作为互联网大厂的后端运维人员,日常工作中频繁与 Linux 服务器打交道。合理配置 Linux 服务器的用户以及用户组,对于保障服务器安全、提升运维效率起着至关重要的作用。今天,就来给大家详细讲讲这方面的操作,无论是初涉 Linux 服务器运维的新手,还是经验丰富的老鸟,相信都能从中收获实用的知识。
Linux 用户类型大揭秘
在深入了解用户及用户组配置之前,先得搞清楚 Linux 系统中用户的类型。Linux 系统主要有以下三种用户类型:
普通用户
这是最常见的用户类型,他们具备执行日常任务的权限,不过一般不能随意修改系统设置,也无法访问其他用户的文件。比如,公司里负责日常业务数据处理的同事,使用 Linux 服务器时可能就会以普通用户身份登录,他们能正常完成自己手头的数据处理工作,但不能去更改服务器的核心配置。
超级用户(root 用户)
root 用户拥有系统的最高权限,堪称 “王者” 一般的存在。系统维护和管理的诸多关键操作都离不开它,像安装、更新或删除软件包(特别是那些需要写入系统目录或更改系统配置的软件),修改系统文件和目录(例如/etc下的配置文件),管理用户账户和用户组(添加、删除用户或更改用户权限),执行系统级别的任务(如磁盘分区、格式化或挂载文件系统)等。
在进行故障排除和修复时,root 用户也起着关键作用,比如解决系统启动问题,编辑启动加载器的配置文件grub,修复文件系统错误或处理磁盘空间不足的情况,清除系统日志或重置系统设置以恢复系统正常运行等。在安全相关操作方面,安装或更新系统安全补丁,配置防火墙规则或 SELinux 策略,审查系统日志以监控潜在的安全威胁,都需要 root 用户的权限。
此外,执行需要大量系统资源的操作,如构建大型软件项目或进行系统备份,也会用到 root 用户权限。但由于 root 用户权限过高,一旦操作失误,可能会给系统带来严重后果,所以非必要时刻,应尽量避免使用 root 用户,更多时候是通过 sudo 命令让普通用户在需要时临时提升权限来执行特定管理任务。
系统用户
这类用户通常不是用来登录的,而是为了运行系统服务和应用程序而创建的。它们默默在后台工作,支撑着整个系统的稳定运行。
用户添加与管理
添加新用户
添加用户需要 root 权限,一般使用useradd命令。例如,要添加一个名为 “user1” 的用户,在终端输入:
sudo useradd user1这里使用sudo命令,是因为普通用户默认没有添加用户的权限,sudo允许经过授权的用户以系统管理员(通常是 root 用户)的权限来运行程序或命令。sudo 使用时间戳文件来记录用户最近一次成功使用 sudo 的时间,默认有效期大约是 5 分钟,在这段时间内,用户再次使用 sudo 无需重新输入密码。
如果在添加用户时想要指定更多参数,各参数用法如下:
添加用户信息,使用-c或--comment "comment"选项,例如:
sudo useradd -c "This is user1" user1指定用户的家目录,用-d或--home-dir directory选项,如:
sudo useradd -d /home/user1_dir user1若未指定家目录,想创建默认的家目录,可加上-m或--create-home选项:
sudo useradd -m user1指定用户的登录 shell 用-s或--shell shell选项,例如指定 bash 为登录 shell:
sudo useradd -s /bin/bash user1指定用户的 UID 用-u或--uid uid选项,假设指定 UID 为 1001:
sudo useradd -u 1001 user1将用户添加到额外的用户组用-G或--groups groups选项,如把用户添加到 “group2” 和 “group3” 组(假设组已存在):
sudo useradd -G group2,group3 user1指定加密的密码用-p或--password password选项(实际操作中,不建议直接在命令中明文指定密码,通常使用passwd命令设置密码):
# 不推荐的示例,仅作参数说明
sudo useradd -p encrypted_password user1指定账户的过期日期用-e或--expiredate date选项,日期格式为 YYYY - MM - DD,如设置 2025 年 12 月 31 日过期:
sudo useradd -e 2025 - 12 - 31 user1指定密码过期后多少天内仍可登录用-L或--inactive days选项,假设设置为 7 天:
sudo useradd -L 7 user1指定从密码过期开始,多少天后账户失效用-f或--inactive days选项,假设设置为 30 天:
sudo useradd -f 30 user1不想创建家目录则用-M或--no - create - home选项:
sudo useradd -M user1不记录到/var/log/lastlog和/var/相关日志用-N或--no - log - init选项 :
sudo useradd -N user1添加完用户后,需要为用户设置密码,使用sudo passwd user1命令,按照提示输入新密码即可。有时可能会遇到 “密码未通过字典检查” 的提示,此时可直接忽略,再次输入一遍密码就行。
用户账户维护
修改用户信息
如果后续需要修改用户的相关信息,例如修改用户的家目录,可使用usermod命令。假设要将 “user1” 的家目录修改为 “/new/home/dir”,命令为:
