/etc/passwd：用户及其属性信息（名称、UID、基本组ID等等）
    /etc/shadow：用户密码及其相关属性
    /etc/group：用户组及其属性信息
    /etc/gshadow：组密码及其相关属性
    用户配置文件：
        /etc/login.defs
        /etc/default/useradd        ：默认配置文件
新用户信息文件：  /etc/skel
登录信息：          /etc/motd

[root@test-6 ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
……
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
pppp:x:501:501::/home/pppp:/bin/bash
peng:x:502:502::/home/peng:/bin/bash

root:x:0:0:root:/root:/bin/bash

组：
[root@test-6 ~]# cat /etc/group
dialout:x:20:fnngj

[root@AAAA7 ~]# ls -l /etc/shadow
----------. 1 root root 1205 11月 20 10:28 /etc/shadow

[root@test-6 ~]# cat /etc/shadow
root:$6$4Ml.w1pd$j21iPRx9yFD0ZuTXg1Eil8937Jt9/1zZ8P5RQZI052iHAKqzsfuYqB41YNSVgPOdT3fgPYGGCkNQV.595c8FB0:17876:0:99999:7:::
bin:*:15980:0:99999:7:::
daemon:*:15980:0:99999:7:::
adm:*:15980:0:99999:7:::
lp:*:15980:0:99999:7:::
sync:*:15980:0:99999:7:::
……
pppp:$6$AjMZTGBT$p.Y0wUAgI2wRi79zCY62tTXLyEDfVBs7kIX5.8TZ/Z4WC6G0IyYKMGsMgNaZtHXwxUOD3nAQKEyDTSu0JrApY/:17884:0:99999:7:::
peng:$6$sgWtVVZL$hxH2Kt3txIsk5dU/E4ekn.6M2Qc9VbCMX8sWlvQU17mMhS45PMbD7yf9OUgFY6LGAagWzkS/LwuwEQIClx7O6.:17891:0:99999:7:::

root:$6$4Ml.w1pd$j21iPRx9yFD0ZuTXg1Eil8937Jt9/1zZ8P5RQZI052iHAKqzsfuYqB41YNSVgPOdT3fgPYGGCkNQV.595c8FB0:17876:0:99999:7:::

root              用户名   　　  用户登录系统时使用的用户名
$6$4Ml.w1pd$j21iPRx9yFD0ZuTXg1Eil8937Jt9/1zZ8P5RQZI052iHAKqzsfuYqB41YNSVgPOdT3fgPYGGCkNQV.595c8FB0 　　 密码  　　 加密密码   MD5
17876  　　 最后一次修改时间    linux这里以1970年1月1日作为1，1971年1月1日就是366，依次类推到我修改密码的日期表示为17876了。
0   　　　　  最小时间间隔           这个字段代表要经过多久才可以更改密码。如果是“0”表密码可以随时更改。
99999         最大时间间隔           于害怕密码被人盗取而危害到整个系统的安全，所以安排了这个字段，你必须在这个时间内重新修改密码，否则这个帐号将暂时失效。上面的99999，表示密码不需要重新输入，最好设定一段时间修改密码。确保系统安全
7   　　　　  密码变更期期限快到前的警告期：当帐号的密码失效期限快到时，系统依据这个字段的设定发出警告，提醒用户“再过n天您的密码将过期，请尽快重新设定密码。默认的是七天。       
帐号失效期：     如果用户过了警告期没有重新输入密码，使得密码失效，而该用户在这个字段限定的时间内又没有向管理员反映，让帐号重新启用，那么这个帐号将暂时失效。
帐号取消日期：  这个日期跟第三个字段一样，都是使用1970年以来的日期设定方法。这个字段表示：这个帐号在此字段规定的日期之后将无法再使用。这个字段通常用于收费服务系统中，可以规定一个日期让该帐号不能再使用。
保留：　　　　 最后一个字段是保留的，看以后有没有新功能加入。

[root@test-6 ~]# echo $[$RANDOM] | md5sum 
1936fd5e2f1496417e4818c7e8a1ffc1  -

[root@bogon /]# grep root /etc/passwd  /etc/shadow
/etc/passwd:root:x:0:0:root:/root:/bin/bash
/etc/passwd:operator:x:11:0:operator:/root:/sbin/nologin
/etc/shadow:root:$1$5DlBd7m8$tF.az6hWi27oaaFw7OpFs.:15391:0:99999:7:::
 
[root@bogon /]# pwunconv      将密码回写
[root@bogon /]# grep root /etc/passwd  /etc/shadow
/etc/passwd:root:$1$5DlBd7m8$tF.az6hWi27oaaFw7OpFs.:0:0:root:/root:/bin/bash
/etc/passwd:operator:*:11:0:operator:/root:/sbin/nologin
grep: /etc/shadow: 没有那个文件或目录
 
