user and group management

Linux user and group management commands:

User Management Commands

useradd – Add a new user
adduser – Add a new user (more user-friendly wrapper for useradd)
usermod – Modify an existing user
userdel – Delete a user
passwd – Set or change user password
chage – Manage user password expiry information
id – Show user ID (UID), group ID (GID), and groups
whoami – Display the current username

1. `useradd`：添加新用户

useradd 命令用于在 Linux 系统中创建一个新的用户账户。它是创建用户的第一步，为用户在系统中分配一个独特的身份。

基本用途:
当你需要为新员工、新的服务账户或特定任务（如部署 Web 应用）创建登录凭据时，就会用到它。它实际上是向 /etc/passwd、/etc/shadow 和 /etc/group 等关键系统文件添加新用户记录。
常用选项:
- -m (create main directory): 这是最常用且非常重要的选项！ 它会自动为新用户在 /home/ 目录下创建一个与用户名同名的主目录。这个主目录是用户存放个人文件、配置和执行操作的默认位置。如果没有这个选项，主目录不会自动创建，用户登录时可能会遇到问题。
  - 示例: sudo useradd -m newuser (创建一个名为 newuser 的用户，并为其创建 /home/newuser 目录)
- -s <shell路径> (specify shell): 指定用户登录后默认使用的命令行解释器（shell），比如 /bin/bash (最常用)、/bin/sh 或 /bin/zsh。如果用户不需要交互式登录（例如，用于运行后台服务的账户），你可以将其设置为 /sbin/nologin 或 /bin/false，这会禁止用户通过 shell 登录。
  - 示例: sudo useradd -m -s /bin/bash devuser (创建 devuser 并设置其默认 shell 为 Bash)
- -g <主组名或GID> (specify primary group): 指定用户所属的主要组。每个用户都必须且只能有一个主要组。如果不指定，useradd 通常会创建一个与新用户名同名的新组，并将其作为该用户的主要组。
  - 示例: sudo useradd -m -g users analyst (创建 analyst 用户，并将其主要组设置为 users 组)
- -G <附加组名1,附加组名2,...> (specify supplementary Groups): 指定用户所属的附加组。用户除了主要组之外，还可以属于多个附加组。这对于基于组的文件和目录权限管理非常有用，允许用户访问属于特定组的资源。多个组名之间用逗号分隔，不要有空格。
  - 示例: sudo useradd -m -G sudo,developers junior_dev (创建 junior_dev 用户，并将其添加到 sudo 和 developers 这两个附加组)
- -c "<注释或全名>" (add comment): 为用户账户添加一个描述性注释。这通常用于记录用户的真实姓名、部门或账户用途，方便管理和识别。这些信息存储在 /etc/passwd 文件的第五个字段。
  - 示例: sudo useradd -m -c "Maria Smith - HR Department" maria_s
- -d <主目录路径> (specify home directory): 指定用户主目录的完整路径，而不是默认的 /home/<用户名>。当你需要将用户主目录放置在非标准位置时会用到。
  - 示例: sudo useradd -m -d /opt/users/deployer deployer_user
- -u <UID> (specify user ID): 指定用户 ID (UID)。每个用户在系统中都有一个唯一的数字 ID。通常，系统会自动分配下一个可用的 UID（通常从 1000 或 500 开始），但在特定情况下（例如在多台服务器上保持同一用户的 UID 一致性），你可能需要手动指定。
  - 示例: sudo useradd -m -u 1005 custom_uid_user
- -e <YYYY-MM-DD> (set account expiry date): 设置用户账户的过期日期。过了这个日期，用户将无法登录。这对于临时账户或项目账户非常有用。
  - 示例: sudo useradd -m -e 2025-12-31 temp_contractor
- -f <天数> (set inactive period): 指定密码过期后，账户被永久禁用前的天数。如果设置为 0，密码过期后立即禁用；如果设置为 -1，则禁用此功能。
  - 示例: sudo useradd -m -f 30 limited_user
重要提示: 始终使用 sudo 或以 root 用户身份运行 useradd，因为它修改系统级的用户数据库。创建用户后，非常关键的一步是使用 passwd 命令为新用户设置密码，否则用户将无法登录。

