要对计算机系统进行相关的操作，就需要有账号，如果很多账号需要对同一文件具有相同的操作权限，那么这个时候就涉及到组的概念了，我们可以将不同的账号加入同一组中，使得该组的所有账号拥有相同的操作权限。日常的linux运维中，就需要对账号和组进行管理，本文就用户和组的增删改操作进行探讨。

用户和组的关系

用户和用户组的对应关系有：一对一、一对多、多对一和多对多；下图展示了这种关系：

一对一：即一个用户可以存在一个组中，也可以是组中的唯一成员。

一对多：即一个用户可以存在多个用户组中。那么此用户具有多个组的共同权限。

多对一：多个用户可以存在一个组中，这些用户具有和组相同的权限。

多对多：多个用户可以存在多个组中。其实就是上面三个对应关系的扩展。

id概念

linux中，一般情况下用户和组都会分配到一个专有的id,这个id也可以在创建时手动自动，系统对账号的管理是由id决定的，而非id对应的名称或者是组名。比如同一id，名称更改后，这个id的所拥有的权限还是一样的，但是同一名称，将id调整后，所拥有的权限可能是不一样的，比如讲普通用户的uid调整为0，那么用户将获得和root一样的权限。简单来说，进程所能够访问资源的权限取决于进程的运行者的身份，而id就是所谓的身份。

在CentOS 6x 以及老版本 和 CentOS 7x里有在系统id的分配上有了变更

Linux用户： Username/UID

管理员：root, 0

普通用户：1-65535

系统用户:1-499, 1-999（CentOS7）  对守护进程获取资源进行权限分配

登录用户: 500+, 1000+（CentOS7）

Linux组：Groupname/GID

管理员组：root, 0

普通组：

系统组：1-499, 1-999（CENTOS7）

普通组：500+, 1000+（CENTOS7）

在linux的组里，还分为主要组和附加组。一个用户必须属于一个，且仅有一个的主要组，但是一个用户可以同时加入多个附加组里。

默认情况下，主要组是和用户是同名的，而且主要组也是仅包含一个用户，这样的组也叫私有组

配置文件

Linux用户和组的主要配置文件有如下四个：

/etc/passwd：用户及其属性信息(名称、UID、主组ID等）

格式：账号：密码：UID:GID:描述：家目录：shell

描述：是关于账号的描述，可以通过chfn这个命令来更改描述信息。

这里的UID和GID默认情况下是一致的，但是通过手动指定可以不一致

例子，系centOS6统里有账号UID和GID此时最大值为524,执行以下的语句

groupadd -g 526 hong

useradd terry4

useradd terry5

此时/etc/passwd的结果如下

terry4:x:525:525::/home/terry4:/bin/bash

terry5:x:526:527::/home/terry5:/bin/bash

可以看到，虽然我们没有指定新用户 terry5的GID，但是UID 不等于 GID ，是由于，terry4的GID是525,526已经被hong通过手动方法新建指定了，所以系统默认新生成的GID为527.如果要使得UID 和 GID新建的账号一致，可以通过手动指定。

/etc/group：组及其属性信息

格式：组名：密码：GID：用户列表

用户列表：把该组作为附加组的用户

密码：通过gpasswd设定，指用户输入该密码就可以通过newgrp临时切换到该组，即将该组作为临时的附加组，获取到附加组的相关组的权限，取消密组码后，只有成员才可以通过newgrp命令切换入该组。

/etc/shadow：用户密码及其相关属性

格式：用户名：加密密码：最后一次改密码的时间：密码最小使用时间：密码最长使用时间：密码警告期：密码宽限期：账号过期时间：保留区间

最后一次改密码的时间 和 账号过期时间 都是相对1970年1月1日的天数。

加密密码：格式为$加密方式$盐值$加密后的密码，盐值的作用是保证了加密的强度，这个值是随机数，相同密码在盐值不一样的情况下，加密后的密文是不一样的。

警告期：用户在密码过期前几天，提醒用户更改密码

密码宽限期：用户在密码过期后的几天，可以更改密码，如果还不更改密码，该账户将会被系统锁

/etc/gshadow：组密码及其相关属性

格式：组名：密码：管理者：成员

密码：格式和/etc/shadow里密码格式一样

管理者：指该用户可以将其他用户加入到该组里，通过gpasswd -a添加成员

成员：把该组作为附加组的用户，用逗号隔开不同的用户

新建用户的相关文件

/etc/default/useradd

/etc/skel/*

/etc/login.defs

etc/default/useradd文件的内容，提示useradd default file，创建用户时使用的默认文件

GROUP = 100表示用户组ID

HOME = /HOME表示家目录的位置

INACTIVE = -1表示是否启用帐号过期停权，-1表示不启用。

EXPIRE=表示账号是否启用过期设置无表示不启用

SHELL = /bin/bash表示账号使用shell种类

SKEL = /etc/skel表示账号使用默认文件内容，　可以理解为添加用户的目录默认文件存放位置。也就是说，当用户用useradd添加用户时，用户主目录下的文件都是从这个目录中复制的

CREATE_MAIL_SPOOL=yes表示是否创建邮箱缓存yes表示创建

/etc/skel–当系统内增加新用户时，该目录下的所有文件都将被自动复制到该用户的主目录默认时，这些文件中的大部分都是以(.)文件

/etc/login.defs文件定义了与/etc/passwd和/etc/shadow配套的用户限制设定。这个文件是需要的，缺失并不会影响系统的使用，但是也许会产生意想不到的错误。