[root@bogon /]# pwconv     转换到shdow文件中，只不过平时这个动作平时由linux自动完成。
[root@bogon /]# grep root /etc/passwd  /etc/shadow
/etc/passwd:root:x:0:0:root:/root:/bin/bash
/etc/passwd:operator:x:11:0:operator:/root:/sbin/nologin
/etc/shadow:root:$1$5DlBd7m8$tF.az6hWi27oaaFw7OpFs.:15456:0:99999:7:::

===============================
setUID=4   所有人
setGID=2   所属组
粘着位=1    其它人
===============================

Username/UID
管理员：root，标示符：UID：0、#；GID：0
普通用户【系统用户和登陆用户】：1-65535
注意：普通用户：系统用户、登陆用户
        系统用户：用于指定内核服务资源分配的ID标示符
                UID【1-499】这是6版本
        登陆用户：用于指定操作人员的管理ID标示符
                UID【500-65535】
存放位置：[root@test ~]# cat /etc/passwd
GID：包含了多个用户的容器【装载UID以及对应的权限】
        管理员组：root，0
        普通组：
            系统组：
                UID【1-499】
            登陆组：
                UID【500-65535】

    用户的基本组【主组】
        组名和用户同名，且仅仅包含了一个用户【私有组】
注意：默认情况下载创建用户时，创建的用户的基本组和用户名一致，且在/home文件下，能找到对应的家目录
    用户的附加组【额外组】

Linux的安全上、下文：
    不同的用户，针对不同的用户组文件，不能任意使用，这就是上、下文
    运行中的进程，对文件的访问权限，依赖于发起此进程的用户的权限

su - root
su -l root #切换用户
su -c ls root  #以用户的身份去执行命令，但是不登陆
/bin/su - elk -c '/usr/local/elasticsearch-7.10.0/bin/elasticsearch'
/bin/su - root -c 'ps'

[pppp@test-6 ~]$ sudo -l
匹配此主机上 pppp 的默认条目：
    !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC
    KDEDIR LS_COLORS", env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE",
    env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES", env_keep+="LC_MONETARY
    LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

用户 pppp 可以在该主机上运行以下命令：
    (root) NOPASSWD: /bin/mount, /bin/umount

>>> sudoers file: syntax error, line 22 <<

[peng@test-7 ~]$ ls /root/     # 这是没有配置sudo权限
ls: cannot open directory /root/: Permission denied

peng ALL=(ALL)    ALL

[root@test-7 ~]# su - peng           # 切换到peng用户
[peng@test-7 ~]$ sudo ls /root/      # 这个配置了sudo权限
[sudo] password for peng: # 输入peng的密码
11   333  anaconda-ks.cfg  file.txt  sed.script  test
222  aa   day1.py      file.txt.bak  study.py    www

#好了，我们限制一下foobar 的权利，不让他为所欲为。比如我们只想让他像root那样使用ls和ifconfig，把那一行改为：
foobar localhost=    /sbin/ifconfig,   /bin/ls
#再来执行命令：
[foobar@localhost ~]$ sudo head -5 /etc/shadow
Password:
Sorry, user foobar is not allowed to execute '/usr/bin/head -5 /etc/shadow' as root on localhost.localdomain.

[foobar@localhost ~]$ sudo /sbin/ifconfigeth0      
Linkencap:Ethernet HWaddr 00:14:85:EC:E9:9B...

foobar    linux=(jimmy,rene)    /bin/kill

Defaults:foobar    runas_default=rene

peng    localhost=(AAL)     NOPASSWD:     /bin/cat, /bin/ls

[foobar@localhost ~]$ sudo ls /
rootanaconda-ks.cfg Desktop install.log install.log.syslog

test    ALL=(root)      /usr/sbin/useradd,!/usr/bin/passwd,!/usr/sbin/visudo, /usr/sbin/* 

## Allows people in group wheel to run all commands
%wheel  ALL=(ALL)       ALL

## Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL    # 如果不需要密码就把注释拿到，然后把wheel需要密码的配置注释掉

1、新建组
2、往组里添加用户
[root@lnmp01 ~]# groupadd -r seo

#添加用户到组的2种方法：（2种方法usermod和gpasswd）
[root@lnmp01 ~]# usermod -a -G seo kkk
                               组名 用户名
#将用户添加到组中去
[root@lnmp01 ~]# gpasswd -a liao seo    #一般用这种方法
                            用户名 组名
Adding user liao to group seo

#打开visudo,在最后面添加如下配置即可
%yunwei ALL=(root)  NOPASSWD: /usr/bin/passwd,/usr/sbin/useradd,!/usr/bin/passwd root,!/usr/sbin/visudo          # 这个是自己写的,如果你需要全部的命令,就使用ALL

%yunwei ALL=(root) NETWORKING   #这个是系统默认有一个NETWORKING，只有把NETWORKING注释取消，写上这句，就可以用NETWORKING里面的命令
--------------------------------------------------------------------

# visudo    #在文件末尾添加下面几行
Defaults logfile=/var/log/sudo.log  #定义日志的位置和名字
Defaults loglinelen=0      #不限制日志行数
Defaults !syslog           #使用系统日志服务来管理

