Ubuntu系统用户基本管理

Ubuntu 用户管理：从基础到实践的系统管理核心

在 Linux 系统管理中，用户管理是基石。Ubuntu 作为广受欢迎的发行版，其用户管理机制既遵循 Linux 标准，又融入自身特色。本文将深入探讨 Ubuntu 用户账户、用户组、权限控制的核心概念和实用操作，助您有效管理系统访问与安全。

一、理解 Linux 用户管理的基石

1. 用户账户 (Users):

   • 目的：隔离资源、保障安全、审计追踪。
   • 核心文件：
     • /etc/passwd: 存储用户基本信息（用户名、UID、GID、描述、家目录、登录 Shell）。注意：现代系统中，密码通常不存储于此（x 表示密码在 /etc/shadow）。
     • /etc/shadow: 存储加密后的用户密码及密码策略（仅 root 可读）。包含密码最后修改时间、最小/最大修改间隔、警告期、失效期等关键安全信息。
   • 关键标识：
     • 用户名 (Username): 用户登录名（如 john, sara）。
     • 用户ID (UID): 用户的唯一数字标识。普通用户通常从 1000 开始 (UID >= 1000)，系统用户 (UID < 1000) 用于运行服务进程。
     • 主组ID (GID): 用户初始所属组的数字标识。

2. 用户组 (Groups):

   • 目的：简化权限分配（将权限授予组而非单个用户）。
   • 核心文件：
     • /etc/group: 存储组信息（组名、GID、组成员列表）。
     • /etc/gshadow: 存储组密码（极少使用）和管理员信息。
   • 关键标识：
     • 组名 (Groupname): 组的名称（如 developers, admins）。
     • 组ID (GID): 组的唯一数字标识。系统组 (GID < 1000)，普通组 (GID >= 1000)。
   • 成员关系:
     • 主组 (Primary Group): 用户创建文件时默认所属的组。每个用户有且仅有一个主组，定义在 /etc/passwd 中。
     • 附加组 (Supplementary Groups): 用户可加入多个附加组，从而获得这些组拥有的额外权限。定义在 /etc/group 文件的成员列表中。

3. 家目录 (Home Directory):

   • 用户登录后的默认工作目录（通常为 /home/username）。
   • 存放用户的个人文件、配置文件（.bashrc, .profile 等）。
   • 创建用户时自动生成（使用 skel 模板 /etc/skel 初始化内容）。

4. 登录 Shell (Login Shell):

   • 用户登录后启动的命令行解释器（如 /bin/bash, /bin/sh, /usr/bin/zsh）。
   • 定义在 /etc/passwd 的最后一个字段。设置为 /usr/sbin/nologin 或 /bin/false 可禁止用户登录 Shell（常用于系统账户）。

二、核心命令行工具详解

1. 用户管理:

   • 创建用户 (useradd):

     sudo useradd [options] username
     

     • 常用选项：
       • -m 或 --create-home: 必须！ 创建用户家目录 /home/username (基于 /etc/skel)。
       • -d /path/to/home 或 --home /path/to/home: 指定非标准家目录路径。
       • -s /path/to/shell 或 --shell /path/to/shell: 指定登录 Shell (如 /bin/bash, /usr/bin/zsh, /usr/sbin/nologin)。
       • -g groupname 或 --gid groupname/GID: 指定用户的主组（组名或 GID）。不指定则创建与用户名同名的新组作为主组。
       • -G group1,group2,... 或 --groups group1,group2,...: 指定用户的附加组（逗号分隔）。
       • -u UID 或 --uid UID: 指定用户的 UID（避免冲突）。
       • -c "Comment" 或 --comment "Comment": 添加用户描述/全名 (显示在 /etc/passwd 的 GECOS 字段)。
       • -r 或 --system: 创建系统用户（无家目录，UID<1000）。
     • 示例：创建用户 alice，主组为 developers，附加组为 sudo 和 www-data，家目录 /home/alice，使用 /bin/bash：

       sudo useradd -m -g developers -G sudo,www-data -s /bin/bash alice
       

     • 重要提示：useradd 默认不设置密码！新用户无法登录，需立即用 passwd 设置密码。

   • 设置/修改密码 (passwd):

     sudo passwd username  # root 为用户设置密码
     passwd               # 普通用户修改自己的密码
     

     • 运行后交互式输入新密码。Ubuntu 有较强的默认密码策略（长度、复杂度）。

   • 修改用户 (usermod):

