錄 指定用戶登入時的啟始目錄

useradd -d /tmp/jack jack

cat /etc/passwd jack 已經為/tmp/jack了，說明創建成功了。但是cd到/tmp/里看不到

jack的文件夾，是因為權限不夠，如果關掉SeLinux或者賦予它權限了就可以看到jack文件夾了

? -g 群組 　 指定用戶所屬的群組

? -G 群組 　 指定用戶所屬的附加群組

? -m /-M　 自動建立(-m)用戶的登入目錄或不自動創建

? -n 　 取消建立以用戶名稱為名的群組

? -s shell　 　 指定用戶登入后所使用的shell （不加-s的默認shell為/bin/bash）

/sbin/nologin 沒有可登錄的shell

? -u uid 　指定用戶ID

useradd -n -G natasha tom

建新用戶在不指定的情況下UID和GID是一樣的，但是因為這里用-n取消建立以用戶

名稱為名的群組，所以 cat /etc/passwd 的時候發現GID為100，和cat /etc/group里users組的GID是一樣的，由此可知在不建立以用戶名稱為名的群組的時候新建的用戶主屬組都是users，而用-G指定tom的附加群組為natasha，因此在 cat /etc/group 的時候出現的是natasha:x:1003:tom (1003是natasha的GID)

useradd -g natasha tom

用-g指定tom的主群組為natasha，因此在cat /etc/group里沒有tom群組，在cat

/etc/passwd里出現的是tom:x:1006:1003::/home/tom:/bin/bash

(1003是natasha的GID)

語 法：userdel [選項] 用戶名

常用選項

? -r 刪除用戶登入目錄以及目錄中所有文件 (不加-r不會自動刪除同名組，郵件文件和家目錄，如果先通過userdel刪除了用戶，之后想刪除其同名組，郵件文件和家目錄需要用rm命令手動一個個刪除)，但是如果只刪除了用戶，沒刪除的里面的各種文件使用的還是原來創建這個用戶時的UID，所以一旦其他用戶使用了這個UID，還是沒辦法通過rm手動刪除

? -f 強制刪除用戶

語 法：usermod [選項] 用戶名

常用選項

? -c：改變用戶的描述信息

? -d：改變用戶的主目錄，如果加上-m則會將舊家目錄移動到新的目錄中去 (-m應加在新目錄之后)

usermod -d 目的文件夾 用戶名

? -g：改變用戶的主屬組

? -G：設置用戶屬于哪些組

? -l：改變用戶的登錄用名

不會改變屬組的名稱，原來的登錄用戶屬于哪個組，現在還是屬于哪個組

? -s：改變用戶的默認shell ，如果將一個用戶的shell指定為sbin/nologin的話用su -l 用戶名進不去，會顯示回顯：This account is currently not available.

? -u：改變用戶的UID

? -L：鎖住密碼，使密碼不可用，這時在/etc/shadow文件里該用戶的密碼第一位為！

通過 usermod -L 用戶名鎖住密碼，這時在root用戶下su -l 用戶名還是可以進入到系統中，因為root用戶su到任意用戶里都是不需要密碼的。但是如果登出root用戶，用該用戶登錄時就會顯示sorry,that didn’t work,please try again.

? -U：為用戶密碼解鎖

passwd 用戶名，然后輸入兩次密碼改密碼，root的可以修改其他user的密碼，但是root以外的用戶只能修改自己的密碼。只有root用戶可以用這個命令改密碼。如果是普通用戶要改自己的密碼的話，直接登錄自己的普通用戶賬戶，輸入passwd即可改密碼。