#添加完了以后重启系统日志服务
/etc/init.d/rsyslog restart
然后切换到普通用户，进行sudo操作；在然后在回到root用户下，查看/var/log/sudo.log里面的日志记录
--------------------------------------------------------------------
#重启日志守候进程:
ps aux grep syslogd
#把得到的syslogd进程的PID（输出的第二列是PID）填入下面：
kill –HUP PID


# 这样，sudo就可以写日志了：
[foobar@localhost ~]$ sudo ls /
rootanaconda-ks.cfg Desktop install.log install.log.syslog

$cat /var/log/sudoJul 28 22:52:54 localhost sudo:   foobar :
TTY=pts/1 ; pwd=/home/foobar ; USER=root ; command=/bin/ls /root



# 不过，有一个小小的“缺陷”，sudo记录日志并不是很忠实：
[foobar@localhost ~]$ sudo cat /etc/shadow > /dev/null
cat /var/log/sudo...Jul 28 23:10:24 localhost sudo:   foobar : TTY=pts/1 ;
PWD=/home/foobar ; USER=root ; COMMAND=/bin/cat /etc/shadow

重定向没有被记录在案！为什么？因为在命令运行之前，shell把重定向的工作做完了，sudo根本就没看到重定向。这也有个好处，下面的手段不会得逞：
[foobar@localhost ~]$ sudo ls /root > /etc/shadow
bash: /etc/shadow: 权限不够
sudo 有自己的方式来保护安全。以root的身份执行sudo -V，查看一下sudo的设置。因为考虑到安全问题，一部分环境变量并没有传递给sudo后面的命令，或者被检查后再传递的，比如：PATH，HOME，SHELL等。当然，你也可以通过sudoers来配置这些环境变量。

runuser [选项] 用户名 -c 命令

runuser -l root -c 'command'

runuser -l username -c 'command'

runuser -u username -c 'command'

runuser -s /bin/bash -u username -c 'command'

PAM（Pluggable Authentication Modules）   #插件式的认证模块
    glib  (gnu c standard libruary)

[root@lamp ~]# ls /lib64/security/  #认证插件的位置
[root@lamp ~]# ls /etc/pam.d/   #pam配置文件所在的位置

    id [-gGnru][--help][--version][用户名称]

[root@localhost ~]# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

[root@test ~]# id root
uid=0(root) gid=0(root) 组=0(root)

[root@test ~]# id root
uid=0(root) gid=0(root) 组=0(root)

[root@localhost ~]# id -g
0

[root@localhost ~]# id -a
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

[root@test ~]# id -G -n peng
peng yy

# finger -m hnlinux

# finger -m root@192.168.1.13

[root@test ~]# finger root
Login: root                     Name: root
Directory: /root                        Shell: /bin/bash
On since 四 12月 27 08:37 (CST) on pts/0 from sky-20181114odd.mshome.net
   3 seconds idle
Mail last read 三 12月 19 20:43 2018 (CST)
No Plan.

[root@localhost Desktop]# chfn
Changing finger information for root.
Name [root]: jack
Office []: hn
Office Phone []: 888888
Home Phone []: 9999999

Finger information changed.

[root@localhost Desktop]# chfn -f jack
Changing finger information for root.
Finger information changed.

shell>> chfn
Changing finger information for user
Password: [del]
Name[]:linuxde ### 提供 finger 时的资料
Office[]:NCCU
Office Phone[]: [del]
Home Phone[]: [del]

[root@CentOS6 home]# usermod -f 9 20181231test  -f指的就是这个9
[root@CentOS6 home]# passwd -S 20181231test
20181231test PS 2018-12-31 0 99999 7 9 (密码已设置，使用 SHA512 加密。)
[root@CentOS6 ~]# useradd -u 1558  -g webadmin -G sys,root -s /bin/bash  -c "market lisi"  -e 2012-12-12  jack  
-----------------------------------------------------------------------------------------
 [root@test /]# useradd -d /tmp/test -c "This is test" -s /sbin/nolog -g peng -u 500 -G yy test
test:x:500:1000:This is test:/tmp/test:/sbin/nolog  
-----------------------------------------------------------------------------------------
[root@test-6 ~]# useradd -D -s /bin/sh
[root@test-6 ~]# cat /etc/default/useradd
# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/sh
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes
注意：使用-D选项指定默认参数时，实际上可以直接改配置文件/etc/default/useradd
-----------------------------------------------------------------------------------------
新建用户加入组：
useradd –g sales jack –G company,employees    //-g：加入主要组、-G：加入次要组
建立一个新用户账户，并设置ID：
useradd caojh -u 544
需要说明的是，设定ID值时尽量要大于500，以免冲突。因为Linux安装后会建立一些特殊用户，一般0到499之间的值留给bin、mail这样的系统账号。

