Linux是一個(gè)多用戶的操作系統(tǒng)，她有完美的用戶管理工具，這些工具包括用戶的查詢、添加、修改，以及用戶之間相互切換的工具等；通過這些工具，我們能安全、輕松的完成用戶管理；

在這里我們要引入用戶控制工具的概念，比如對(duì)用戶添加的useradd或adduser ，對(duì)用戶刪除的 userdel ，與修改用戶相關(guān)信息的 usermod、chfn、chsh ，還有密碼設(shè)置工具passwd 等等；這些工具只所以被稱為用戶控制工具，理由是她們是控制和管理用戶的工具。

一、與用戶管理相關(guān)的配置文件；1、/etc/passwd 和/etc/groups

我們對(duì)用戶和用戶組進(jìn)行添加、修改、刪除最終目的是修改系統(tǒng)用戶 /etc/passwd和其加密資訊文件 /etc/shadows 以及用戶組的 /etc/groups和其加密資訊文件/etc/gshadow，所以對(duì)用戶和用戶組的添加并不僅僅是只能通過用戶添加、修改、刪除等用戶控制工具來完成，我們還能直接修改與用戶和用戶組相應(yīng)的配置文件來達(dá)到目的。在 《用戶（user）和用戶組（group）配置文件詳解》一文中，我有談過通過修改用戶及用戶組配置文件的辦法來添加、刪除、修改用戶，進(jìn)而達(dá)到對(duì)系統(tǒng)用戶的管理；

參考文檔：

《Linux 用戶（user）和用戶組（group）管理概述》《用戶（user）和用戶組（group）配置文件詳解》

2、超級(jí)權(quán)限控制sudo 的配置文件 /etc/sudoers ；

參考文檔： 《Linux 系統(tǒng)中的超級(jí)權(quán)限的控制》

3、添加用戶規(guī)則文件 /etc/login.defs 和 /etc/default/useradd

參考文檔：《Linux 用戶（user）和用戶組（group）管理概述》

二、添加用戶工具和方法；

添加用戶工具有useradd和adduser ，這兩個(gè)工具所達(dá)到的目的都是一樣的，在Fedora 發(fā)行版中,useradd 和adduser 用法是一樣的；但在slackware發(fā)行版本中，adduser和useradd 還是有所不同，表現(xiàn)為adduser 是以人機(jī)交互的提問的方式來添加用戶；

除了useradd和adduser工具以外，我們還能通過修改用戶配置文件/etc/passwd和/etc/groups的辦法來實(shí)現(xiàn)；

當(dāng)然我們也不要忽略一些發(fā)行版獨(dú)有用戶管理工具，比如Fedora 中有 system-config-users 工具；這個(gè)工具比較簡(jiǎn)單，點(diǎn)幾下鼠標(biāo)就能完成；

1、useradd 工具；

useradd 不加參數(shù)選項(xiàng)時(shí)，后面直接跟所添加的用戶名時(shí)，系統(tǒng)時(shí)讀取添加用戶配置文件/etc/login.defs和/etc/default/useradd文件，然后讀取/etc/login.defs和/etc/default/useradd中所定義的規(guī)則添加用戶；并向/etc/passwd和/etc/groups文件添加用戶和用戶組記錄；當(dāng)然/etc/passwd和/etc/groups的加密資訊文件也同步生成記錄；同時(shí)發(fā)生的還有系統(tǒng)會(huì)自動(dòng)在/etc/add/default中所約定的目錄中建用戶的家目錄，并復(fù)制/etc/skel中的文件（包括隱藏文件）到新用戶的家目錄中；

useradd 的語法：

usage: useradd; [-u uid [-o]] [-g group] [-G group,...] [-d home] [-s shell] [-c comment] [-m [-k template]] [-f inactive] [-e expire ] [-p passwd] name useradd; -D [-g group] [-b base] [-s shell] [-f inactive] [-e expire ]

