1.3 用户管理_大规模Linux集群架构最佳实践：如何管理上千台服务器-QQ阅读男生玄幻网

上QQ阅读APP看书，第一时间看更新

1.3 用户管理

1.3.1 用户和用户组的概念

Linux是一个多用户系统，要使用系统资源就必须在系统内拥有合法的用户账号，Linux系统可以存在多个用户，但是需要使用唯一的用户名来区分不同的用户，同时所有非系统用户都需要设置密码才可以登录到系统。

和人类不同，Linux系统只能使用数字来记录用户。在实现上，Linux系统采用一个32位的整数来记录用户，这意味着在一套Linux系统中最多可以记录40亿个不同的用户。这个用来区分不同用户的数字被称为user id，简称UID。

在Linux系统中，有三类用户，分别是系统用户、普通用户和根用户。普通用户是Linux的真实用户，这类用户可以通过用户名和密码登录到系统中，通常普通用户的UID大于500；系统用户是系统运行时的一些特殊用户，这类用户往往不能登录到系统中，但是一些进程需要使用这类用户运行，比如系统中的httpd进程就是使用用户apache运行的；根用户又叫root，它的UID为0，也是系统中的超级用户，拥有至高无上的权限。

除了用户之外，Linux系统中还存在用户组，而用户组也是用数字来区分的，即Group ID，简称为GID。

UID和GID之间存在某些关系。比如CentOS系统在创建用户时，系统会在创建这个用户的同时，创建一个同名的用户组。而在内部，系统在分配给该用户一个UID的同时会创建一个用户组（这个用户组也会得到一个唯一的GID），并且默认情况下UID的值等于GID，创建出来的这个用户默认属于这个用户组。用户组除了在创建用户时被创建，也可以独立创建出来。

上面的解释似乎有点晦涩，这里举个例子：在学校里，每个学生都会被分配到一个学号，这个学号一定是唯一的，所以才能区分不同的学生，我们可以拿学号类比一个UID；同时，每个学生都可以自己创建自己的兴趣小组，这个兴趣小组的编号类比于系统中的GID，为了保证唯一，创建的这个兴趣小组的编号的数值可以简单地等于UID，这样可以保证GID也是唯一的。当然，默认情况下，一开始每个兴趣小组的成员都只有一个。当某个学生对其他某个兴趣小组感兴趣时，他可以随时加入其他的小组，这时该学生就属于两个组了，而他加入其他小组的个数越多，他从属于的组就越多，Linux中也是一样，一个用户在创建后，至少属于一个组，而且后期随时可以加入、退出不同的组。

1.3.2 新增和删除用户

在CentOS中新增和删除用户可以分别使用useradd和userdel命令完成。比如现在想要添加一个用户名为john的用户：

        [root@localhost ～]# useradd john

需要注意的是，如果仅使用useradd添加用户，该用户并不能登录到系统，必须给该用户设置密码后才可以。同时请记住，新增一个用户的操作，也就默认新增了一个同名的用户组（在这里意味着同时新增了一个名为john的用户组）。

        [root@localhost ～]# passwd john
        Changing password for user john.
        New password:
        Retype new password:

        passwd: all authentication tokens updated successfully.

删除用户：

        [root@localhost ～]# userdel john

在一个账号使用一段时间后，该用户往往会在个人家目录中留下不少个人文件，使用上面的命令删除用户，这些文件还会得以保留。如果确认该用户的文件需要在删除用户时也一并彻底删除，可使用以下命令完成：

        [root@localhost ～]# userdel -r john

1.3.3 新增和删除用户组

也可以使用groupadd/groupdel单独创建/删除用户组。示例如下：

        [root@localhost ～]# groupadd group1
        [root@localhost ～]# groupdel group1

1.3.4 用户切换

很多情况下需要切换用户，比如原先使用了一个普通用户登录系统，后来由于权限问题需要切换为root执行相关命令。或是需要从普通用户1切换为普通用户2，或是从root切换为普通用户等。切换用户的命令为su。

root由于拥有至高无上的权限，所以，root用户可以随时切换为任意的用户，比如下面的例子中，root用户切换为john，注意用户切换成功后，命令提示行中的用户变为用户john了：

        [root@localhost ～]# su - john
        [john@localhost ～]$

但是，从普通用户切换至root，是必须要知道root的密码的，下面的例子中第一次故意输入了一个错误的密码，系统会拒绝这次用户切换；第二次输入正确的密码后，就可以正确切换为root了。

        [john@localhost ～]$ su - root
        Password:
        su: incorrect password
        [john@localhost ～]$

        [john@localhost ～]$ su - root
        Password:
        [root@localhost ～]#

最后，从一个普通用户切换为另一个普通用户的操作，也需要知道被切换的用户的密码，原因应该很好理解。当然，这里也存在一个很明显的问题：用户1切换为用户2的前提是用户1必须知道用户2的密码，这似乎给密码安全带来了一些问题。那么有没有方法可以解决这个问题呢？答案是肯定的。感兴趣的读者可以搜索查看一下sudo命令。