[root@CentOS6 ~]# useradd lisi      添加创建了一用户lisi
[root@CentOS6 ~]# passwd lisi       设置lisi的密码
更改用户 lisi 的密码 。         这里输入密码
新的 密码：
无效的密码： 它没有包含足够的不同字符
无效的密码： 是回文
重新输入新的 密码：              再次确认密码
passwd： 所有的身份验证令牌已经成功更新。
-----------------------------------------------------------------------------------------
上面这种是不被推荐的一种创建用户的方式，任何的用户都应该属于某个组。创建这样的“散人”实际中没有太大意义。

[root@CentOS6 ~]# grep "lisi" /etc/passwd --col
lisi:x:501:501::/home/lisi:/bin/bash

 从上面信息中看到，系统默认为我们创建了一个lisi的组，组ID为501
上面是铺垫，下面才是重点。。 
思考：在上一节中，我们提到，存放用户密码的文件shadow只有root用户才可操作。那么普通用户为什么可以修改密码呢

==================setUID==========================
 
这里引出一个东东----setUID
       定义:当一个可执行程序具有setUID权限，用户执行这个程序时，将以这个程序所有者的身份执行。
       哈哈！小狼不能和小羊谈朋友，小羊可以与小羊谈朋友，于是，小狼披上了羊的外衣，然后以羊的身份和小羊一起幸福的生活。吼吼。
       其实，用户执行的这个程序就是命令，passwd命令授权了SetUID权限。所以普通用户也可以通过passwd命令改密码。
 
下面来做个试验！！很有意思的噢，要不要也来试试噢？
 
切换到lisi用户下面。
[lisi@localhost ~]$ touch file01   touch创建一个file01的文件
[lisi@localhost ~]$ ls -l file01
-rw-rw-r--  1 lisi lisi 0  5月  5 22:14 file01
  我们看到，这个时候用touch命令创建的文件，所有者是lisi，所属于组是lisi组
 
切换到root下面
[root@localhost ~]# ls -l /bin/touch   
-rwxr-xr-x  1 root root 38056 2009-07-03  /bin/touch
细心朋友会发现权限前面还多一位。没错！setUID就属于这一位。
 
setUID=4
 
现在我们给touch命令授予个setUID授予setUID权限有两种方式。
[root@localhost ~]# chmod  u+s /bin/touch  
[root@localhost ~]# chmod  4755  /bin/touch
关于用户权限不理解的看我之前的相关文章。
 
再次切换到lisi目录下
[lisi@localhost ~]$ touch file02   创建文件file02
[lisi@localhost ~]$ ls -l file02
-rw-rw-r--  1 root lisi 0  5月  5 22:35 file02
    这次我们发现，同样的一个命令touch ，这次创建出来的文件所有者变成的root
 
 
去掉setUID权限的两种方式：
[root@localhost ~]# chmod  u-s /bin/touch  
[root@localhost ~]# chmod  755  /bin/touch
 
 
========================setGID=====================
 
setGID的用法与setUID的用法一起，它是添加组权限的。
setGID=2
添加setGID的方式如下：
[root@localhost ~]# chmod  g+s /bin/touch  
[root@localhost ~]# chmod  2755  /bin/touch
 
一般的命令我们不能随便授予setUID权限假如给vi命令授予setUID命令，无疑于给linux留了个后面，那样我们就可以通过vi命令修改用户与密码信息文件了。
那么到底有哪些命令设置有setUID呢？我们可以查找一下。
 
[root@localhost ~]# find / -perm -4000 -o -perm -2000
在当前目录下（/）查找具有setUID（-perm -4000）或者（-o）具有
 
setGID（-perm -2000）权限的命令
 
 
 ======================粘着位====================  
 
粘着位有什么作用，我们来看一个例子，这样更容易理解。。
 
[root@localhost test]# mkdir abc                   创建一个目录abc
[root@localhost test]# touch abc/newfile      在这个目录下创建一个文件newfile
[root@localhost test]# chmod 777 abc          对这个目录设置权限为所有人都有所有权限
[root@localhost test]# ls -ld abc
drwxrwxrwx  2 root root 4096  5月  5 23:44 abc 
[root@localhost test]# ls -l abc/newfile          newfile文件的权限是其它人没有删改的权限。
-rw-r--r--  1 root root 0  5月  5 23:44 abc/newfile
 
切换到lisi用户
[lisi@localhost test]$ rm -rf abc 
       具然把abc目录下面的newfile干掉了，lisi用户虽然有对abc目录的所有权限，但对newfile文件没有删除权限呀。这就是linux对文件的权限规定。
       假如张三和李四对一个文件夹都有所有权，这个文件夹下放的有张三的文件，也有李四的文件，如果张三看李四的文件不爽，那么他就直接干掉了，李四上去一看哭了。为什么办法让李四不哭呢？这里就用到粘着位了。
 