當(dāng)我們執(zhí)行useradd 用戶名 來添加用戶時(shí)，我們會(huì)發(fā)現(xiàn)一個(gè)比較有意思的現(xiàn)象，新添中的用戶的家目錄總是被自動(dòng)添加到 /home目錄下，我們先舉個(gè)例子；

實(shí)例一：不加任何參數(shù)，直接添加用戶；

[root@localhost beinan]# useradd; beinanlinux[root@localhost beinan]# ls -ld /home/beinanlinux/drwxr-xr-x; 3 beinanlinux beinanlinux 4096 11月; 2 15:20 /home/beinanlinux/

在這個(gè)例子中，我們添加了beinanlinux用戶，我們?cè)诓榭?home/目錄時(shí)，會(huì)發(fā)現(xiàn)系統(tǒng)自建了一個(gè)beinanlinux的目錄；

我們?cè)賮聿榭?/etc/passwd 文件有關(guān)beinanlinux的記錄，也會(huì)有新發(fā)現(xiàn)；我們通過more 來讀取 /etc/passwd 文件，并且通過grep 來抽取 beinanlinux字段，得出如下一行；

[root@localhost beinan]# more /etc/passwd | grep beinanlinuxbeinanlinux:x:509:509::/home/beinanlinux:/bin/bash

從得出的beinanlinux的記錄來看，以adduser 工具添加beinanlinux用戶時(shí)，設(shè)置用戶的UID和GID分別為509 ，并且把beinanlinux的家目錄設(shè)置在 /home/beinanlinux ，所有的SHELL是 bash ； 我們?cè)賮砜纯?/etc/shadow、/etc/groups和/etc/gshadow 文件，是不是也有與beinanlinux有關(guān)的行；我們還要查看/etc/default/useradd 和/etc/login.defs文件的規(guī)則，看一下beinanlinux用戶的增加是不是和這兩個(gè)配置文件有關(guān)；我們還要查看 /home/beinanlinux目錄下的文件，是不是和/etc/skel目錄中的一樣；

由此我們引出我們下面所要談的內(nèi)容：

useradd -D [-g group] [-b base] [-s shell] [-f inactive] [-e expire ]

1）/etc/default/useradd 配置文件的定義；useradd -D [-g group] [-b base] [-s shell] [-f inactive] [-e expire ]

useradd 加-D參數(shù)后，就是用來改變配置文件 /etc/default/useradd的；useradd -D [-g group] [-b base] [-s shell] [-f inactive] [-e expire ]

當(dāng)-D選項(xiàng)出現(xiàn)時(shí)，useradd秀出現(xiàn)在的預(yù)設(shè)值，或是藉由命令列的方式更新預(yù)設(shè)值。可用選項(xiàng)為∶ -b default_home 注：定義用戶所屬目錄的前一個(gè)目錄。用戶名稱會(huì)附加在default_home后面用來建立新用戶的目錄。當(dāng)然使用-d后則此選項(xiàng)無效。 -e default_expire_date;;注：用戶帳號(hào)停止日期。 -f default_inactive; 注：帳號(hào)過期幾日后停權(quán)。 -g default_group;;;;;注：新帳號(hào)起始用戶組名或ID。用戶組名須為現(xiàn)有存在的名稱。用戶組ID也須為現(xiàn)有存在的用戶組。 -s default_shell注：用戶登入后使用的shell名稱。往后新加入的帳號(hào)都將使用此shell. 如不指定任何參數(shù)，useradd顯示目前預(yù)設(shè)的值。

實(shí)例二：useradd -D 如不指定任何參數(shù)，useradd顯示目前預(yù)設(shè)的值；

[root@localhost beinan]# useradd -DGROUP=100HOME=/homeINACTIVE=-1EXPIRE=SHELL=/bin/bashSKEL=/etc/skelCREATE_MAIL_SPOOL=no

