Linux如何管理系统默认用户和组

答案：Linux通过/etc/passwd、/etc/shadow、/etc/group等文件及useradd、groupmod等命令管理用户和组，确保系统安全与服务隔离。

Linux管理系统默认用户和组的核心机制，在于一套基于文件和命令的权限与身份认证体系。它通过特定的配置文件（如

/etc/passwd

/etc/shadow

/etc/group

/etc/gshadow

useradd

usermod

userdel

groupadd

groupmod

groupdel

解决方案

在Linux系统中，管理用户和组是一个基础且关键的系统管理任务。这不仅仅是创建几个账户那么简单，它关乎到整个系统的安全边界、资源访问控制以及服务的正常运行。我的经验告诉我，理解这些默认机制，远比死记硬背命令重要。

用户管理的核心要素：

每个用户在系统里都有一个唯一的数字标识符（UID）和一个用户名。这些信息主要存储在

/etc/passwd

/etc/shadow

例如，创建一个新用户：

sudo useradd -m -s /bin/bash -g users -G sudo,docker newuser

-m

-s

-g

-g

sudo passwd newuser

修改用户属性，比如更改用户名、家目录或附加组：

sudo usermod -l new_username old_username

sudo usermod -d /home/new_home -m newuser

sudo usermod -aG www-data newuser

www-data

-a

sudo usermod -s /usr/sbin/nologin newuser

当一个用户不再需要时，删除它也很直接：

sudo userdel -r olduser

-r

组管理的核心要素：

组则是一组用户的集合，它们共享某些文件或目录的访问权限。每个组也有一个唯一的数字标识符（GID）和一个组名。组信息存储在

/etc/group

/etc/gshadow

创建一个新组：

sudo groupadd newgroup

sudo groupadd -g 2000 newgroup_with_specific_gid

修改组名或GID：

sudo groupmod -n new_groupname old_groupname

sudo groupmod -g 2001 newgroup

删除组：

sudo groupdel oldgroup

管理组的成员是日常操作中的重头戏。你可以使用

gpasswd

sudo gpasswd -a user group

sudo gpasswd -d user group

这些命令和文件构成了Linux用户和组管理的基础。深入理解它们，能让你在实际操作中更加游刃有余，也能更好地排查问题。

Linux系统默认用户和组有哪些，它们各自的用途是什么？

谈到Linux的默认用户和组，这其实是一个非常有趣的话题，因为它直接体现了“最小权限原则”和“职责分离”的设计哲学。我们安装完一个全新的Linux系统，会发现里面已经有了一大堆用户和组，它们看起来有些神秘，但各自都有明确的职责。

最核心的默认用户：

• root (UID 0): 这是超级用户，拥有系统上所有权限。它能做任何事情，因此也是最危险的账户。日常操作中，我们应该尽量避免直接使用root登录，而是通过

  sudo

  命令以普通用户身份执行特权操作。
• 系统用户 (UID 1-999，具体范围可能因发行版而异): 这些用户通常没有交互式登录Shell，也没有家目录（或家目录指向

  /

  ），它们的存在是为了运行特定的系统服务或程序。
  • bin, daemon, sys: 这些是很早期的系统用户，通常用于拥有系统二进制文件或运行一些基础的守护进程。它们自身不执行太多操作，更多是作为权限上下文的标识。
  • adm: 主要用于系统管理和日志相关的任务，例如可以访问某些日志文件。
  • lp: 负责打印服务相关的操作。
  • sync, shutdown, halt: 这些是系统关机或重启过程中使用的特殊用户。
  • mail, postfix, dovecot: 如果你的系统运行邮件服务，你会看到这些用户，它们负责处理邮件的发送、接收和存储。
  • www-data (或 apache, nginx): 这是Web服务器（如Apache, Nginx）运行进程时所使用的用户。将Web服务运行在一个低权限用户下，可以有效防止Web应用被攻破后对整个系统的影响。
  • mysql, postgres: 数据库服务运行的用户，类似Web服务，也是为了隔离权限。
  • nobody (UID 65534): 这是一个非常低权限的用户，通常用于网络文件系统（NFS）的匿名访问，或者某些服务在不需要任何特定权限时使用它作为执行上下文。它几乎没有任何权限，是安全的“沙盒”。