粘着位
粘着位=1
t,如果一个权限为777目录有粘着位，每个用户都可以在这个目录下创建文件，但只能删除自己是所有者的文件。
 
粘着位的授权方式：
[root@localhost test]# chmod  o+t abc  
[root@localhost test]# chmod  1755  abc
 
我们再来删除试试：
[lisi@localhost abc]$ rm newfile
rm：是否删除有写保护的一般空文件‘newfile’? y
rm: 无法删除‘newfile’: 权限不够
 
自己创建的文件就可以删除噢！
[root@localhost test]# touch newfile2
[root@localhost test]# rm newfile2 
rm：是否删除一般空文件‘newfile2’? y
 
用户组权限Living Example                                                                                                                                                     
先直接抛一个需求出来吧！先步骤完成了，后面再分析。
授权用户 chongshi 和 bugmaster 对目录/cnblogs有写权限
创建目录
[root@localhost hzh]# mkdir /cnblogs      创建目录
[root@bogon hzh]# ls -ld /cnblogs　　　  查看目录
drwxr-xr-x 2 root root 4096 5月 10 23:20 /cnblogs

添加两个用户并设置密码
[root@bogon hzh]# useradd chongshi     创建用户
[root@bogon hzh]# passwd chongshi      设置密码
Changing password for user chongshi.
New UNIX password:
BAD PASSWORD: it is based on a dictionary word
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
[root@bogon hzh]# useradd bugmaster
[root@bogon hzh]# passwd bugmaster
Changing password for user bugmaster.
New UNIX password:
BAD PASSWORD: it is based on a dictionary word
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

添加一个组
[root@bogon hzh]# groupadd testing                    创建组
[root@bogon hzh]# grep testing /etc/group         查看组信息
testing:x:506:
 
将用户添加到组中
[root@bogon hzh]# usermod -G testing chongshi        用户chongshi添加到组testing
[root@bogon hzh]# gpasswd -a bugmaster testing     用户bugmaster添加到组testing
Adding user bugmaster to group testing
注意：上面两种方式不同，但作用是一样的，都是将用户添加到组中。
[root@bogon hzh]# grep testing  /etc/group         查看组中成员
testing:x:506:chongshi,bugmaster
 
我们知道，组有什么样的权限，组中成员也有什么样的权限。
设置cnblogs目录的所属组为testing
[root@bogon hzh]# chgrp testing  /cnblogs            将/cnblogs目录的所属组改为testing
[root@bogon hzh]# ls -ld /cnblogs　　　　　　　　 查看目录所属组
drwxr-xr-x 2 root testing 4096 5月 10 23:20 /cnblogs
 
对组加写权限
[root@bogon hzh]# chmod g+w /cnblogs                 对组加写权限
[root@bogon hzh]# ls -ld /cnblogs                            查看组对目录的权限
drwxrwxr-x 2 root testing 4096 5月 10 23:20 /cnblogs
现在用户chongshi和bugmaster已经对/cnbogs已经有写权限
[root@bogon hzh]# su -- chongshi                    切换用户
[chongshi@bogon hzh]$ touch /cnblogs/abc     创建文件，（可以成功在目录下创建文件，说明对本目录具有写权限）

[root@CentOS6 ~]# groupadd webadmin
[root@CentOS6 ~]# useradd -u 1888 -g webadmin -G sys,root -s /bin/bash -c "market lisi" -e 2020-12-12 jack

    passwd UserName     （仅root才能使用）
    passwd(Option)(参数)

[root@localhost ~]# passwd linuxde    //更改或创建linuxde用户的密码；
Changing password for user linuxde.
New UNIX password:          //请输入新密码；
Retype new UNIX password:   //再输入一次；
passwd: all authentication tokens updated successfully. //成功；

--stdin非交互式修改密码：
[root@test-6 ~]# echo "123456" | passwd --stdin peng
更改用户 peng 的密码 。
passwd： 所有的身份验证令牌已经成功更新。


普通用户如果想更改自己的密码，直接运行passwd即可，比如当前操作的用户是linuxde。
[linuxde@localhost ~]$ passwd
Changing password for user linuxde. //更改linuxde用户的密码；
(current) UNIX password:   //请输入当前密码；
New UNIX password:         //请输入新密码；
Retype new UNIX password:  //确认新密码；
passwd: all authentication tokens updated successfully. //更改成功；

比如我们让某个用户不能修改密码，可以用-l选项来锁定：
[root@localhost ~]# passwd -l linuxde    //锁定用户linuxde不能更改密码；
Locking password for user linuxde.
passwd: Success           //锁定成功；

[linuxde@localhost ~]# su linuxde   //通过su切换到linuxde用户；
[linuxde@localhost ~]$ passwd      //linuxde来更改密码；
Changing password for user linuxde.
Changing password for linuxde
(current) UNIX password:          //输入linuxde的当前密码；
passwd: Authentication token manipulation error     //失败，不能更改密码；
再来一例：
[root@CentOS6 ~]# passwd -S 20181231test        （没有删除密码的情况下）
20181231test PS 2018-12-31 0 99999 7 9 (密码已设置，使用 SHA512 加密。)

