用户组策略

11.1.4　用户组策略

用户组就是具有相同特征的用户集合。例如有时我们要让多个用户具有相同的权限，以查看、修改某个文件或执行某个命令，这时可以将这些用户定义到同一个用户组中，然后设置或修改用户组对该文件的操作权限，这样用户组下的用户对该文件都具有相同的权限。

一个用户可以属于多个用户组，一个用户组可以有多个用户。用户所属的组又有基本组和附加组之分，基本组在/etc/passwd文件中指定，用户所属的其他组为附加组，附加组在/etc/group文件中指定。

在Linux中创建用户时若不指定用户组，则系统默认为用户生成一个新的用户组，其组名与用户名相同，组标识符与用户标识符也相同，该组仅包含一个用户。用户组的相关信息存放在/etc/group文件中。

（1）group文件

系统中的每个用户组对应/etc/group文件中的一行记录。下面是一个/etc/group文件的示例（部分摘录）：

root:x:0:root

bin:x:1:root,bin,daemon

daemon:x:2:root,bin,daemon

……

zheng:x:500:

在该文件中，每一行记录的字段之间用“：”分隔，这些字段从左到右依次是：组名、口令、组标识符及用户列表。各字段的含义如下：

组名：用户组的名称，用于区分不同的用户组，如root、bin、zheng等。

组密码：一般不需要组密码，该顼可以为空。

组标识号：也就是GID，GID是一个数值，Linux系统中的每个用户组都有惟一的用户组标识，用于区别不同的用户组。

用户列表：列出该用户组中的所有用户名。如果有多个用户同属于一个用户组，那么用户名之间用逗号“，”分隔。

/etc/gshadow文件跟/etc/shadow文件类似，根据/etc/group文件而产生，主要用于保存加密的用户组口令，有超级用户才能查看/etc/gshadow文件的内容。

（2）用户组的增加、删除命令

groupadd命令的功能是创建新的用户组，其命令格式为：

#groupadd [选项] 组名

常用选项有：

- g 组标识号：用于指定用户组标识号，例如，下述命令行新建一个用户组：

#groupadd staff

利用groupadd命令新建用户组时，如果不指定GID，则其GID由系统指定。groupadd命令执行时将在/etc/group文件和/etc/gshadow文件中增加一行记录。

groupdel命令的功能是删除用户组，其命令格式为：

#groupdel 组名

在删除指定用户组之前必须保证该用户组不是任何用户的基本组，否则需要首先删除那些以此用户组作为基本组的用户才能删除这个用户组。

例如，下面的命令删除用户组staff：

#groupdel staff