常见的默认组：

组的种类同样繁多，很多组与上述的系统用户同名，作为它们的主组。但也有一些特别重要的功能性组：

• root: root用户的主组。
• bin, daemon, sys, adm, lp, mail, users, nogroup, nobody: 这些通常是与同名系统用户关联的组，用于管理这些用户对特定资源的访问。
• sudo (或 wheel): 这个组非常关键！它的成员可以通过

  sudo

  命令以root权限执行指令。将用户添加到这个组需要非常谨慎。
• dialout, cdrom, floppy, audio, video, plugdev: 这些组通常用于管理用户对特定硬件设备的访问权限，比如串口、光驱、软驱、声卡、显卡或USB设备。
• netdev: 允许用户管理网络设备。
• docker: 如果安装了Docker，这个组的成员可以直接运行Docker命令，而无需

  sudo

  。这提供了便利，但也意味着需要对该组成员的权限有充分信任。

这些默认用户和组的设计，体现了Linux系统在多用户、多任务环境下的安全考量。每个服务或进程都尽量以其所需的最少权限运行，通过用户和组的隔离，降低了潜在的安全风险。理解它们，是进行有效系统管理和安全配置的第一步。

如何安全地添加、修改和删除Linux用户和组？

安全地管理用户和组，不仅仅是执行命令，更重要的是理解其背后的安全含义和最佳实践。我个人认为，这就像在建造一栋房子，每一扇门、每一道锁都得考虑周全，否则就会留下隐患。

安全地添加用户：

顶级域名交易系统

1.后台管理登陆直接在网站地址后输入后台路径，默认为 /admin，进入后台管理登陆页面，输入管理员用户名和密码，默认为 中文 admin ，登陆后台。2.后台管理a.注销管理登陆 （离开后台管理时，请点击这里正常退出，确保系统安全）b.查看使用帮助 （如果你在使用系统时，有不清楚的，可以到这里来查看）c.管理员管理 （这里可以添加，修改，删除系统管理员，暂不支持，分权限管理操作）d.分类管理 （

下载

1. 最小权限原则： 这是金科玉律。只赋予用户完成其工作所需的最小权限。例如，一个开发人员通常不需要

   sudo

   权限来修改系统配置文件。

   sudo useradd -m -s /bin/bash -g developers -G project_alpha,ssh_users new_dev_user

   这里，我将他设置了一个主组

   developers

   ，并加入了特定的项目组和SSH访问组。
2. 强密码策略： 为新用户设置一个复杂且难以猜测的密码。使用

   sudo passwd new_dev_user

   后，强制用户首次登录时修改密码是一个好习惯（尽管这通常需要额外的PAM配置）。
3. 禁用不必要的Shell： 对于那些只需要访问特定服务而不需要登录Shell的用户（如数据库账户），将他们的Shell设置为

   /usr/sbin/nologin

   或

   /bin/false

   。

   sudo useradd -m -s /usr/sbin/nologin -g services db_user

4. 明确家目录权限： 确保新用户家目录的权限是安全的，通常是

   drwxr-xr-x

   或

   drwx------

   。

   useradd -m

   通常会设置合理的默认权限。

安全地修改用户：

1. 审计变更： 任何对用户权限的修改，尤其是添加

   sudo

   权限或更改敏感组，都应该被记录和审计。

   sudo usermod -aG sudo existing_user

   （慎用！这会赋予用户root权限） 在执行前，问自己：这个用户真的需要这个权限吗？
2. 谨慎更改UID/GID： 更改用户的UID或主组的GID是一个复杂操作，因为它会影响到该用户或组拥有的所有文件和目录的权限。如果必须更改，通常需要配合