[root@localhost ~]# passwd -d linuxde  //清除linuxde用户密码；
Removing password for user linuxde.
passwd: Success                         //清除成功；

[root@localhost ~]# passwd -S linuxde    //查询linuxde用户密码状态；
Empty password.                         //空密码，也就是没有密码；

[root@CentOS6 ~]# passwd -S 20181231test
20181231test NP 2018-12-31 0 99999 7 9 (密码为空。)
注意：当我们清除一个用户的密码时，登录时就无需密码，这一点要加以注意。


禁用原理：
[root@bogon /]# grep fnngj /etc/shadow
fnngj:$1$EudBseaZ$kw1S8ZS2dsvnJ83phhvQF0:15456:0:99999:7:::
[root@bogon /]# passwd -l fnngj
Locking password for user fnngj.
passwd: Success
[root@bogon /]# grep fnngj /etc/shadow
fnngj:!!$1$EudBseaZ$kw1S8ZS2dsvnJ83phhvQF0:15456:0:99999:7:::

    usermod Option [组名]  [用户名]
    usermod(Option)(参数)

将newuser2添加到组staff中：
usermod -G staff newuser2

修改newuser的用户名为newuser1：
usermod -l newuser1 newuser

锁定账号newuser1：
usermod -L newuser1
解除对newuser1的锁定：
usermod -U newuser1

[root@test ~]# usermod -l 123 q     改账号名称
usermod: user q is currently used by process 2212

[root@test ~]# usermod -d /home/123 123     改账号的家目录

[root@test ~]# usermod -c 321 123           改备注信息
[root@test ~]# finger 123
Login: 123                      Name: 321
Directory: /home/123                    Shell: /bin/bash
Last login 四 12月 27 10:44 (CST) on pts/0
No mail.
No Plan.

[root@test ~]# usermod -e 2018-12-29 123        改账号的有效期限

[root@test ~]# usermod -f 7 123             账号过期后7天即关闭该帐号
[root@test ~]# passwd -S 123
123 PS 2018-12-27 0 99999 7 7 (密码已设置，使用 SHA512 算法。)

chpasswd < user.txt

[root@AAAA7 ~]# echo "username:passwd" | chpasswd
[root@test-6 ~]# echo "peng:123456" | chpasswd

第一种：
[rocrocket@localhost ~]$ chsh -l
/bin/sh
/bin/bash
/sbin/nologin
/bin/zsh
第二种：
[rocrocket@localhost ~]$ cat /etc/shells
/bin/sh
/bin/bash
/sbin/nologin
/bin/zsh
其实chsh -l也是来查看这个文件。

[rocrocket@localhost ~]$ echo $SHELL
/bin/bash
注意SHELL一定要是大写。可以看到，目前使用的shell是/bin/bash

[root@CentOS6 ~]# chsh -s /sbin/nologin 20181231test
Changing shell for 20181231test.
Shell changed.
[root@CentOS6 ~]# cat /etc/passwd | grep "20181231test"
20181231test:x:800:800:20181231chuangjian:/home/20181231:/sbin/nologin

[rocrocket@localhost ~]$ chsh -s /bin/zsh
Changing shell for rocrocket.
Password:
Shell changed.

[rocrocket@localhost ~]$ cat /etc/passwd|grep ^rocrocket
rocrocket:x:500:500:rocrocket,China:/rocrocket/PSB/home:/bin/zsh

[rocrocket@localhost ~]$ chsh -s /bin/bash
Changing shell for rocrocket.
Password:
Shell changed.

PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7

# useradd defaults file
GROUP=100
HOME=/home
INACTIVE=-1
EXPIRE=
SHELL=/bin/bash
SKEL=/etc/skel
CREATE_MAIL_SPOOL=yes

[root@linuxde ~]# chage -l root
最近一次密码修改时间                    ： 3月 12, 2013
密码过期时间                            ：从不
密码失效时间                           ：从不        -I  或者usermod –f 日期
帐户过期时间                           ：从不        -E  或者usermod -e 日期
两次改变密码之间相距的最小天数          ：0         -m
两次改变密码之间相距的最大天数          ：99999     -M
在密码过期之前警告的天数                ：7          -W
我可以通过如下命令修改我的密码过期时间：
[root@linuxde ~]# chage -M 60 root
[root@linuxde ~]# chage -l root
最近一次密码修改时间                          ： 3月 12, 2013
密码过期时间                                       ： 5月 11, 2013
密码失效时间                                       ：从不
帐户过期时间                                       ：从不
两次改变密码之间相距的最小天数          ：0
两次改变密码之间相距的最大天数          ：60
在密码过期之前警告的天数                    ：9