     sudo usermod [options] username
     

     • 常用选项：与 useradd 类似 (-d, -s, -g, -G, -aG 特别重要)。
     • -aG (append Groups) 是关键：将用户添加到新的附加组，而不覆盖原有附加组。单独用 -G 会覆盖。

       sudo usermod -aG docker alice  # 将 alice 添加到 docker 组，保留原有附加组
       

     • -l new_username 或 --login new_username: 修改用户名（谨慎操作！）。
     • -d /new/home -m 或 --home /new/home --move-home: 修改家目录路径并移动原有内容。
     • -e YYYY-MM-DD 或 --expiredate YYYY-MM-DD: 设置账户过期日期。
     • -L 或 --lock: 锁定用户账户（禁止密码登录）。
     • -U 或 --unlock: 解锁用户账户。

   • 删除用户 (userdel):

     sudo userdel [options] username
     

     • 常用选项：
       • -r 或 --remove: 强烈推荐！ 同时删除用户家目录和邮件池 (/var/mail/username)。
     • 示例：彻底删除用户 olduser：

       sudo userdel -r olduser
       

     • 警告：不加 -r 仅删除 /etc/passwd、/etc/shadow、/etc/group 中的记录，遗留的家目录和文件可能属于已不存在的 UID，造成混乱和安全风险。务必使用 -r。

2. 用户组管理:

   • 创建组 (groupadd):

     sudo groupadd [options] groupname
     

     • 常用选项：
       • -g GID: 指定 GID。
       • -r: 创建系统组 (GID < 1000)。
     • 示例：创建组 projectx：

       sudo groupadd projectx
       

   • 修改组 (groupmod):

     sudo groupmod [options] groupname
     

     • 常用选项：
       • -n new_groupname: 修改组名。
       • -g new_GID: 修改 GID。
     • 注意：修改 GID 后，需手动更新文件系统中原有属于该组的文件的 GID (chgrp 或 find + chgrp)。

   • 删除组 (groupdel):

     sudo groupdel groupname
     

     • 前提：组不能是任何用户的主组 (primary group)。确保先修改相关用户的主组或删除用户。

   • 管理组成员 (usermod -G/-aG / gpasswd):

     • 如前所述，usermod -aG 是添加用户到附加组的标准方法。
     • gpasswd 命令也可管理组成员：

       sudo gpasswd -a username groupname  # 添加用户到组 (等同于 usermod -aG)
       sudo gpasswd -d username groupname  # 从组中删除用户
       sudo gpasswd -M user1,user2,... groupname  # 设置组的成员列表（覆盖原有成员）
       

3. 查看用户信息:

   • id [username]: 显示用户 UID、GID、主组和所属组列表。最常用。
   • whoami: 显示当前登录用户名。
   • w / who: 显示当前登录系统的用户信息（终端、登录时间、来源等）。
   • finger username (可能需要安装)：显示更详细的用户信息（包括 GECOS 注释）。
   • cat /etc/passwd: 查看所有用户账户信息（密码在 /etc/shadow）。
   • cat /etc/group: 查看所有组信息。
   • groups [username]: 显示用户所属的组名。

三、权限控制的核心：sudo 与文件权限

1. sudo：授权普通用户执行特权命令

   • /etc/sudoers 文件定义了 sudo 的规则。永远使用 visudo 命令编辑此文件！ (visudo 提供语法检查和锁机制，防止配置错误导致无法使用 sudo)。
   • 授权用户/组：

     # 授权用户 alice 运行所有命令 (等效于 root)
     alice ALL=(ALL:ALL) ALL
     # 授权组 admins 运行所有命令
     %admins ALL=(ALL:ALL) ALL
     # 授权用户 bob 仅能重启服务器
     bob ALL=(root) /usr/sbin/reboot
     # 授权组 devs 无需密码运行 apt 命令
     %devs ALL=(root) NOPASSWD: /usr/bin/apt
     

   • sudo 命令用法：

     sudo command_to_run          # 以 root 身份运行命令
     sudo -u username command     # 以指定用户身份运行命令 (如 sudo -u www-data cat /var/log/nginx/error.log)
     sudo -i                       # 启动一个 root 的交互式登录 Shell
     sudo -s                       # 启动一个 root 的非登录 Shell
     