   find

   和

   chown

   /

   chgrp

   来修复文件权限。

   sudo usermod -u 2000 -g 2000 existing_user

   sudo find / -uid OLD_UID -exec chown -h NEW_UID {} +

   sudo find / -gid OLD_GID -exec chgrp -h NEW_GID {} +

   这需要非常小心，并且最好在维护窗口进行。
3. 定期审查： 用户的权限和组 membership 应该定期审查，确保它们仍然符合最小权限原则。

安全地删除用户：

1. 数据备份与归档： 在删除用户之前，务必备份其家目录中的所有重要数据，并考虑归档。

   sudo tar -czvf /var/backups/olduser_home_backup.tar.gz /home/olduser

2. 检查用户活动： 确认该用户没有正在运行的进程，也没有作为某个服务的运行账户。

   ps -u olduser

   可以帮助你检查。
3. 删除用户及家目录：

   sudo userdel -r olduser

   -r

   参数会删除用户账户和其家目录。如果用户拥有其他文件，这些文件将变为由UID数字标识的孤儿文件，可能需要手动查找和处理。
4. 清理残留： 检查

   /var/mail

   、

   cron

   任务、

   sudoers

   文件等地方，确保没有该用户的残留配置。

安全地管理组：

1. 避免滥用： 不要将所有用户都添加到“万能”组（如

   users

   或

   sudo

   ），这会削弱权限隔离。
2. 专用组： 为特定项目或服务创建专用组，并只将相关用户添加到这些组中。

   sudo groupadd project_alpha

   sudo gpasswd -a dev1 project_alpha

   sudo gpasswd -a dev2 project_alpha

3. 定期审查组员： 尤其是对于

   sudo

   、

   docker

   等高权限组，需要定期审查其成员列表，移除不再需要的成员。

记住，安全管理用户和组是一个持续的过程，它需要管理员的警惕、细致和对系统安全的深刻理解。

如何查看和审计Linux系统中的用户和组配置？

在Linux系统管理中，查看和审计用户与组的配置是确保系统安全和合规性的关键环节。这不仅仅是看一眼文件那么简单，更像是在做一次系统级的“体检”，需要细致入微地去发现潜在的健康问题。

查看用户和组信息：

最直接的方式是查阅配置文件：

• 用户基本信息：

  cat /etc/passwd

  你会看到类似

  username:x:UID:GID:comment:home_dir:shell

  的条目。
• 用户密码哈希和过期信息：

  sudo cat /etc/shadow

  这个文件权限非常严格，只有root能读。它包含

  username:password_hash:last_change:min_days:max_days:warn_days:inactive_days:expiry_date:reserved

  。这是审计用户密码策略的核心。
• 组基本信息：

  cat /etc/group

  格式为

  groupname:x:GID:members

  。
• 组密码哈希和管理员信息：

  sudo cat /etc/gshadow

  类似于

  /etc/shadow

  ，但针对组。

除了直接查看文件，还有更友好的命令：

• 查看单个用户详细信息：

  id username

  它会显示用户的UID、主GID、所有辅助组的GID和名称。
• 查看用户所属的所有组：

  groups username

  这是一个快速查看用户组成员关系的方式。
• 查询用户或组信息（跨NSS）：

  getent passwd username

  或

  getent group groupname

  getent

  命令更强大，它会查询Name Service Switch (NSS) 配置的所有源，包括本地文件、LDAP、NIS等，确保你获取的是最全面的信息。

审计用户和组配置：

审计是一个更主动、更深入的过程，旨在发现潜在的安全漏洞或不合规项。

1. 密码策略审计：

   • 检查密码过期时间：

     chage -l username

     查看用户的密码最后更改日期、最小/最大密码有效期、警告期等。确保所有用户都有合理的密码过期策略。
   • 查找无密码用户或弱密码：直接分析

     /etc/shadow

     中的哈希值是困难的，但可以寻找空哈希或使用工具（如

     john

     或

     hashcat

     ）进行离线破解测试。

2. 不活跃账户审计：

   • 查找长时间未登录的用户：

     lastlog

     命令可以显示所有用户的最后登录时间。对于那些长时间未登录的账户，应考虑禁用或删除。
   • 检查过期账户：

     chage -l username

     也能显示账户本身的过期日期。

3. 特权账户审计：

   • 审查

     sudo

     组成员：

     grep -E '^sudo|^wheel' /etc/group

     定期检查哪些用户被赋予了

     sudo

     权限，确保这些权限是必要的且经过授权的。

   • sudoers

     文件审计：

     sudo visudo -c

     使用

     visudo

     命令安全地编辑和检查

     /etc/sudoers

     文件，确保其配置正确且没有不必要的权限赋予。
   • 检查UID 0用户：除了root之外，不应该有其他用户的UID为0。`awk -