然后通过如下命令设置密码失效时间：
[root@linuxde ~]# chage -I 5 root
[root@linuxde ~]# chage -l root
最近一次密码修改时间                          ： 3月 12, 2013
密码过期时间                                  ： 5月 11, 2013
密码失效时间                                  ： 5月 16, 2013
帐户过期时间                                  ：从不
两次改变密码之间相距的最小天数          ：0
两次改变密码之间相距的最大天数          ：60
在密码过期之前警告的天数                 ：9
注意：从上述命令可以看到，修改两次改变密码之间相距的最大天数，就相当于是修改密码过期时间；在密码过期后5天，密码自动失效，这个用户将无法登陆系统了。

再来一个案例：
[root@localhost ~]# chage -M 90 test        #密码有效期90天

[root@localhost ~]# chage -d 0 test       #强制用户登陆时修改口令

[root@localhost ~]# chage -d 0 -m 0 -M 90 -W 15 test   #强制用户下次登陆时修改密码，并且设置密码最低有效期0和最高有限期90，提前15天发警报提示

[root@localhost ~]# chage -E '2014-09-30' test  # test这个账号的有效期是2014-09-30

userdel linuxde       #删除用户linuxde，但不删除其家目录及文件；
userdel -r linuxde    #删除用户linuxde，其家目录及文件一并删除；

[root@bogon /]# find /home -user fnngj   #可以对查找出来的用户信息判断需要干掉哪些。
/home/fnngj
/home/fnngj/.bashrc
/home/fnngj/.bash_profile
/home/fnngj/.gtkrc
/home/fnngj/.bash_history
/home/fnngj/.bash_logout

    pwck命令用来验证系统认证文件/etc/passwd和/etc/shadow的内容和格式的完整性；直接输入命令，后面不用带参数
描述
       pwck 命令检查用户及其认证信息的完整性。它检查 /etc/passwd 和 /etc/shadow
       格式正确、数据有效。将会提示用户删除格式不正确或者有其它错误的项。

       检查的项目有：
       ·   正确的字段数
       ·   一个唯一且有效的用户名
       ·   一个有效的用户和组标识符
       ·   有效的主组
       ·   有效的主目录
       ·   有效的登录 shell

       当指定第二个文件参数或 /etc/shadow 在系统中存在时，启用 shadow 检查。

       这些检查是：
       ·   每个密码项都有对应的影子相，反之亦然。
       ·   密码在影子化了的文件中指定
       ·   影子项有正确的字段数。
       ·   影子项在影子文件中是唯一的
       ·   最后一次的密码更改时间不是被设成了一个将来的时间。

       The checks for correct number of fields and unique user name are fatal. If the entry has
       the wrong number of fields, the user will be prompted to delete the entire line. If the
       user does not answer affirmatively, all further checks are bypassed. An entry with a
       duplicated user name is prompted for deletion, but the remaining checks will still be
       made. All other errors are warning and the user is encouraged to run the usermod command
       to correct the error.
       操作 /etc/passwd 文件的这些命令不能警告损坏或重复的条目，这些情况下，应该使用 pwck
       来移除这写有问题的条目。

pwck /etc/passwd
user 'lp': directory '/var/spool/lpd' does not exist
………………………………………………
user 'hplip': directory '/var/run/hplip' does not exist
pwck：无改变

#显示linux用户所属的组
groups linux
linux : linux adm dialout cdrom plugdev lpadmin admin sambashare

groupadd  [用户组名]
groupadd(Option)(参数)

[root@AAAA7 ~]# groupadd -g 499 linuxde
此时在/etc/passwd文件中产生一个组ID（GID）是499的项目。
[root@AAAA7 ~]# grep linuxde /etc/group
linuxde:x:499:

# groupadd webadmin                添加一个组webadmin
[root@AAAA7 ~]# grep web /etc/group                         查看组信息
webadmin:x:1001:

gpasswd -a user_name group_name
Usage: gpasswd [Option] GROUP
gpasswd(Option)(参数)

Options:
  -a, --add USER                add USER to GROUP
  -d, --delete USER             remove USER from GROUP
  -h, --help                    display this help message and exit
  -r, --remove-password         remove the GROUP's password
  -R, --restrict                restrict access to GROUP to its members
  -M, --members USER,...        set the list of members of GROUP
  -A, --administrators ADMIN,...
                                set the list of administrators for GROUP
Except for the -A and -M Options, the Options cannot be combined.

# gpasswd -a tom webadmin     添加用户到组
# gpasswd -d tom webadmin     把用户从组中删除
# gpasswd webadmin                给用户组设置密码
# gpasswd -A tom webadmin    将tom提升为组管理员
# gpasswd -r webadmin  　　    删除组密码
# gpasswd -R webadmin  　　   禁止其他用户切换到该组

groupmod -n  [新组名] [旧组名]
[root@AAAA7 ~]# groupmod -n apache webadmin        修改组名webadmin为apache

[root@AAAA7 ~]# groupadd xxxxxxxxxx  //创建xxxxxxxxxx工作组
[root@AAAA7 ~]# tail -5 /etc/group      //查看这个工作组
aaaaa74:x:1000:
named:x:25:
linuxde:x:600:
apache:x:1001:
xxxxxxxxxx:x:1002:
[root@AAAA7 ~]# groupdel xxxxxxxxxx  //删除这个工作组