添加用户后如果没给对方设置密码，某些系统中可能无法空密码登录，可以设置ssh密钥认证或桌面环境特定用户启动时自动登录。

添加用户后可为对方设置一个随机密码，强制登录后更改密码。

2. `passwd`：设置或修改用户密码

passwd 命令不仅用于为用户设置初始密码，更是管理用户认证安全的核心工具。它的功能远不止简单地输入两次密码。

核心功能:
passwd 命令的根本任务是修改存储在 /etc/shadow 文件中的用户密码哈希值。它是用户通过密码认证登录系统的关键。对于没有密码的用户，passwd 会创建这个哈希值；对于已有密码的用户，它会更新这个哈希值。
基本用法回顾:
- passwd: 普通用户执行，用于更改自己的密码。系统会要求你输入当前密码，然后两次新密码。
- sudo passwd <用户名>: 管理员（或具有 sudo 权限的用户）执行，用于为指定用户设置或更改密码，无需知道该用户的旧密码。
高级选项及实际应用:
- -d (delete password): 删除用户的密码。 这会移除 /etc/shadow 文件中该用户的密码哈希，使得该用户无需密码即可登录。
  - 潜在用途: 极少数情况下，用于创建特权账户（如 root）的“无密码”入口，但通常不推荐，因为它带来了巨大的安全风险。更常见的用法是禁用密码认证，转而完全依赖 SSH 密钥认证。
  - 风险: 极度不安全！ 除非在严格控制的测试环境或有明确安全策略（如仅允许密钥认证）的情况下，否则切勿在生产环境中使用。
  - 示例: sudo passwd -d guest_user
- -l (lock account): 锁定用户的密码。 这会通过在 /etc/shadow 文件中用户的密码字段前添加一个感叹号 ! 来禁用其密码认证功能。用户将无法通过密码登录。
  - 用途: 临时禁用某个用户的访问权限，例如在用户休假、出差期间，或者怀疑账户被未经授权使用时。这比删除账户更温和，因为账户信息和文件都还在。
  - 与 -L (usermod -L) 的区别: passwd -l 只禁用密码认证。如果用户配置了 SSH 密钥认证，他们可能仍然可以登录。而 usermod -L 是禁用整个账户，阻止所有形式的登录（包括 SSH 密钥）。
  - 示例: sudo passwd -l suspended_user
- -u (unlock account): 解锁被 -l 锁定的密码。
  - 用途: 重新启用被暂时禁用的账户密码认证。
  - 示例: sudo passwd -u suspended_user
- -e (expire password): 强制用户在下次登录时更改密码。 这会在 /etc/shadow 文件中设置一个密码过期标志。
  - 用途: 在创建新用户并设置初始密码后，强制用户在首次登录时设置自己的强密码，提高安全性。
  - 示例: sudo passwd -e new_employee (新员工登录后会被要求设置新密码)
- -n <天数> (minimum days between password change): 设置用户两次更改密码之间的最短天数。在该天数内，用户无法再次更改密码。
  - 用途: 强制用户在一定时间内不能频繁修改密码（例如，防止用户快速切换回旧密码）。
  - 示例: sudo passwd -n 7 dev_user (用户 dev_user 更改密码后，至少要等 7 天才能再次更改)
- -x <天数> (maximum days between password change): 设置用户密码的最长有效天数。超过这个天数，密码就会过期，用户将被强制更改密码。
  - 用途: 实施密码定期更换策略，提高安全性。
  - 示例: sudo passwd -x 90 junior_dev (强制 junior_dev 每 90 天更改一次密码)
- -w <天数> (warning days before password expiry): 设置密码过期前多少天开始警告用户。
  - 用途: 提醒用户密码即将过期，避免因密码过期突然无法登录。
  - 示例: sudo passwd -w 7 junior_dev (密码过期前 7 天开始警告 junior_dev)
- -i <天数> (inactivity after password expiry): 设置密码过期后，账户被禁用前的非活跃天数。如果在此期间用户没有更改密码，账户将被锁定。
  - 用途: 强制执行密码更新，防止过期密码长期未更新的账户。
  - 示例: sudo passwd -i 30 junior_dev (密码过期 30 天后仍未更新，账户将被禁用)
- --stdin: 允许从标准输入读取密码。
  - 用途: 主要用于脚本自动化设置密码。
  - 安全提示: 在生产环境中使用时需非常谨慎！ 明文密码可能出现在进程列表或 shell 历史中。应尽可能避免直接在命令行中传递密码，考虑更安全的自动化工具或加密存储密码。
  - 示例: echo "MyS3cur3P@ssw0rd!" | sudo passwd --stdin deploy_user
底层文件关联:
passwd 命令的所有操作，最终都是修改 /etc/shadow 文件。理解这个文件（以及 /etc/passwd）的结构，对于深入掌握 Linux 用户安全至关重要。例如，shadow 文件中的用户条目包含了密码哈希、最后修改日期、密码最小/最大有效期、警告期和不活跃期等信息。

掌握 passwd 的这些高级选项，能让你在用户管理和安全策略实施上拥有更大的灵活性和控制力。

3. `usermod`：修改用户属性

usermod 命令是 Linux 系统管理员的瑞士军刀，用于修改现有用户账户的各种属性。它的强大之处在于，你无需删除并重新创建用户，就能根据需求变化来更新用户的信息和权限。

核心功能:
usermod 的核心作用是修改 /etc/passwd、/etc/shadow 和 /etc/group 等文件中已存在的用户条目。它不会创建新用户，只会调整现有用户的配置。
基本用法回顾:
- sudo usermod [选项] <用户名>: 这是其基本语法，你需要指定要修改的用户和相应的选项。
高级选项及实际应用:
- -l <新用户名> (change login name): 更改用户的登录名。 这是将一个用户的旧账户名替换为新名称的唯一标准方法。
  - 重要提示: 仅仅更改登录名，并不会自动更改用户的主目录路径或其主目录的名称。这可能会导致后续登录问题，因为 shell 默认会去寻找与旧用户名对应的主目录。如果需要更改主目录名称和路径，通常需要配合 -d 和 -m 选项。
  - 示例: sudo usermod -l bob_jones old_bob (将用户 old_bob 的登录名更改为 bob_jones)
- -d <新主目录路径> (change home directory): 更改用户的主目录路径。 这个选项本身只是更新 /etc/passwd 文件中用户主目录的记录。它不会移动实际的文件。
  - 用途: 当你需要将用户主目录从一个位置（如 /home/old_home）指向另一个位置（如 /new_data_partition/users/bob）时。
  - 示例: sudo usermod -d /home/users/new_bob_dir bob (将 bob 的主目录记录更改为 /home/users/new_bob_dir，但文件未移动)
- -m (move content): 与 -d 选项配合使用， 将用户旧主目录中的所有内容移动到新的主目录位置。
  - 用途: 当你更改用户主目录路径时，通常都希望将旧数据也一并迁移过去，这是确保用户数据不丢失的关键。
  - 示例: sudo usermod -d /home/users/new_bob_dir -m bob (将 bob 的主目录记录更改并将其所有文件从旧主目录移动到 /home/users/new_bob_dir)
- -s <新shell路径> (change shell): 更改用户的默认登录 shell。 这通常是为了满足用户偏好（如从 Bash 换到 Zsh），或者出于安全原因将用户的 shell 改为 /sbin/nologin 或 /bin/false 以禁用交互式登录。
  - 示例: sudo usermod -s /usr/bin/zsh alice
- -g <新主组名或GID> (change primary group): 更改用户的主要组。 每个用户都有一个主要组，通常与用户名同名。这个选项允许你将其主要组更改为另一个已存在的组。
  - 用途: 调整用户的主要文件创建权限。当用户创建文件时，这些文件通常会默认属于其主要组。
  - 示例: sudo usermod -g project_a_team charlie (将 charlie 的主要组更改为 project_a_team)
- -G <附加组名1,附加组名2,...> (change supplementary Groups): 设置（覆盖）用户的附加组。 这是 usermod 中一个需要特别注意的选项。它会将用户当前所有的附加组替换为你在命令中指定的新组列表。如果你只指定了一个组，用户就会只属于那一个附加组。
  - 潜在陷阱: 如果你忘记了用户已有的附加组，而又需要保留，使用此选项会导致权限丢失。
  - 示例: sudo usermod -G admin,auditors david (如果 david 之前还在 developers 组，现在就会从 developers 移除，只属于 admin 和 auditors 组)
- -aG <附加组名1,附加组名2,...> (add to supplementary Groups): 将用户添加到指定的附加组，而不移除其现有的附加组。 这是比 -G 更安全、更常用的添加组的方式。a 代表“append”（追加）。
  - 用途: 给用户添加新的权限，同时保留其已有的所有权限。
  - 示例: sudo usermod -aG sales_team,reporting elena (将 elena 添加到 sales_team 和 reporting 组，并保留她已有的其他附加组)
- -L (lock account): 锁定用户账户。 这会禁用用户的所有登录能力，包括密码登录和 SSH 密钥认证。在 /etc/shadow 文件中，用户的密码哈希会被一个特殊字符（通常是 ! 或 *LOCKED*）前缀。
  - 用途: 当用户离职、休假或账户安全受到威胁时，快速且彻底地禁用其账户访问。
  - 与 passwd -l 的区别: passwd -l 只禁用密码认证，而 usermod -L 禁用整个账户，阻止所有登录方式。
  - 示例: sudo usermod -L inactive_user
- -U (unlock account): 解锁被 -L 锁定的用户账户。
  - 用途: 重新启用被禁用的用户账户。
  - 示例: sudo usermod -U inactive_user
- -e <YYYY-MM-DD> (set account expiry date): 设置用户账户的过期日期。 过了这个日期，用户将无法登录。
  - 用途: 管理临时账户或合同工账户，到期自动禁用。
  - 示例: sudo usermod -e 2025-12-31 contract_worker
- -u <UID> (change user ID): 更改用户的 UID。 这是非常少用的高级操作，因为 UID 与文件和进程的所有权紧密关联。
  - 风险: 更改 UID 后，用户原来拥有的文件和目录并不会自动更新所有权，它们的 UID 仍然是旧的。这会导致权限问题。你需要手动使用 find 和 chown 命令来更正文件所有权。
  - 示例: sudo usermod -u 10000 legacy_user (随后需要 sudo find / -uid <old_uid> -exec chown <new_uid> {} \;)
最佳实践与注意事项:
- 离线操作: 最好在用户不在线时执行 usermod 操作，尤其是涉及主目录、UID 或登录名更改时，以避免数据不一致或运行时错误。
- 谨慎使用 -G: 优先使用 -aG 来添加附加组，避免意外移除现有权限。
- UID 更改: 除非你完全明白其复杂性和风险，否则应尽量避免更改现有用户的 UID。如果确实需要，请确保在更改后立即修复文件所有权。
- 文件备份: 在执行重要更改（如主目录迁移）之前，最好对相关数据进行备份。