sudo usermod -d /new/home/dir user1删除用户
当某个用户不再需要时,可以使用userdel命令删除用户。比如要删除 “user1”,命令为:
sudo userdel user1若要同时删除该用户的家目录,可加上-r选项,即:
sudo userdel -r user1系统用户组的管理
用户组的概念
组群是具有相同特性的用户的逻辑集合,合理使用组群能极大地提高系统管理员组织和管理用户的工作效率。在为资源授权时,把权限赋予某个组群,比给每个用户单独授权要方便得多。当一个用户属于多个组群时,其中有一个组群是该用户的主组群(私有主群),其他组群则是附属组群(标准组群)。每个组群都有一个唯一的组群标识(GID),就如同每个用户都有唯一的用户标识(UID)一样。
创建和管理用户组
创建新用户组
使用sudo groupadd命令来创建新的用户组。例如,要创建一个名为 “group1” 的用户组,在终端输入:
sudo groupadd group1为用户组添加用户
若要将用户添加到已有的用户组中,使用sudo usermod命令。比如要把 “user1” 添加到 “group1” 组,命令为:
sudo usermod -aG group1 user1这里的-a选项表示追加,-G指定要加入的组群。
查看用户组信息
可以通过cat /etc/group命令查看系统中所有的用户组信息。该文件中每一行代表一个用户组,格式为 “组名:密码:GID: 组成员” 。执行命令如下:
cat /etc/group修改用户组信息
如果要修改用户组的名称,使用groupmod命令。假设要将 “group1” 改名为 “new_group1”,命令为:
sudo groupmod -n new_group1 group1其中-n选项表示新的名称。
理解用户账户和组群的配置文件
在 Linux 系统中,与用户账户和组群相关的配置文件主要有/etc/passwd、/etc/shadow和/etc/group 。
/etc/passwd
这个文件存储了系统中所有用户的基本信息,每行代表一个用户,格式为 “用户名:密码占位符:UID:GID: 用户信息:家目录:登录 Shell” 。虽然密码占位符通常显示为 “x”,但实际密码信息存储在/etc/shadow文件中。通过cat /etc/passwd命令可以查看所有用户信息,新建用户的信息会出现在文件的最后一行。执行命令:
cat /etc/passwd/etc/shadow
该文件用于存储用户的密码及相关密码策略信息,只有 root 用户有权限查看。文件中每行格式为 “用户名:加密密码:上次修改密码的时间:密码最小使用期限:密码最大使用期限:密码过期警告天数:密码过期后宽限天数:账户失效日期:保留字段” 。由于权限限制,普通用户无法直接查看该文件内容,若以 root 用户查看,可执行:
sudo cat /etc/shadow/etc/group
前面提到过,此文件记录了系统中所有用户组的信息,每行格式为 “组名:密码:GID: 组成员” 。查看命令与上述查看用户组信息命令相同:
cat /etc/group权限设置与管理
在 Linux 系统中,权限设置对于保障服务器安全和资源合理访问至关重要。权限分为三个类别:所有者(user)、组(group)和其他人(others),可以针对文件、目录和命令进行权限调整以控制访问。
查看文件或目录的权限
使用ls -l命令可以以长格式显示文件和目录信息,其中就包含权限信息。例如,-rw-r--r--这样的权限表示文件所有者有读和写的权限,所属组群的成员只有读权限,其他用户也只有读权限。第一位的 “-” 表示这是一个文件,如果是 “d” 则表示目录。从第二位开始,每三位一组,分别对应所有者、组群和其他人的权限,“r” 代表读,“w” 代表写,“x” 代表执行。执行命令查看文件 “file.txt” 权限:
ls -l file.txt修改权限 - chmod 命令
chmod命令用于修改文件或目录的权限。可以使用数字模式或符号模式来修改权限。
数字模式下,读权限对应 4,写权限对应 2,执行权限对应 1。比如要将一个文件 “file.txt” 的权限设置为所有者有读、写、执行权限,组群成员和其他用户只有读权限,命令为:
sudo chmod 744 file.txt符号模式下,例如要给文件所有者添加执行权限,给组群成员和其他用户删除写权限,命令为:
sudo chmod u+x,g - w,o - w file.txt其中 “u” 代表所有者,“g” 代表组群,“o” 代表其他人,“+” 表示添加权限,“-” 表示删除权限。
修改文件所有者和所属组群 - chown 和 chgrp 命令
chown命令用于修改文件或目录的所有者。例如,要将 “file.txt” 的所有者改为 “user1”,命令为:
sudo chown user1 file.txt如果同时要修改所属组群为 “group1”,命令为:
sudo chown user1:group1 file.txtchgrp命令专门用于修改文件或目录的所属组群,比如要将 “file.txt” 的所属组群改为 “group2”,命令为:
sudo chgrp group2 file.txt合理配置 Linux 服务器的用户及用户组,再结合恰当的权限管理,能让我们的服务器运行得更加安全、高效。希望大家通过这篇文章,能熟练掌握相关操作,在日常的 Linux 服务器运维工作中更加得心应手。如果在实际操作过程中有任何问题,欢迎在评论区留言交流。