我們看一下/etc/default/useradd 文件就明白了，應(yīng)該和上面的輸出是一樣的；所以如果我們想改變useradd配置文件/etc/default/adduser 的內(nèi)容，也可以用編輯器直接操作，如果你會(huì)用vi編輯器或者其它編輯器的話，這個(gè)應(yīng)該不成問題吧；實(shí)例三：我想把添加用戶時(shí)的默認(rèn)SHELL /bin/bash 改為 /bin/tcsh ，則應(yīng)該用下面的命令；

[root@localhost beinan]# useradd -D -s /bin/tcsh; 注：把添加用戶時(shí)的SHELL 改為tcsh ；[root@localhost beinan]# more /etc/default/useradd注：查看是否成功；# useradd defaults fileGROUP=100HOME=/homeINACTIVE=-1EXPIRE=SHELL=/bin/tcsh注：成功；SKEL=/etc/skelCREATE_MAIL_SPOOL=no

這個(gè)-D參數(shù)的解說就這樣了，也是比較簡(jiǎn)單，如果不會(huì)用命令，直接改參數(shù)配置文件總會(huì)吧；Linux解決問題是極為靈活的，就看我們?cè)趺唇鉀Q了，對(duì)不對(duì)？2）useradd 添加用戶；

useradd; [-u uid [-o]] [-g group] [-G group,...] [-d home] [-s shell] [-c comment] [-m [-k template]] [-f inactive] [-e expire ] [-p passwd] name

新帳號(hào)建立，當(dāng)不加-D參數(shù),useradd指令使用命令列來指定新帳號(hào)的設(shè)定值and使用系統(tǒng)上的預(yù)設(shè)值.新用戶帳號(hào)將產(chǎn)生一些系統(tǒng)檔案，用戶目錄建立，拷備起始檔案等，這些均可以利用命令列選項(xiàng)指定。此版本為RedHat Linux提供，可幫每個(gè)新加入的用戶建立個(gè)別的group,毋須添加-n選項(xiàng)。

useradd 可使用的選項(xiàng)為 -c comment注：新帳號(hào) password 檔的說明欄 。 -d home_dir注：新帳號(hào)每次登入時(shí)所使用的home_dir。預(yù)設(shè)值為default_home內(nèi)login名稱，并當(dāng)成登入時(shí)目錄名稱。 -e expire_date; 注：帳號(hào)終止日期。日期的指定格式為MM/DD/YY。 -f inactive_days 注：帳號(hào)過期幾日后永久停權(quán)。當(dāng)值為0時(shí)帳號(hào)則立刻被停權(quán)。而當(dāng)值為-1時(shí)則關(guān)閉此功能，預(yù)設(shè)值為-1 -g initial_group注：group名稱或以數(shù)字來做為用戶登入起始用戶組(group)。用戶組名須為現(xiàn)有存在的名稱。用戶組數(shù)字也須為現(xiàn)有存在的用戶組。預(yù)設(shè)的用戶組數(shù)字為1。 -G group,[...] 注：定義此用戶為此一堆groups的成員。每個(gè)用戶組使用','區(qū)格開來，不可以夾雜空白字元。用戶組名同-g選項(xiàng)的限制。定義值為用戶的起始用戶組。。 -m;;注： 用戶目錄如不存在則自動(dòng)建立。如使用-k選項(xiàng)skeleton_dir內(nèi)的檔案將復(fù)制至用戶目錄下。然而在/etc/skel目錄下的檔案也會(huì)復(fù)制過去取代。任何在skeleton_dir or /etc/skel的目錄也相同會(huì)在用戶目錄下一一建立。The-k同-m不建立目錄以及不復(fù)制任何檔案為預(yù)設(shè)值。 -M;;不建立用戶目錄，即使/etc/login.defs系統(tǒng)檔設(shè)定要建立用戶目錄。 -n;;預(yù)設(shè)值用戶用戶組與用戶名稱會(huì)相同。此選項(xiàng)將取消此預(yù)設(shè)值。 -r;;;此參數(shù)是用來建立系統(tǒng)帳號(hào)。系統(tǒng)帳號(hào)的UID會(huì)比定義在系統(tǒng)檔上/etc/login.defs.的UID_MIN來的小。注意useradd此用法所建立的帳號(hào)不會(huì)建立用戶目錄，也不會(huì)在乎紀(jì)錄在/etc/login.defs.的定義值。如果你想要有用戶目錄須額外指定-m參數(shù)來建立系統(tǒng)帳號(hào)。 -s shell; 注：用戶登入后使用的shell名稱。預(yù)設(shè)為不填寫，這樣系統(tǒng)會(huì)幫你指定預(yù)設(shè)的登入shell。 -u uid;;;uid用戶的ID值。必須為唯一的ID值，除非用-o選項(xiàng)。數(shù)字不可為負(fù)值。預(yù)設(shè)為以/etc/login.defs中的UID_MIN的值為準(zhǔn)，0到UID_MIN的值之間，為系統(tǒng)保留的UID ；