root以外的其他用戶需要遵循密碼最小生存周期，比如如果是1的話一天之內最多改一次。而root用戶沒有這個限制

系統用戶可以直接修改/etc/group文件達到管理組的目的，也可以使用以下指令：

※一個組的管理員不一定要包含在這個組當中

※一個組可以有多個管理員

※一個人也可以在多個組中擔任管理員

例： gpasswd -A user2 pools 將user2設置為組管理員

想將管理員改成user3的時候： gpasswd -A user3 pools

想新增管理員user3的時候： gpasswd -A user2,user3 pools

cat /etc/gshadow 可以看到一個組的管理員是誰

? gpasswd –a 用戶名 用戶組：將一個用戶添加入一個組（從屬組）

? gpasswd –M 用戶名… 用戶組：將多個用戶添加入一個組（從屬組）

※這里的M是modify的縮寫，添加完會覆蓋原來已經添加到這個組的組員

? gpasswd –d 用戶名 用戶組：將一個用戶從一個組刪除

gpasswd只能修改用戶的從屬組，想指定/改變主屬組只能通過useradd/usermod

linux如何修改用戶的密碼

linux修改密碼命令的方法是：

1、普通用戶一般使用該命令都是修改登錄密碼，使用方法也很簡單，只有在提示符下輸入 passwd ，按照提示輸入原密碼，然后再兩次輸入新密碼就可以了，但是要注意密碼的復雜度，否則系統不會接受。

2、passwd命令的使用方法（root用戶）。root用戶通常可以在不需要知道用戶原密碼的情況下修改所有用戶的密碼，只需要輸入密碼passwd用戶名即可，按照提示兩次輸入新密碼就能夠設置完成。如果密碼在設置過程中不符合復雜度，系統會提示，但不會阻止設置完成。

3、root用戶還可以鎖定用戶，只需要加上“-l選項”和用戶名即可。一旦用戶被鎖定，將無法登錄系統，提示信息都會是密碼錯誤。

4、如果想恢復用戶的登錄，可以使用“-u”選項加用戶名即可。一旦解鎖，用戶就可以重新登錄系統。

linux 中root 用戶密碼鎖定該怎么辦？

有兩種方式可以取消root密碼。 一種是使用passwd命令，加上-d參數用于刪除密碼。 用法示例： $ passwd -d root 另一種是直接編輯/etc/shadow文件，/etc/shadow文件以加密的形式保存了各個用戶的密碼，如果密碼為空則不允許使用密碼登錄。 用法示例： $ sudo nano /etc/shadow 刪除root那一行第一個與第二個冒號之間的內容

linux用戶登錄三次被鎖了,這設置在哪配置的.

鎖用戶的設定

/etc/pam.d/下包含各種認證程序或服務的配置文件。編輯這些可限制認證失敗次數，當失敗次數超過指定值時用戶會被鎖住。

在此，以run

level為3的時候，多次登錄登錄失敗即鎖用戶為例：

在/etc/pam.d/login文件中追加如下兩行：

auth

required

/lib/security/pam_tally.so

onerr=fail

no_magic_root

account

required

/lib/security/pam_tally.so

deny=3

no_magic_root

reset

deny=3

設置登錄失敗3次就將用戶鎖住，該值可任意設定。

如下為全文見設定例：

auth

required

pam_securetty.so

auth

required

pam_stack.so

service=system-auth

auth

required

pam_nologin.so

auth

required

pam_tally.so

onerr=fail

no_magic_root

account

required

pam_stack.so

service=system-auth

account

required

pam_tally.so

deny=3

no_magic_root

reset

password

required

pam_stack.so

service=system-auth

session

required

pam_stack.so

service=system-auth

session

optional

pam_console.so

這樣當用戶在run

level=3的情況下登錄時，/var/log/faillog會自動生成，裏面記錄用戶登錄失敗次數等信息。

可用"faillog

-u

用戶名"命令來查看。

當用戶登錄成功時，以前的登錄失敗信息會重置。

2）用戶的解鎖

用戶因多次登錄失敗而被鎖的情況下，可用faillog命令來解鎖。具體如下：

faillog

-u

用戶名

-r

此命令實行后，faillog里記錄的失敗信息即被重置，用戶又可用了。

關於faillog的其他命令。。參見man

failog。

二：手動鎖定用戶禁止使用

可以用usermod命令來鎖定用戶密碼，使密碼無效，該用戶名將不能使用。

如：

usermod

-L

用戶名

解鎖命令：usermod

-U

用戶名

......