好的，非常棒的补充！chage 命令确实是用户密码管理中一个非常关键且强大的工具。它提供了比 passwd 更精细的密码过期策略控制。

4. `chage`：修改用户密码过期信息

chage (change age) 命令专门用于修改用户密码的老化信息，也就是管理密码的过期策略。虽然 passwd 也能设置一些简单的过期参数（比如 -e, -x），但 chage 提供了更全面的控制和查看功能。

核心功能:
chage 直接操作 /etc/shadow 文件中的密码老化字段，允许你查看和修改密码的最后修改日期、强制更改密码的最小/最大天数、过期警告天数以及账户不活动天数等。
基本用法:
sudo chage [选项] <用户名>

常用选项及实际应用:

-l (display listing): 显示用户当前的密码老化信息。 这是最常用的选项之一，用于快速查看用户的密码策略。

输出示例:

Last password change                                : May 15, 2025  # 最后一次密码修改日期
Password expires                                    : never         # 密码过期日期 (never 表示永不过期)
Password inactive                                   : never         # 密码过期后账户不活动禁用日期
Account expires                                     : never         # 账户过期日期 (通过useradd -e 或 usermod -e 设置)
Minimum number of days between password change      : 0             # 两次密码修改之间的最短天数
Maximum number of days between password change      : 99999         # 密码最长有效天数
Number of days of warning before password expires   : 7             # 密码过期前警告天数

示例: sudo chage -l john

-d <日期> (set last change date): 设置用户密码最后一次更改的日期。 这个日期可以是 YYYY-MM-DD 格式。
- 用途: 在导入用户或手动修复密码策略时非常有用。如果你想强制用户在下次登录时更改密码，你可以将此日期设置为一个很久远的日期（例如 1970-01-01），结合最大密码有效期，就能达到目的。
- 示例: sudo chage -d 2024-01-01 alice (设置 alice 的密码最后更改日期为 2024年1月1日)
-m <天数> (set minimum days): 设置两次密码更改之间的最小天数。 在此天数内，用户不能再次修改密码。
- 用途: 防止用户在更改一次密码后立即改回旧密码或已知弱密码。
- 示例: sudo chage -m 7 bob (bob 更改密码后，至少 7 天内不能再次更改)
-M <天数> (set Maximum days): 设置密码的最长有效天数。 超过此天数，密码将过期，用户将被强制更改密码。
- 用途: 实施强制密码周期性更换的安全策略。
- 示例: sudo chage -M 90 charlie (charlie 的密码每 90 天必须更改一次)
-W <天数> (set Warning days): 设置密码过期前警告用户的天数。 在密码即将过期前的这段时间，用户登录时会收到警告信息。
- 用途: 提前提醒用户更新密码，避免因密码突然过期而无法登录。
- 示例: sudo chage -W 14 david (david 的密码过期前 14 天开始收到警告)
-I <天数> (set Inactive days): 设置密码过期后，账户被禁用的非活动天数。 如果密码过期后，用户在指定天数内仍未更改密码，账户将变为不活动状态并被锁定。
- 用途: 强制用户遵循密码更新策略，防止过期账户长期处于易受攻击状态。
- 示例: sudo chage -I 30 elena (elena 的密码过期后，若 30 天内不修改，账户将被禁用)
-E <日期> (set account Expiry date): 设置用户账户的过期日期。 过了这个日期，无论密码是否过期，用户都无法登录。
- 用途: 管理临时账户或合同工账户，使其在特定日期自动失效。这个选项与 useradd -e 或 usermod -e 效果相同。
- 示例: sudo chage -E 2026-06-30 fred (fred 的账户将在 2026年6月30日过期)