2. 文件系统权限：chown, chmod, chgrp

   • Linux 文件权限基于用户(Owner)、组(Group)、其他(Others)和读®、写(w)、执行(x)三元组。
   • chown (Change Owner):

     sudo chown newowner:newgroup filename  # 同时修改所有者和所属组
     sudo chown newowner filename          # 仅修改所有者
     sudo chown :newgroup filename         # 仅修改所属组
     sudo chown -R user:group directory/   # 递归修改目录下所有内容
     

   • chgrp (Change Group):

     sudo chgrp newgroup filename
     sudo chgrp -R newgroup directory/
     

   • chmod (Change Mode):
     • 符号模式 (更直观)：

       chmod u+rwx,g+rx,o-rwx file  # 用户加rwx，组加rx，其他去掉rwx
       chmod g-w file               # 组去掉写权限
       chmod o=r file               # 其他只设读权限
       chmod a+x script.sh          # 所有用户(a)加执行权限
       

     • 八进制模式 (更简洁)：

       chmod 755 file  # rwxr-xr-x (7=rwx, 5=r-x, 5=r-x)
       chmod 644 file  # rw-r--r--
       chmod 600 file  # rw------- (仅所有者可读写)
       chmod 770 dir/  # rwxrwx--- (所有者和组完全控制，其他无权限)
       sudo chmod -R 755 directory/ # 递归设置权限
       

四、进阶主题与最佳实践

1. 用户生命周期管理：

   • 入职：创建账户、设置强密码、分配主组和附加组、配置 sudo 权限（按需）、初始化环境（可能需要修改 /etc/skel）。
   • 在岗：定期审核账户和权限 (/etc/passwd, /etc/group, sudoers)、监控登录活动 (last, w, /var/log/auth.log)、强制执行密码策略。
   • 离职/转岗：立即锁定或删除账户 (usermod -L, userdel -r)、回收权限（从组中移除、修改 sudoers）、备份家目录（按需）。

2. 密码策略强化：

   • 工具：chage (Change Age) 是管理密码过期和账户生命周期的关键命令。

     sudo chage -M 90 -m 7 -W 14 username  # 密码90天后过期，7天内不能改，过期前14天警告
     sudo chage -E 2024-12-31 username      # 设置账户绝对过期日期
     sudo chage -l username                 # 查看当前策略
     

   • 配置文件：/etc/login.defs 定义系统默认策略（密码最长/最短天数、UID/GID 范围、是否创建家目录等）。/etc/security/pwquality.conf (或 pam_pwquality 配置) 定义密码复杂度要求（长度、字符类型、拒绝常见弱密码）。

3. 禁用 Root 登录 (SSH)：

   • 编辑 /etc/ssh/sshd_config：

     PermitRootLogin no  # 将 yes 改为 no
     

   • 重启 SSH 服务：

     sudo systemctl restart sshd
     

   • 关键安全实践：强制管理员通过普通用户登录，再 sudo 提权。减少直接攻击 root 的机会。

4. 使用 SSH 密钥认证：

   • 比密码更安全、更方便。在客户端生成密钥对 (ssh-keygen)，将公钥 (id_rsa.pub) 内容添加到服务器用户家目录的 ~/.ssh/authorized_keys 文件中。
   • 在 /etc/ssh/sshd_config 中可设置 PasswordAuthentication no 强制使用密钥登录（确保密钥可用后再设置！）。

5. 家目录模板 (/etc/skel)：

   • 当使用 useradd -m 创建用户时，系统会将 /etc/skel 目录下的所有文件和目录复制到新用户的家目录。
   • 可在此目录放置标准的配置文件（如 .bashrc, .profile, .vimrc），实现新用户环境的统一初始化。

6. 用户会话管理：

   • who, w: 查看当前登录用户。
   • pkill -KILL -u username: 强制终止指定用户的所有进程 (谨慎使用！可能导致数据丢失)。
   • sudo killall -u username: 终止用户进程 (发送 TERM 信号)。

五、总结

Ubuntu 用户管理是系统管理员的核心技能。通过熟练使用 useradd, usermod, userdel, groupadd, groupmod, groupdel, passwd, chage, id, groups, sudo, visudo, chown, chmod, chgrp 等命令，以及深入理解 /etc/passwd, /etc/shadow, /etc/group, /etc/sudoers, /etc/login.defs 等关键配置文件，可以高效、安全地管理系统的用户账户、组关系和权限分配。