对组账号和影子文件进行验证：
grpck   //必须以管理员身份运行
[root@AAAA7 ~]# grpck /etc/group /etc/gshadow
[root@AAAA7 ~]#                            //后面两句一样，如果没有输出信息，则表示没有错误。
===============================================================================

测试错误的Living Example：
echo check_user:x: >> /etc/group    //添加一行错误的格式数据
cat /etc/group | grep check_user
check_user:x:  //这儿GID字段为空，是错误的。

grpck /etc/group
invalid group file entry
delete line 'check_user:x:'? y      //提示是否删除
grpck: the files have been updated  //这时已经删除了错误的行，提示文件已经更新。

cat /etc/group  | grep check_user   //没有查到，已经删除了。

getent database entry

getent passwd

getent passwd username

getent group

getent group groupname

  getent hosts hostname

[root@test-6 peng]# last -10
root     pts/1        192.168.211.2    Wed Dec 19 18:01   still logged in   
root     pts/2        192.168.211.2    Wed Dec 19 17:50   still logged in   
root     pts/1        192.168.211.2    Wed Dec 19 17:50 - 17:51  (00:01)    
root     pts/1        192.168.211.2    Wed Dec 19 17:47 - 17:47  (00:00)    
root     pts/2        192.168.211.2    Wed Dec 19 17:38 - 17:38  (00:00)    
root     pts/2        192.168.211.2    Wed Dec 19 17:12 - 17:13  (00:00)    
root     pts/1        192.168.211.2    Wed Dec 19 17:12 - 17:43  (00:30)    
root     pts/0        :0.0             Wed Dec 19 17:12   still logged in   
root     pts/0        192.168.211.2    Wed Dec 19 17:06 - 17:06  (00:00)    
root     pts/0        192.168.211.2    Wed Dec 19 17:05 - 17:05  (00:00)

[root@test-6 peng]# lastlog 
#用户名           端口     来自             最后登陆时间
Username         Port     From             Latest
root             pts/1    192.168.211.2    三 12月 19 18:01:07 +0800 2018
bin                                        **从未登录过**
daemon                                     **从未登录过**
…………………中间省略……………………………………
sshd                                       **从未登录过**
tcpdump                                    **从未登录过**

实用newusers命令批量添加用户：
用法很简单，newusers后面直接跟一个文件，文件格式和/etc/passwd的格式相同。
用户名1:x:UID:GID:用户说明:用户的家目录:所用SHELL

举例：
jingang0:x:520:520::/home/jingang0:/sbin/nologin
jingang1:x:521:521::/home/jingang1:/sbin/nologin
......
值得一提的是关于SHELL类型，查看主机上所有SHELL，可以通过chsh来查看：
[root@localhost beinan]# chsh --list
/bin/sh
/bin/bash
/sbin/nologin
/bin/ksh
/bin/tcsh
/bin/csh
/bin/zsh
其中除了/sbin/nologin，其它类型的SHELL都能登录系统，nologin大多是虚拟用户用的SHELL，也就是说虽然他是系统用户，但他并无登录系统的权限；如果您想添加这类用户，就把他的SHELL设置成/sbin/nologin，比如上面的例子。
关于用户名、UID、GID及用户的家目录是怎么回事，您可以读相应的参考文档。

# grep prakash /var/log/secure
Apr 12 04:07:18 centos.2daygeek.com useradd[21263]: new group: name=prakash, GID=501
Apr 12 04:07:18 centos.2daygeek.com useradd[21263]: new user: name=prakash, UID=501, GID=501, home=/home/prakash, shell=/bin/bash
Apr 12 04:07:34 centos.2daygeek.com passwd: pam_unix(passwd:chauthtok): password changed for prakash
y (uid=0)

# aureport --auth | grep prakash
46. 04/12/2018 04:08:32 prakash 103.5.134.167 ssh /usr/sbin/sshd yes 288
47. 04/12/2018 04:08:32 prakash 103.5.134.167 ssh /usr/sbin/sshd yes 291

# aureport --auth | grep prakash
46. 04/12/2018 04:08:32 prakash 103.5.134.167 ssh /usr/sbin/sshd yes 288
47. 04/12/2018 04:08:32 prakash 103.5.134.167 ssh /usr/sbin/sshd yes 291

ls -l /home/test/

# chage --list prakash
Last password change : Apr 12, 2018
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7

# useradd -m prakash -c `date +%Y/%m/%d`
# grep prakash /etc/passwd
prakash:x:501:501:2018/04/12:/home/prakash:/bin/bash

# passwd -S prakash
prakash PS 2018-04-11 0 99999 7 -1 (Password set, MD5 crypt.)

# last | grep "prakash"
prakash pts/2 103.5.134.167 Thu Apr 12 04:08 still logged in