与 passwd 命令的关联:
passwd 命令的一些选项（如 -e, -n, -x, -w, -i）实际上是 chage 命令的简写或包装。chage 提供了更直接和全面的控制，以及查看这些参数的能力。当需要对密码策略进行复杂或批量设置时，chage 是首选工具。
底层文件关联:
chage 命令的所有更改都直接反映在 /etc/shadow 文件中。/etc/shadow 文件的每个用户行都包含了一系列与密码老化相关的数字字段。理解这些字段的含义（可以通过 man 5 shadow 查看）能让你更深入地理解 chage 的工作原理。

chage 是实现强大密码安全策略的关键一环。通过精细控制密码的生命周期，你可以显著提升系统的安全性。

现在，你准备好进入下一个命令的详细讲解了吗？如果准备好了，请说 “go”！

5. `userdel`：删除用户

userdel 命令用于从 Linux 系统中删除一个现有的用户账户。这不仅仅是删除用户的登录名那么简单，它还涉及到清理与该用户相关联的系统记录和文件。

核心功能:
userdel 的主要作用是从 /etc/passwd、/etc/shadow 和 /etc/group 等系统配置文件中移除用户的账户信息。如果不配合选项，它只会删除账户记录，而不会清理用户在文件系统上的数据。
基本用法回顾:
- sudo userdel <用户名>: 这是最基本的用法，用于删除指定用户账户的记录。
高级选项及实际应用:
- -r (remove home directory and mail spool): 这是最常用且强烈推荐的选项！ 它不仅会删除用户的账户记录，还会同时删除用户的主目录（通常是 /home/<用户名>）以及该用户的邮件池（mail spool）。
  - 用途: 进行彻底的用户账户清理，避免在文件系统上留下废弃的用户数据和目录。在用户离职或不再需要该账户时，这是标准做法。
  - 示例: sudo userdel -r old_employee (彻底删除 old_employee 用户及其所有相关数据)
  - 重要提示: 在使用 -r 之前，务必确认用户主目录中没有其他用户需要的重要数据或文件。一旦删除，数据通常难以恢复。
- 不带 -r 选项: 如果你只执行 sudo userdel <用户名>，那么只会删除用户在 /etc/passwd、/etc/shadow 和 /etc/group 中的账户记录。用户的主目录和邮件池会保留在文件系统上，成为“孤儿”文件。
  - 用途: 极少数情况下，当你需要保留用户数据进行审计、备份，或者这些数据被其他服务或用户共享时。然而，这通常需要后续手动清理。
  - 示例: sudo userdel temp_account (只删除账户记录，/home/temp_account 目录及其内容将保留)
  - 后果: 文件系统上会留下不再属于任何有效用户的目录和文件，这些文件的所有者和组将显示为数字 UID/GID 而不是用户名/组名，给管理带来不便。

注意事项与最佳实践:

检查活动: 在删除用户之前，最好确认该用户没有正在运行的进程 (ps -u <用户名>) 或定时任务（crontab -l -u <用户名>）。如果用户有正在运行的进程，请先终止它们，否则可能会导致系统资源无法释放。

文件所有权: userdel 不会自动更改用户拥有但不在其主目录下的文件所有权。如果用户创建了系统其他位置的文件或目录（如 /var/www/html 下的网站文件），这些文件的所有者仍会是该用户的 UID。在删除用户后，这些文件的所有者会显示为数字 UID。你可能需要使用 find 命令查找这些文件并使用 chown 命令将其所有权更改为其他用户（如 root）或删除它们。

示例: 查找并更改旧用户拥有的文件：

Bash

# 假设 old_employee 的 UID 是 1001
# 查找 old_employee 拥有的所有文件
sudo find / -uid 1001

# 将这些文件的所有权更改为 root
# 务必小心执行此操作，确保目标正确
sudo find / -uid 1001 -exec chown root:root {} +

用户组成员: 如果被删除的用户是某些组的唯一成员，并且这些组不再需要，你可能还需要使用 groupdel 命令来删除这些组。
备份: 在删除任何重要用户之前，考虑备份其主目录或关键数据，以防万一需要恢复。
审计日志: 用户删除操作会被记录到系统日志中（如 /var/log/auth.log 或 /var/log/secure），这对于安全审计非常重要。

完美！我们继续深入 Linux 用户管理的核心。你已经了解了创建、修改和删除用户，现在是时候学习如何查看用户的身份信息了。

6. `id`：显示用户信息

id 命令是一个非常实用的工具，它能快速为你提供指定用户（或当前用户）的数字标识符（ID）以及其所属的所有组信息。这对于理解文件权限、进程归属以及排查权限问题至关重要。

核心功能:
id 命令通过查询 /etc/passwd 和 /etc/group 等文件，为你解析并展示一个用户在系统中的唯一数字标识符（UID 和 GID）以及它所属的所有组。这些数字 ID 才是 Linux 系统真正用来识别用户和组的底层方式。
基本用法回顾:
- id: 如果不带任何参数，id 命令会显示当前执行命令的用户的 ID 信息。
- id <用户名>: 显示指定用户（例如 john）的 ID 信息。
输出解析:
当你运行 id 命令时，你通常会看到类似这样的输出：
1
uid=1000(yourusername) gid=1000(yourusername) groups=1000(yourusername),4(adm),27(sudo),1001(webdevs)
- uid=1000(yourusername):
  - **uid (User ID)**：这是用户的唯一数字标识符。在 Linux 系统内部，所有与用户相关的权限和文件所有权都基于这个 UID。
  - (yourusername)：这是与该 UID 关联的用户登录名。
- gid=1000(yourusername):
  - gid (Group ID)：这是用户主要组的唯一数字标识符。每个用户都必须有一个主要组，这个 GID 定义了用户默认创建的文件所属的组。
  - (yourusername)：这是与该 GID 关联的主要组名。在许多 Linux 发行版中，创建用户时会默认创建一个同名组作为其主要组。
- groups=1000(yourusername),4(adm),27(sudo),1001(webdevs):
  - groups: 这是用户所属的所有附加组的列表（也包括了主要组）。这些组 ID 和组名定义了用户可以访问哪些其他用户或服务共享的资源。
  - (数字ID)：每个组的数字 GID。
  - (组名)：每个组的名称。
常用选项及实际应用:
- -u (display user ID): 只显示用户的有效 UID。
  - 用途: 在脚本中需要获取用户的数字 ID 进行比较或作为其他命令的参数时非常有用。
  - 示例: id -u john (输出 1001，如果 john 的 UID 是 1001)
- -g (display primary group ID): 只显示用户的主要 GID。
  - 用途: 类似 -u，用于获取用户主要组的数字 ID。
  - 示例: id -g john (输出 1001，如果 john 的主要 GID 是 1001)
- -G (display all Group IDs): 只显示用户所属的所有组的 GID（包括主要组和附加组）。
  - 用途: 快速列出用户所有组的数字 ID。
  - 示例: id -G john (输出 1001 4 27 1001，数字之间用空格分隔)
- -n (display names): 与 -u, -g, -G 结合使用，显示名称而不是数字 ID。
  - 用途: 让输出更具可读性，特别是当你只关心名称而不是 ID 时。
  - 示例:
    - id -un john: 只显示用户名 (john)
    - id -gn john: 只显示用户主要组的名称 (john 或其他主要组名)
    - id -Gn john: 只显示用户所属所有组的名称 (john adm sudo webdevs，名称之间用空格分隔)
实际应用场景:
- 权限调试: 当用户无法访问某个文件或目录时，id 命令可以帮你快速检查该用户是否属于拥有所需权限的组。例如，如果一个文件只有 webdevs 组有写入权限，你可以用 id <用户名> 来确认该用户是否是 webdevs 组的成员。
- 脚本自动化: 在自动化脚本中，你经常需要获取用户的 UID 或 GID 来作为 chown、chmod 或其他命令的参数。
- 审计与安全: 检查特权用户（如 root）的 ID 和组信息，确保其符合预期。
- 文件系统检查: 当文件所有者显示为数字 ID（例如 1005）而不是用户名时，这通常意味着该用户已被删除。你可以通过 id -u 尝试查找是否存在与该 UID 对应的用户，或确认它确实是一个已删除的用户遗留文件。