useradd 這么多的參數(shù)看上去頭有點(diǎn)暈，我們?nèi)绾斡媚兀浚科鋵?shí)很簡(jiǎn)單；一個(gè)參數(shù)一個(gè)參數(shù)的試一試不就明白了？？這是最好的學(xué)習(xí)方法。實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)；

如果useradd 后面直接跟用戶名，不加任何參數(shù)，表示添加用戶時(shí)按事先/etc/default/adduser 和/etc/login.defs 添加新用戶的配置文件的規(guī)則來添加用戶；其實(shí)我們?yōu)榱朔奖悖部梢园堰@兩個(gè)文件修改以適合我們添加用戶需要；

useradd 為什么還需要那么多的參數(shù)呢？

原因很簡(jiǎn)單，主要是為了管理員方便管理用戶。useradd 是靈活的，可以跳過/dev/default/adduser 和/etc/login.defs 兩個(gè)配置文件中的規(guī)則來自定義添加用戶；比如在用戶的家目錄，在/etc/default/adduser 中可能定義在/home目錄下建立，如果我們的機(jī)器/home獨(dú)立占一個(gè)分區(qū)，并且有點(diǎn)緊張，但我們又不想改變/etc/default/adduser 關(guān)于家目錄的定義，這里我們就可以通過 adduser -d 參數(shù)把新增用戶家目錄定義到空間比較空閉的分區(qū)；

通過下面的幾個(gè)例子，可能有助于我們理解useradd ，其實(shí)很簡(jiǎn)單~，學(xué)習(xí)也是這樣，先從簡(jiǎn)單的入手，一步一步的走過來，沒有什么難的~~

實(shí)例四：以/etc/logins.defs和/etc/default/adduser 默認(rèn)的規(guī)則添加用戶；

[root@localhost ~]# useradd; longcpu

注解：如果useradd 后面直接用戶名，表示系統(tǒng)讀取 /etc/login.defs和/etc/default/adduser 配置文件，根本這兩個(gè)配置文件所定義的規(guī)則來添加用戶，比如用戶的家目錄哪里，用什么SHELL，UID和GID的分配... ... 查看/etc/passwd的新增記錄，然后根據(jù) /etc/login.defs和/etc/default/adduser 查看新增用戶是否符合這兩個(gè)配置文件所約定的規(guī)則；

實(shí)例五：練習(xí)參數(shù)的使用；

[root@localhost ~]# useradd -c ChinaCpu; longcpu; 注：添加一個(gè)新用戶amdcpu ，使用參數(shù)-c；[root@localhost ~]# more /etc/passwd |grep longcpu注：查看/etc/passwd 文件，并抽取longcpu的記錄；longcpu:x:510:510:ChinaCpu:/home/longcpu:/bin/bash;

注：看上去是已經(jīng)有amdcpu用戶了；x是密碼段；UID和GID 都是510，ChinaCpu表示是什么意思？ 家目錄位于/home/amdcpu，SHELL是bash ；

[root@localhost ~]# finger longcpu 注：我們查詢一下amdcpu 用戶的信息；Login: longcpu Name: ChinaCpu 注：-c ChinaCpu 表示用戶真實(shí)的名字或全名；Directory: /home/longcpu Shell: /bin/bashNever logged in.No mail.No Plan.