要想強制用戶下次登錄更改密碼就使用chage

-d

username

強制把上次更改密碼的日期歸零.

定義用戶密碼變更天數在/etc/shadow

這個文件中定義

對新建的用戶在/etc/login.defs這個文件中定義

linux嘗試登錄失敗后鎖定用戶賬戶的兩種方法

pam_tally2模塊(方法一)

用于對系統進行失敗的ssh登錄嘗試后鎖定用戶帳戶。此模塊保留已嘗試訪問的計數和過多的失敗嘗試。

配置

使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件來配置的登錄嘗試的訪問

注意：

auth要放到第二行，不然會導致用戶超過3次后也可登錄。

如果對root也適用在auth后添加 even_deny_root .

auth required pam_tally2.so deny=3 even_deny_root unlock_time=600

pam_tally2命令

查看用戶登錄失敗的信息

解鎖用戶

pam_faillock 模塊(方法二)

在紅帽企業版 Linux 6 中， pam_faillock PAM 模塊允許系統管理員鎖定在指定次數內登錄嘗試失敗的用戶賬戶。限制用戶登錄嘗試的次數主要是作為一個安全措施，旨在防止可能針對獲取用戶的賬戶密碼的暴力破解

通過 pam_faillock 模塊，將登錄嘗試失敗的數據儲存在 /var/run/faillock 目錄下每位用戶的獨立文件中

配置

添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的對應區段：

auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600

auth sufficient pam_unix.so nullok try_first_pass

auth [default=die] pam_faillock.so authfail audit deny=3

account required pam_faillock.so

注意：

auth required pam_faillock.so preauth silent audit deny=3 必須在最前面。

適用于root在 pam_faillock 條目里添加 even_deny_root 選項

faillock命令

查看每個用戶的嘗試失敗次數

$ faillock

test:

When Type Source Valid

2017-06-20 14:29:05 RHOST 192.168.56.1 V

2017-06-20 14:29:14 RHOST 192.168.56.1 V

2017-06-20 14:29:17 RHOST 192.168.56.1 V

解鎖一個用戶的賬戶

linux 下如何通過root 修改別的賬戶密碼

首先，用root用戶登陸Linux系統或者使用su、sudo等命令提升到root權限。\x0d\x0a\x0d\x0a其次，修改帳戶密碼，只需要使用passwd命令即可，該命令詳細介紹如下：\x0d\x0a passwd 選項 用戶名\x0d\x0a可使用的選項：\x0d\x0a-l 鎖定口令，即禁用賬號。\x0d\x0a-u 口令解鎖。\x0d\x0a-d 使賬號無口令。\x0d\x0a-f 強迫用戶下次登錄時修改口令。\x0d\x0a如果默認用戶名，則修改當前用戶的口令。\x0d\x0a例如，假設當前用戶是sam，則下面的命令修改該用戶自己的口令：\x0d\x0a$ passwd\x0d\x0aOld password:******\x0d\x0aNew password:*******\x0d\x0aRe-enter new password:*******\x0d\x0a如果是超級用戶，可以用下列形式指定任何用戶的口令：\x0d\x0a# passwd sam\x0d\x0aNew password:*******\x0d\x0aRe-enter new password:*******\x0d\x0a普通用戶修改自己的口令時，passwd命令會先詢問原口令，驗證后再要求用戶輸入兩遍新口令，如果兩次輸入的口令一致，則將這個口令指定給用戶；而超級用戶為用戶指定口令時，就不需要知道原口令。\x0d\x0a為了系統安全起見，用戶應該選擇比較復雜的口令，例如最好使用8位長的口令，口令中包含有大寫、小寫字母和數字，并且應該與姓名、生日等不相同。\x0d\x0a為用戶指定空口令時，執行下列形式的命令：\x0d\x0a# passwd -d sam\x0d\x0a此命令將用戶sam的口令刪除，這樣用戶sam下一次登錄時，系統就不再詢問口令。\x0d\x0apasswd命令還可以用-l(lock)選項鎖定某一用戶，使其不能登錄，例如：\x0d\x0a# passwd -l sam