id 命令虽然简单，但它是你理解和排查 Linux 系统权限问题的第一步，也是脚本中获取用户身份信息的重要来源。

7. `whoami`：显示当前用户名称

whoami 命令是一个非常直接的工具，它的唯一目的就是告诉你“我是谁？”。它会显示当前有效用户 ID（Effective User ID）所对应的用户名。

核心功能:
whoami 从 /etc/passwd 文件中查找与当前进程的有效用户 ID (EUID) 匹配的用户名，然后将其打印到标准输出。
基本用法:
whoami
这个命令不接受任何参数或选项。你只需键入它，然后按回车键，它就会立即显示结果。

输出示例:

whoami
# 输出示例：
# john  (如果你当前是以 'john' 用户身份登录或执行命令)

sudo su -
whoami
# 输出示例：
# root  (如果你切换到了 root 用户)

实际应用场景:
- 快速身份确认: 当你在终端工作，特别是切换了用户（例如使用 su 或 sudo su）或执行了特权操作后，你可能会不确定当前命令是以哪个用户的权限在运行。whoami 提供了一个即时且清晰的答案。
- 脚本中的条件判断: 在 Bash 脚本中，你可能需要根据当前运行脚本的用户来执行不同的逻辑。whoami 可以轻松地与条件语句（if 语句）结合使用。
  - 示例脚本片段:
    1
    2
    3
    4
    5
    6
    if [ "$(whoami)" = "root" ]; then
    echo "你是 root 用户，可以执行特权操作。"
    # 执行只有 root 才能做的操作
    else
    echo "你不是 root 用户，请使用 sudo。"
    fi
- 排查权限问题: 如果你尝试执行某个命令但遇到“权限拒绝”的错误，使用 whoami 可以帮你确认你是否以正确的用户身份在操作，然后你可能需要结合 id 命令来查看更详细的组权限。
与 id -un 的区别:
虽然 whoami 和 id -un 都只输出当前用户的名称，但它们的应用场景略有不同：
- whoami: 纯粹、简单地获取当前用户名，最适合快速验证身份。
- id -un: 作为 id 命令的一部分，id 更强大，可以获取包括 UID、GID 和所有组信息在内的完整身份详情。id -un 只是 id 命令众多功能中的一个子集。如果你只需要用户名，whoami 通常更直接，也更具可读性。

whoami 可能是 Linux 中最简单但最有用的诊断命令之一，它让你始终清楚自己当前的“身份”。

Group Management Commands

groupadd – Add a new group
groupmod – Modify an existing group
groupdel – Delete a group
gpasswd – Administer the /etc/group file (add/remove users from groups)

1. `groupadd`：添加新组

groupadd 命令用于在 Linux 系统中创建一个新的用户组。在 Linux 中，组是用户权限管理的基石，它允许你将多个用户集合在一起，然后对这个集合统一分配文件或目录的访问权限。

核心功能:
groupadd 命令通过在 /etc/group 和 /etc/gshadow 文件中添加新的组条目来创建组。这些文件记录了系统上所有组的名称、ID 以及成员信息。
基本用法回顾:
- sudo groupadd <组名>: 这是最基本的用法，用于创建一个新的组，系统会自动为其分配一个可用的组 ID (GID)。
高级选项及实际应用:
- -g <GID> (specify group ID): 指定新组的组 ID (GID)。 每个组在 Linux 系统中都必须有一个唯一的数字 ID。通常情况下，系统会自动分配下一个可用的 GID（通常从 1000 或 500 开始，取决于发行版配置）。手动指定 GID 主要用于以下场景：
  - 保持一致性: 在多台 Linux 服务器上，为了简化管理和保持文件权限的一致性，你可能希望某些组在所有机器上拥有相同的 GID。
  - 特定系统要求: 某些应用程序或服务可能要求特定的 GID。
  - 示例: sudo groupadd -g 2000 my_custom_group (创建一个名为 my_custom_group 的组，并指定其 GID 为 2000)
- -r (create a regular system group): 创建一个系统组。 系统组的 GID 通常在 1 到 499 之间（具体范围可能因发行版而异）。这些组通常用于系统内部服务或守护进程，而不是普通用户。普通用户组的 GID 通常从 1000 开始。
  - 用途: 为特定的系统服务创建隔离的权限环境。
  - 示例: sudo groupadd -r nginx_users (创建一个 GID 较低的系统组 nginx_users)
- -f (force): 强制添加组。 如果你尝试添加一个已经存在的组（无论是通过名称还是 GID），groupadd 默认会报错。使用 -f 选项可以强制执行，但通常不推荐，因为它可能会隐藏潜在的配置冲突或误操作。
  - 用途: 极少情况下用于自动化脚本中，确保操作幂等性，但需谨慎。
  - 示例: sudo groupadd -f my_group (如果 my_group 已存在，命令不会报错，但也不会真正创建新组)
创建组后的下一步:
仅仅创建了一个组是不足以实现权限管理的。你还需要将用户添加到这个组中，以便他们能够继承该组的权限。这可以通过以下命令完成：
- sudo usermod -aG <组名> <用户名> (推荐，因为它只添加，不覆盖原有附加组)
- sudo gpasswd -a <用户名> <组名>
最佳实践与注意事项:
- 命名约定: 为组选择有意义、描述性的名称（例如 webadmins、developers、project_alpha），以便于理解和管理。
- 权限层次: 规划好组的权限层次。一个复杂的系统可能会有多个组，每个组都有特定的访问范围。
- 权限最小化: 遵循最小权限原则，用户只应该属于他们完成工作所必需的组。
- sudo 权限: groupadd 命令修改系统配置，因此必须使用 sudo 或以 root 用户身份执行。