注解：這個(gè)例子，我們做了添加用戶、查看/etc/passwd 的變化； 并且通過finger 來查詢longcpu用戶的信息，目的是理解參數(shù)-c的用處；

參數(shù)-c 后面的就是就是UID:GID后面說明文字，這段文字中包括用戶真實(shí)姓名，辦公地址，辦公電話等，可以通過chfn 來更改，我們可以通過chfn 來修改用戶信息，然后查看 /etc/passwd 的變化，再來用finger 來查詢用戶信息。幾個(gè)工具組合練習(xí)一下，也容易忘記；

實(shí)例六：自定義用戶的家目錄、SHELL類型、所歸屬的用戶組等；

添加用戶longcpu，并設(shè)置其用戶真實(shí)名字為ChinaCpu，其家目錄在/opt/longcpu，讓其歸屬為用戶組 linuxsir、root、beinan成員，其SHELL類型為tcsh ；

[root@localhost ~]# useradd; -c ChinaCpu; -d /opt/longcpu-G linuxsir,root,beinan -s /bin/tcsh; longcpu

注：添加用戶longcpu ，真實(shí)名是ChinaCpu ，家目錄設(shè)置在 /opt/longcpu ，是linuxsir,root,beinan 用戶組成員， SHELL是tcsh ；

[root@localhost ~]# ls -ld /opt/longcpu/注：是不是自動(dòng)創(chuàng)建了longcpu的家目錄？drwxr-xr-x; 3 longcpu longcpu 4096 11月; 4 22:30 /opt/longcpu/[root@localhost ~]# more /etc/passwd |grep longcpu; 注：查看 /etc/passwd 中是否有l(wèi)ongcpu用戶記錄；longcpu:x:510:510:ChinaCpu:/opt/longcpu:/bin/tcsh[root@localhost beinan]# finger longcpu; 注：查詢longcpu用戶的信息 ； Login: longcpuName: ChinaCpuDirectory: /opt/longcpu; Shell: /bin/tcshNever logged in.No mail.No Plan.[root@localhost beinan]# id longcpu 注：查詢UID和GID 以及所歸屬的用戶組；uid=510(longcpu) gid=510(longcpu) groups=510(longcpu),0(root),500(beinan),502(linuxsir)

關(guān)于在添加新用戶時(shí)用戶組，添加用戶時(shí)，如果不使用-n 參數(shù)，系統(tǒng)會(huì)自動(dòng)建一個(gè)與用戶名同名的用戶組；

實(shí)例七：練習(xí)用戶有效期限；

在本例中，我們主要來看看-e參數(shù)，這個(gè)參數(shù)還是比較重要的，是設(shè)定用戶的帳號(hào)什么時(shí)候過期；

在本例中，我們添加了一個(gè)帳號(hào)，并且設(shè)置其帳號(hào)在 2005年11月04日之前是有效的，一旦過了這個(gè)日期，便停止其登錄；

[root@localhost ~]# useradd; -e 11/04/2005 cooler; 注：添加用戶cooler，并設(shè)置其有效期為2005年11月04日；[root@localhost ~]# passwd cooler; 注：設(shè)置用戶cooler密碼；Changing password for user cooler.New UNIX password: 注：設(shè)定cooler的密碼；Retype new UNIX password: 注：核實(shí)設(shè)定密碼；passwd: all authentication tokens updated successfully.; 注：設(shè)置成功；

如何驗(yàn)證-e 是不是真的有效？我寫這篇文檔的時(shí)間是 2005年11月05號(hào)，所以添加這個(gè)cooler用戶肯定是過期的，就是他有密碼也不能登錄；

有的弟兄會(huì)問，他把有效期的記錄放在哪里了呢？其實(shí)我們?cè)谝郧暗奈臋n中已經(jīng)說過了，是寫在/etc/shadow文件中了；

請(qǐng)參考： 《用戶（user）和用戶組（group）配置文件詳解》