用户和组管理命令

用户管理命令

useradd：添加用户

userdel：删除账号

usermod：修改使用者账号

组帐号维护命令

groupadd：添加组

groupdel：删除群组

groupmod：修改群组

下面我们通过增，删，改的顺序依次介绍

增加 用户

useradd[options] LOGIN

-u UID: [UID_MIN, UID_MAX]定义在/etc/login.defs

-o 配合-u 选项，不检查UID的唯一性

-g GID：指明用户所属基本组，可为组名，也可以GID

-c "COMMENT"：用户的注释信息

-d HOME_DIR:以指定的路径(不存在)为家目录

-s SHELL: 指明用户的默认shell程序

可用列表在/etc/shells文件中

-G GROUP1[,GROUP2,...]：为用户指明附加组，组须事先存在

-N 不创建私用组做主组，使用users组做主组

-r: 创建系统用户CentOS 6: ID<500，CentOS 7: ID<1000

例子：

useradd -c "test terry6" -d /home/terry6 -G terry3 terry6

表示增加用户terry6,描述为 test terry6，指定用户的家目录为/home/terry6，并增加附加组为terry3

增加 组

groupadd[OPTION]... group_name

-g GID: 指明GID号；[GID_MIN, GID_MAX]

-r: 创建系统组：CentOS 6: ID<500，CentOS 7: ID<1000

例子

groupadd -g 528 terry7

表示增加组terry7,并指定GID 为528

删除 用户

userdel[OPTION]... login

-r: 删除使用者账号及相关文档，如用户的家目录及邮箱的目录，反正，如果没有-r,则只删除账号，相关文档没删掉

例子

userdel -r terry6

表示删掉terry6,并且把terry6家目录及邮箱的目录都删掉

删除 组

groupdel

groupdel GROUP

例子

groupdel terry3

表示删掉了terry3这个群主，但是terry3这个账号还是存在，如果有任何一个群组的使用者在线上的话就不能移除该群组。如terry3还是用户terry3的主组，最好先用命令usermod -g移除用户terry3使用者后再移除群组。注意，userdel删除用户的同时把用户的主组也删掉了。

修改 用户

usermod[OPTION] login

-u UID: 新UID

-g GID: 新主组

-G GROUP1[,GROUP2,...[,GROUPN]]]：新附加组，原来的附加组将会被覆盖；若保留原有，则要同时使用-a选项

-s SHELL：新的默认SHELL

-c 'COMMENT'：新的注释信息

-d HOME: 新家目录不会自动创建；若要创建新家目录并移动原家数据，同时使用-m选项

-l login_name: 新的名字；

-L: lock指定用户,在/etc/shadow 密码栏的增加!

-U: unlock指定用户,将/etc/shadow 密码栏的! 拿掉

-e YYYY-MM-DD: 指明用户账号过期日期

-f INACTIVE: 设定非活动期限

例子

usermod -s /bin/bash -d /home/terry7 -e 2017-09-30 terry8

表示把terry8 的账号的shell设置为/bin/bash，家目录修改为/home/terry7，过期日期设置为2017-09-30

修改 组

groupmod[OPTION]... group

-n group_name: 新名字

-g GID: 新的GID

例子

groupmod -n terry3n -g 523 terry3

表示把terry3的组名改成terry3n,GID改为523

除了以上的两个命令对用户和组进行修改外，以下的命令也可以修改相关的属性

pwck：检查账号的信息，比如账号没有家目录，或者没有密码，就会报异常

grpck：检查组信息，比如同一组在/etc/group和/etc/gshadow的成员中不一致，就会报异常

修改密码

passwd[OPTIONS] UserName: 修改指定用户的密码，仅root用户权限，普通用户也可以通过passwd: 修改自己的密码

常用选项：

-l:锁定指定用户

-u:解锁指定用户

-e:强制用户下次登录修改密码

-n mindays: 指定最短使用期限

-x maxdays：最大使用期限

-w warndays：提前多少天开始警告

-iinactivedays：非活动期限

--stdin：从标准输入接收用户密码

echo "PASSWORD" | passwd--stdinUSERNAME

修改用户密码策略

chage[OPTION]... LOGIN

-d LAST_DAY

-E --expiredateEXPIRE_DATE

-I --inactive INACTIVE

-m --mindaysMIN_DAYS

-M --maxdaysMAX_DAYS

-W --warndaysWARN_DAYS

–l 显示密码策略

例子

chage-d 0 tom 下一次tom登录强制重设密码

gpasswd[OPTION] GROUP

-a user: 将user添加至指定组中

-d user: 从指定组中移除用户user

-A user1,user2,...: 设置有管理权限的用户列表

newgrp命令：临时切换主组，如果用户本不属于此组，则需要组密码

groupmems[options] [action]

options：

-g, --group groupname更改为指定组(只有root)

Actions:

-a, --add username 指定用户加入组

-d, --delete username 从组中删除用户

-p, --purge 从组中清除所有成员

-l, --list 显示组成员列表

例子

groupmems -g tom -p

表示清除组tom的成员列表

groups [OPTION].[USERNAME]... 查看用户所属组列表

以上就是关于linux系统中用户和组 增 删 改 的相关概念和命令。