groupadd 是你构建强大、灵活的 Linux 权限体系的第一步。正确地组织你的用户和组，将极大地简化未来的系统管理工作。

2. `groupdel`：删除组

groupdel 命令用于从 Linux 系统中删除一个现有的用户组。与删除用户类似，这不仅仅是删除一个名称，更是清除系统配置中关于该组的记录。

核心功能:
groupdel 的主要作用是移除 /etc/group 和 /etc/gshadow 文件中对应组的条目。一旦组被删除，系统就不再会识别这个组名和其 GID。
基本用法回顾:
- sudo groupdel <组名>: 这是最基本的用法，用于删除指定的组。

注意事项与最佳实践:

组中不能有用户作为主要组: 最重要的一点！ 你不能直接删除一个仍然是任何用户主要组（primary group）的组。
- 如果一个用户的主要组是你想要删除的组，groupdel 命令会报错。
- 在这种情况下，你需要先使用 usermod -g <新主组名> <用户名> 命令，将所有以该组作为主要组的用户，更改到另一个主要组。只有当没有用户将要删除的组作为其主要组时，才能成功删除。
- 示例: 如果 devs 组是用户 alice 的主要组，你不能直接 sudo groupdel devs。你需要先 sudo usermod -g users alice，然后才能删除 devs 组。
组成员作为附加组: 如果要删除的组中仍然有用户作为其附加组（supplementary group）的成员，通常可以直接删除该组。这些用户将不再是该组的成员，但他们仍然属于其他组。
- 这是 groupdel 允许的操作，因为它不会影响用户的登录或其他主要权限，只是移除了一个辅助权限通道。

文件和目录所有权: 删除组并不会自动更改文件系统上那些属于被删除组的文件和目录的组所有权。这些文件或目录的组 ID (GID) 将会变成一个数字（即原先被删除组的 GID），而不是一个组名。

这并不会立即导致文件无法访问，但可能会使权限管理变得混乱。
最佳实践: 在删除重要组之前，最好检查是否有关键文件或目录依赖于该组的权限，并考虑是否需要使用 chgrp 命令将这些文件的组所有权更改为其他现有组。

示例: 查找属于旧 GID 的文件并更改其组：

# 假设要删除的组 ID 是 2000
# 查找所有属于 GID 2000 的文件和目录
sudo find / -gid 2000

# 将这些文件的组所有权更改为 root 组（请根据实际情况选择目标组）
# 务必谨慎执行此操作，确保目标正确
sudo find / -gid 2000 -exec chgrp root {} +

谨慎操作: 和所有删除操作一样，groupdel 也是一个具有破坏性的命令。一旦组被删除，相关的权限设置将失效。在生产环境中执行此操作前，务必三思并确认无误。

groupdel 是清理不再需要的组，维护系统简洁性和安全性的关键一环。

3. `groupmod`：修改组属性

groupmod 命令用于修改 Linux 系统中现有用户组的各种属性。它是你在组管理中进行调整和重命名的主要工具。

核心功能:
groupmod 的主要作用是更新 /etc/group 和 /etc/gshadow 文件中已存在的组条目。它允许你更改组的名称或其组 ID (GID)。
基本用法回顾:
- sudo groupmod [选项] <组名>: 这是其基本语法，你需要指定要修改的组和相应的选项。

常用选项及实际应用:

-n <新组名> (change name): 更改组的名称。 这是 groupmod 最常用且最重要的功能。当你需要将一个旧的、不规范的组名更改为新的、更具描述性的名称时，就会用到它。
- 用途: 保持组命名规范，提高可读性和管理效率。
- 示例: sudo groupmod -n developers devteam (将名为 devteam 的组重命名为 developers)
- 注意: 更改组名不会影响该组的 GID，也不会影响属于该组的文件或目录的权限。

-g <新GID> (change group ID): 更改组的组 ID (GID)。 这是相对不那么常用但偶尔必要的选项。

用途: 当你需要在多台服务器上统一组的 GID，或者解决 GID 冲突时。
重要提示与风险: 更改 GID 是一个需要非常小心操作。
- 文件所有权不会自动更新: 如果该组是某些文件或目录的拥有者，更改 GID 后，这些文件或目录的 GID 不会自动更新。它们将继续显示为旧的 GID（数字形式），直到你手动使用 chgrp 命令来更正它们。
- 潜在权限问题: 如果不及时更正文件所有权，可能会导致依赖旧 GID 的应用程序或用户出现权限问题。
- 建议: 除非绝对必要，否则尽量避免更改现有组的 GID。如果必须更改，请务必在更改后立即执行文件系统扫描并修复所有权。
示例: sudo groupmod -g 2001 old_developers (将 old_developers 组的 GID 更改为 2001)

修复文件所有权的示例:

Bash

# 假设 old_developers 的旧 GID 是 1005，新 GID 是 2001
# 更改组的 GID
sudo groupmod -g 2001 old_developers

# 查找所有属于旧 GID (1005) 的文件和目录
sudo find / -gid 1005

# 将这些文件的组所有权更改为新的组名 (old_developers)
# 务必小心执行此操作，确保目标正确，并考虑系统负载
sudo find / -gid 1005 -exec chgrp old_developers {} +

最佳实践与注意事项:
- 离线操作: 尽管 groupmod 可以在组有成员时执行，但如果涉及 GID 更改，并且该组拥有大量文件，最好在系统负载较低时进行，并提前做好备份。
- 谨慎更改 GID: GID 的更改比组名更改复杂得多，因为它涉及到文件系统上的实际权限。务必理解其后果并做好善后工作。
- sudo 权限: groupmod 命令修改系统配置，因此必须使用 sudo 或以 root 用户身份执行。

