Linux系统初始化设置】：用户账户与权限管理

# 1. Linux系统用户账户管理基础

Linux系统用户账户管理是系统安全与维护的重要组成部分。本章将为读者提供用户账户管理的基本知识，包括用户账户、用户组的概念，以及它们在Linux系统中的基本操作和配置方法。

## 1.1 用户账户的定义与重要性

在Linux操作系统中，每个用户都有唯一的用户账户，这是系统识别和管理不同用户权限的基础。用户账户的管理，特别是权限的分配，对于保护系统资源和确保系统安全至关重要。

## 1.2 用户账户的主要组成部分

用户账户包括用户名、用户ID（UID）、用户主目录、登录Shell等信息。用户名是用于标识账户的字符串，而UID是一个数字标识，用于系统内部引用。用户主目录是用户登录后的工作目录，而登录Shell则是用户登录后执行的默认命令解释器。

## 1.3 用户账户的分类与作用

Linux系统中的用户账户通常分为三种类型：root账户、系统账户和普通用户账户。Root账户具有系统的所有权限，用于执行需要高级权限的管理任务。系统账户是由安装的软件和服务使用，而普通用户账户则是供最终用户登录和使用。

本文介绍的用户账户管理基础知识将作为后续章节深入探讨Linux用户账户配置实践和权限管理的铺垫。在下一章，我们将详细讨论如何在Linux系统中创建、删除以及定制用户账户属性。

# 2. Linux用户账户配置实践

## 2.1 用户账户的创建与删除

### 2.1.1 使用useradd和userdel命令

在Linux系统中，用户账户是进行身份验证的基本单元。创建和删除用户账户是系统管理员最基础的工作之一。`useradd` 和 `userdel` 是用于创建和删除用户账户的命令。

创建一个新用户可以使用 `useradd` 命令。在执行 `useradd` 命令时，可以指定多个选项，其中一些常见的选项包括：

- `-u`: 指定用户的UID（用户标识号）；
- `-g`: 指定用户的初始登录组；
- `-G`: 指定用户所属的其他群组；
- `-s`: 指定用户的登录shell；
- `-d`: 指定用户的主目录。

例如，创建一个名为 `newuser` 的用户，并设置登录shell为 `/bin/bash` 的命令如下：

useradd -s /bin/bash newuser

创建用户后，通常需要设置密码才能登录。可以使用 `passwd` 命令来为新用户设置密码：

passwd newuser

删除用户账户则使用 `userdel` 命令。如果没有特别指定，它只会删除用户的主目录和邮件目录，而保留 `/etc/passwd` 和 `/etc/shadow` 等账户信息文件中的记录。常见的选项包括：

- `-r`: 删除用户的同时，删除用户家目录和邮件目录；
- `-f`: 强制删除用户，即使用户当前已登录。

userdel -r newuser

当删除用户时，系统管理员应确保相应的权限和文件也被妥善处理，避免留下安全隐患或数据丢失。

### 2.1.2 用户账户属性的定制

在创建用户时，除了可以通过 `useradd` 的命令行选项进行定制外，还可以通过修改 `/etc/login.defs` 和 `/etc/default/useradd` 配置文件来定制新用户账户的默认属性。这些文件定义了系统用户的默认设置，如UID的范围、家目录的模板等。

此外，还可以直接编辑 `/etc/passwd` 文件来添加或修改用户信息，但直接编辑配置文件可能会引入错误，因此通常不推荐这样做，除非对系统配置文件的结构非常熟悉。

## 2.2 用户组的管理

### 2.2.1 新建和修改用户组

用户组（Group）是用于将多个用户合并在一起以简化权限管理的一个概念。每个用户可以属于多个用户组，这样便于将文件和目录的访问权限赋予一组用户，而不是单独的每个用户。

使用 `groupadd` 命令可以创建一个新的用户组。此命令的常见用法如下：

groupadd newgroup

如果需要删除一个用户组，则可以使用 `groupdel` 命令：

groupdel newgroup

创建或修改用户组时，可以使用 `-g` 选项指定组的GID（组标识号），`-o` 选项允许创建重复的GID。

### 2.2.2 用户与用户组的关系处理

用户和用户组之间的关系处理主要是通过 `usermod` 命令来完成的。该命令不仅可以用于修改用户账户的各种属性，也可以用于将用户添加到不同的用户组或从用户组中移除。

例如，将用户 `newuser` 添加到 `newgroup` 用户组，可以使用以下命令：

usermod -a -G newgroup newuser

其中 `-a` 选项表示追加到当前用户组，`-G` 表示指定的用户组。

处理用户与组关系时，要注意用户默认登录组和辅助组的区别，以及这些设置对用户权限的影响。系统管理员应该仔细规划用户组的结构，以简化权限管理并加强系统安全。

## 2.3 用户账户的高级配置

### 2.3.1 PAM认证模块的应用

可插拔认证模块（PAM）是一个灵活而强大的机制，用于在Linux系统中管理用户认证。PAM允许系统管理员为各种服务配置认证策略而不必重新编译软件，增加了系统的灵活性和可扩展性。

PAM的配置文件存放在 `/etc/pam.d/` 目录中，每个服务一个配置文件。以 `ssh` 服务为例，其PAM配置文件可能是这样的：

auth       include      system-auth
account    include      system-auth
password   include      system-auth
session    include      system-auth

上述配置文件中，`include` 指令将实际的认证规则引用到 `system-auth` 配置中。配置规则由模块类型、控制标志、模块路径和模块参数组成，例如：

auth       required     pam_unix.so

这条规则表示，认证过程必须要通过 `pam_unix.so` 模块，并且是“required”（必须通过）级别。

### 2.3.2 chage命令与密码策略

`chage` 命令用于管理用户密码的过期信息，帮助系统管理员强化密码策略。通过 `chage` 命令，可以设置密码过期的天数、