groupmod 让你能够灵活地调整组的身份，但对于 GID 的更改，需要你具备更深入的理解和细致的操作。

4. `gpasswd`：管理组成员和组密码

gpasswd 命令主要用于管理组成员，即添加或移除用户到/从一个组中。它也可以用来设置组密码和组管理员，尽管组密码在现代 Linux 系统中已不常用。

核心功能:
gpasswd 的主要作用是修改 /etc/group 和 /etc/gshadow 文件中关于组成员的信息。它提供了一种比直接编辑这些文件更安全、更简便的方式来管理组成员关系。
基本用法回顾:
- sudo gpasswd [选项] <组名>
常用选项及实际应用:
- -a <用户> (add user): 将指定用户添加到指定组作为附加成员。 这是最常用的 gpasswd 功能之一。
  - 用途: 当你需要赋予某个用户访问特定组拥有权限的资源时（例如，让用户 alice 能够访问 webdevs 组拥有的网站文件）。
  - 与 usermod -aG 的对比:
    - gpasswd -a <用户> <组名>：从组的角度操作，将用户添加到这个组。
    - usermod -aG <组名> <用户>：从用户的角度操作，将用户添加到这个组。
    - 两者在功能上是等价的，都可以实现将用户添加到附加组的目的。选择哪个取决于你的习惯或当前管理任务的侧重点。通常 usermod -aG 更常用，因为它可以在一次命令中同时修改用户的其他属性。
  - 示例: sudo gpasswd -a peter developers (将 peter 用户添加到 developers 组)
- -d <用户> (delete user): 将指定用户从指定组中移除。
  - 用途: 当用户不再需要某个组的权限时，或者进行权限清理时。
  - 示例: sudo gpasswd -d peter developers (将 peter 从 developers 组中移除)
- -r (remove password): 移除组的密码。 组密码是一个非常老旧且不常用的概念，它允许用户通过输入组密码来临时成为该组的成员。在现代系统中，通常通过 sudo 或组成员身份直接管理权限，而不是通过组密码。
  - 用途: 清理或禁用旧的组密码设置。
  - 示例: sudo gpasswd -r managers
- -A <用户1,用户2,...> (set administrators): 设置可以管理该组的用户列表。 这些被指定为组管理员的用户，无需 root 权限就可以使用 gpasswd 命令来添加或移除该组的其他成员。
  - 用途: 委派组管理权限给非 root 用户，实现更细粒度的权限管理。
  - 示例: sudo gpasswd -A admin_user,supervisor managers (设置 admin_user 和 supervisor 为 managers 组的管理员)
  - 注意: 多个管理员用户之间用逗号分隔，不要有空格。
- -M <用户1,用户2,...> (set Members): 设置组的成员列表。 这个选项会覆盖组中现有的所有成员，将其替换为你在命令中指定的新成员列表。
  - 潜在陷阱: 类似于 usermod -G，如果忘记了组中已有的成员，使用此选项会导致成员被意外移除。通常不推荐直接使用，除非你明确知道要设置全新的成员列表。
  - 示例: sudo gpasswd -M alice,bob,charlie webdevs (将 webdevs 组的成员设置为只有 alice, bob, charlie，移除所有其他现有成员)
最佳实践与注意事项:
- 优先使用 -a 和 -d: 在添加或移除单个用户时，优先使用 -a 和 -d 选项，它们更安全，不会意外影响其他成员。
- 组密码的弃用: 除非有非常特殊的遗留系统需求，否则不建议使用组密码。现代 Linux 权限管理更依赖于 sudo 和文件系统 ACLs。
- sudo 权限: gpasswd 命令修改系统配置，因此必须使用 sudo 或以 root 用户身份执行。

gpasswd 完善了你的组管理工具箱，让你能够精确控制哪些用户属于哪些组，从而有效地管理文件和资源的访问权限。

理解底层: 深入了解 /etc/passwd, /etc/shadow, /etc/group, /etc/gshadow 等文件的结构和作用。

User and Group Query Commands

groups – Show groups a user belongs to
getent – Query system databases (e.g., getent passwd, getent group)
finger – Display information about system users (may need to install)
w – Show who is logged on and what they are doing
who – Show who is logged in
last – Show login history

1. `id`：显示用户信息

id 命令是获取用户数字身份和组归属的瑞士军刀。它直接从系统配置中提取数据。

核心功能: id 通过查询 /etc/passwd、/etc/group 等文件，解析并展示一个用户在系统中的唯一数字标识符（UID - User ID, GID - Group ID）以及它所属的所有组。
基本用法:
- id: 显示当前执行命令的用户的 ID 信息。
- id <用户名>: 显示指定用户的 ID 信息。
输出解析:
一个典型的 id 输出看起来像这样：
1
uid=1000(yourusername) gid=1000(yourusername) groups=1000(yourusername),4(adm),27(sudo),1001(webdevs)
- uid: 用户的唯一数字 ID。这是 Linux 系统识别用户身份的底层方式。
- gid: 用户主要组的唯一数字 ID。用户创建的文件默认属于这个组。
- groups: 用户所属的所有附加组的列表（包括主要组）。这些组决定了用户能访问哪些共享资源。
常用选项（回顾与深入）:
- -u (display user ID): 只显示用户的有效 UID。 在脚本中用于获取数字 UID。
  - id -u john
- -g (display primary group ID): 只显示用户的主要 GID。
  - id -g john
- -G (display all Group IDs): 只显示用户所属的所有组的 GID。
  - id -G john
- -n (display names): 与 -u, -g, -G 结合使用，显示名称而不是数字 ID。 增强可读性。
  - id -un john: 只显示用户名。
  - id -gn john: 只显示用户主要组的名称。
  - id -Gn john: 只显示用户所有组的名称，用空格分隔。
高级应用场景:
- 权限调试: 当用户遇到“权限拒绝”错误时，id <用户名> 可以迅速确认其是否属于拥有目标文件/目录权限的组。
- 自动化脚本: 脚本中常利用 id -u 或 id -Gn 来获取用户或组信息，以便进行条件判断或作为其他命令的参数（如 chown）。
- 审计: 快速审查用户的组归属，确保符合安全策略。

2. `whoami`：显示当前用户名称

whoami 是一个非常简洁的命令，它的目的明确而直接：告诉你当前你是哪个用户。

核心功能: whoami 查询当前进程的有效用户 ID (EUID) 并打印出对应的用户名。
基本用法:
- whoami: 直接输出当前用户的用户名。
实际应用场景:
- 快速身份验证: 当你在终端操作，特别是切换了用户身份后（比如使用 su 或 sudo su），whoami 提供最快的方式确认当前操作用户。
- 脚本逻辑: 在脚本中，可以用它来判断当前执行者，从而决定后续操作的权限或路径。
  Bash
  1
  2
  3
  4
  5
  6
  if [ "$(whoami)" = "root" ]; then
  echo "以管理员权限运行."
  else
  echo "请以 root 权限运行此脚本."
  exit 1
  fi
与 id -un 的对比: 两者都输出用户名。whoami 更直接，更具“我”的语义；id -un 是 id 命令的子集，id 提供更全面的 ID 信息。在只需求用户名的场景下，两者均可。

3. `groups`：显示用户所属的所有组

groups 命令专注于列出指定用户（或当前用户）所属的所有组的名称。它比 id 更加简洁，只关注组的列表。

核心功能: groups 命令读取 /etc/passwd 和 /etc/group 文件，列出用户的主要组和所有附加组的名称。
基本用法:
- groups: 列出当前用户所属的所有组。
- groups <用户名>: 列出指定用户所属的所有组。

输出示例:

Bash

groups
# Output: yourusername adm sudo webdevs

groups john
# Output: john users developers

输出结果是空格分隔的组名列表。

实际应用场景:
- 快速组查询: 当你只想知道某个用户属于哪些组，而不需要 UID/GID 等详细信息时，groups 比 id 更快速直观。
- 权限检查: 在设置文件或目录权限（如 chgrp）之前，你可以用 groups 来确认用户是否具备相应组的成员资格。
- 用户权限概览: 对于新用户或审计用户权限时，groups 提供了一个清晰的组归属列表。

4. `getent`：从管理数据库获取条目

getent (get entries) 是一个更强大的通用查询工具，它不仅限于用户和组，还能从各种系统管理数据库（如 passwd, group, hosts, services 等）中获取条目。对于用户和组，它能提供比 id 和 groups 更原始、更全面的信息，直接读取底层数据库。

核心功能: getent 通过 Name Service Switch (NSS) 库访问系统配置数据库。对于用户和组，它能显示 /etc/passwd 和 /etc/group 文件中的原始数据，以及可能的 LDAP 或 NIS 等网络目录服务中的信息。
基本用法:
- getent passwd [用户名]: 显示 /etc/passwd 文件中一个或所有用户的条目。
- getent group [组名]: 显示 /etc/group 文件中一个或所有组的条目。
输出示例（以 passwd 和 group 为例）:
- 查询单个用户:
  Bash
  1
  2
  getent passwd john
  # Output: john:x:1001:1001:John Doe:/home/john:/bin/bash
  这直接显示了 passwd 文件中对应用户的七个字段：用户名、密码占位符、UID、GID、用户全名/注释、主目录、默认Shell。
- 查询所有用户:
  Bash
  1
  2
  getent passwd
  # Output: (所有用户的passwd条目)
- 查询单个组:
  Bash
  1
  2
  getent group webdevs
  # Output: webdevs:x:1002:alice,bob,charlie
  这直接显示了 group 文件中对应组的四个字段：组名、密码占位符、GID、组成员列表。
- 查询所有组:
  Bash
  1
  2
  getent group
  # Output: (所有组的group条目)
实际应用场景:
- 调试 NSS 配置: 当用户或组信息似乎不正确或未按预期显示时，getent 可以帮助你确定问题是出在本地文件（/etc/passwd, /etc/group）还是网络服务（如 LDAP）。
- 获取原始数据: 在自动化脚本中，如果你需要解析用户或组的特定字段（如主目录、shell、GID等），getent 可以提供干净、标准的输出。
- 跨系统环境: 在混合环境中（本地文件、LDAP、NIS），getent 可以统一查询不同来源的用户和组信息。
- 比 cat /etc/passwd 更健壮: getent 是查询这些数据库的标准方式，因为它会通过 Name Service Switch (NSS) 机制，这意味着它不仅能读取本地文件，还能读取其他配置源。直接 cat 文件可能无法反映完整的系统用户/组情况。

5. `finger`：显示用户信息（已过时，但了解其历史）

finger 命令曾被广泛用于查询远程或本地系统的用户信息，包括用户的真实姓名、登录时间、空闲时间、上次阅读邮件时间等。然而，由于其泄露过多信息（存在安全隐患）且功能被更现代的工具取代，它在大多数现代 Linux 发行版中默认不再安装或不推荐使用。

核心功能: 显示用户的详细公开信息。
基本用法:
- finger: 显示当前登录用户的信息。
- finger <用户名>: 显示指定用户的信息。
- finger @<主机名>: 查询远程主机上的用户信息（如果允许）。
安全隐患: finger 可能会无意中泄露用户的个人信息和活动状态，这在注重隐私和安全的今天是不受欢迎的。
作为历史知识: 了解 finger 命令有助于理解 Linux 系统发展的历史和安全理念的演变。在渗透测试或审计老旧系统时，它偶尔仍可能有用。但在日常管理中，几乎不会使用它。

Linux user and group management commands:

User Management Commands

1. useradd：添加新用户

2. passwd：设置或修改用户密码

3. usermod：修改用户属性

4. chage：修改用户密码过期信息

5. userdel：删除用户

6. id：显示用户信息

7. whoami：显示当前用户名称

Group Management Commands

1. groupadd：添加新组

2. groupdel：删除组

3. groupmod：修改组属性

4. gpasswd：管理组成员和组密码

User and Group Query Commands

1. id：显示用户信息

2. whoami：显示当前用户名称

3. groups：显示用户所属的所有组

4. getent：从管理数据库获取条目

5. finger：显示用户信息（已过时，但了解其历史）

1. `useradd`：添加新用户

2. `passwd`：设置或修改用户密码

3. `usermod`：修改用户属性

4. `chage`：修改用户密码过期信息

5. `userdel`：删除用户

6. `id`：显示用户信息

7. `whoami`：显示当前用户名称

1. `groupadd`：添加新组

2. `groupdel`：删除组

3. `groupmod`：修改组属性

4. `gpasswd`：管理组成员和组密码

1. `id`：显示用户信息

2. `whoami`：显示当前用户名称

3. `groups`：显示用户所属的所有组

4. `getent`：从管理数据库获取条目

5. `finger`：显示用户信息（已过时，但了解其历史）