引言

Lubuntu是一个轻量级的Linux发行版，基于Ubuntu但使用LXQt桌面环境，以其低资源消耗和高效率而受到许多用户的喜爱。在家庭或办公环境中，多人共用一台电脑的情况非常普遍，而良好的多用户管理不仅可以提高系统安全性，还能显著提升使用效率。本文将详细介绍如何在Lubuntu系统中进行多用户管理，实现账户共享与权限分离，从而提升系统的安全性和使用效率。

Lubuntu系统用户管理基础

用户和组的概念

在Linux系统中，用户是能够登录系统并与之交互的实体。每个用户都有一个唯一的用户名和对应的用户ID（UID）。用户组则是用户的集合，用于简化权限管理。每个组也有一个唯一的组名和组ID（GID）。

通过将用户添加到不同的组，可以批量管理这些用户的权限，而不需要为每个用户单独设置权限。这种机制使得在多用户环境中管理权限变得更加高效和灵活。

用户类型

在Lubuntu系统中，用户主要分为三种类型：

1. 超级用户（root）：拥有系统的最高权限，可以执行任何操作。默认情况下，Lubuntu禁用了root账户的直接登录，而是使用sudo机制让普通用户临时获得管理员权限。

2. 系统用户：用于运行系统服务或应用程序的用户，通常不能用于登录系统。这些用户的UID通常小于1000。

3. 普通用户：由系统管理员创建的用于日常操作的用户，UID通常从1000开始。普通用户只能在自己的权限范围内操作，需要通过sudo才能执行管理员操作。

用户相关的配置文件

Lubuntu系统中有几个重要的配置文件与用户管理相关：

1. /etc/passwd：包含用户账户信息，每行代表一个用户，字段包括用户名、加密密码、UID、GID、用户信息、主目录和默认shell。

2. /etc/shadow：包含用户密码信息及其安全策略，如密码过期时间等。此文件只有root用户可读。

3. /etc/group：包含组信息，每行代表一个组，字段包括组名、加密密码、GID和组成员列表。

4. /etc/gshadow：包含组密码信息，只有root用户可读。

5. /etc/sudoers：配置哪些用户可以使用sudo以及可以使用sudo执行哪些命令。

了解这些配置文件有助于深入理解Lubuntu系统的用户管理机制。

创建和管理用户账户

使用图形界面创建用户

Lubuntu提供了图形界面工具来管理用户账户，适合不熟悉命令行的用户。以下是使用图形界面创建用户的步骤：

1. 点击”菜单”按钮，选择”首选项” > “用户和组”。
2. 点击”添加”按钮，输入新用户的全名、用户名和密码。
3. 可以选择用户账户类型（标准用户或管理员）。
4. 点击”确定”完成用户创建。

图形界面也允许您修改用户属性，如更改密码、账户类型、用户图片等，以及删除用户账户。

使用命令行创建用户

对于需要更多控制或批量创建用户的情况，命令行工具更为高效。以下是使用命令行创建用户的方法：

使用useradd命令创建用户

sudo useradd -m -s /bin/bash username 

参数说明：

• -m：自动创建用户的主目录
• -s：指定用户的默认shell
• username：要创建的用户名

创建用户后，需要设置密码：

sudo passwd username 

系统会提示您输入并确认新用户的密码。

使用adduser命令创建用户

adduser是一个更友好的交互式命令，它会引导您完成用户创建过程：

sudo adduser username 

系统会提示您输入密码、用户信息等，并自动创建用户的主目录和配置文件。

修改用户属性

创建用户后，您可能需要修改用户属性。以下是常用的修改用户属性的命令：

修改用户密码

sudo passwd username 

修改用户主目录

sudo usermod -d /new/home/dir username 

修改用户默认shell

sudo usermod -s /bin/newshell username 

将用户添加到附加组

sudo usermod -aG group1,group2 username 

修改用户全名或描述信息

sudo chfn -f "New Full Name" username 

锁定或解锁用户账户

# 锁定用户账户 sudo usermod -L username # 解锁用户账户 sudo usermod -U username 

删除用户

当用户不再需要时，可以删除用户账户。以下是删除用户的方法：

使用userdel命令删除用户

# 仅删除用户账户，保留主目录 sudo userdel username # 删除用户账户及其主目录 sudo userdel -r username 

使用deluser命令删除用户

deluser是另一个删除用户的命令，它提供了更多选项：

# 删除用户及其主目录 sudo deluser --remove-home username # 删除用户及其主目录和所有文件 sudo deluser --remove-all-files username 

用户组管理

创建和管理用户组

组是管理多个用户权限的有效方式。以下是创建和管理用户组的方法：

使用groupadd命令创建组

sudo groupadd groupname 

使用addgroup命令创建组

sudo addgroup groupname 

修改组属性

# 修改组名 sudo groupmod -n newgroupname oldgroupname # 修改组ID sudo groupmod -g newgid groupname 

删除组

sudo groupdel groupname 

或者：

sudo delgroup groupname 

将用户添加到组

将用户添加到组是权限管理的重要部分。以下是几种方法：

使用usermod命令将用户添加到组

# 将用户添加到一个附加组（保留原有组） sudo usermod -aG groupname username # 将用户添加到多个附加组 sudo usermod -aG group1,group2,group3 username # 设置用户的主要组 sudo usermod -g groupname username 

使用gpasswd命令将用户添加到组

sudo gpasswd -a username groupname 

从组中移除用户

sudo gpasswd -d username groupname 

组权限管理

组权限管理是通过文件权限系统实现的。以下是设置组权限的方法：

使用chmod命令设置组权限

# 给组添加读权限 chmod g+r filename # 给组添加写权限 chmod g+w filename # 给组添加执行权限 chmod g+x filename # 同时设置多种权限 chmod g+rw filename # 移除组的所有权限 chmod g-rwx filename 

使用chgrp命令更改文件所属组

sudo chgrp groupname filename 

递归更改目录及其内容的所属组

sudo chgrp -R groupname directoryname 

权限管理与分离

文件权限基础

Linux系统中的每个文件和目录都有三组权限：所有者权限、组权限和其他用户权限。每组权限又包括读（r）、写（w）和执行（x）权限。

查看文件权限

使用ls -l命令可以查看文件权限：

ls -l filename 

输出示例：

-rw-r--r-- 1 username groupname 1024 Jan 1 12:00 filename 

权限部分的解释：

• 第一个字符表示文件类型（-表示普通文件，d表示目录）
• 接下来的三个字符（rw-）表示所有者权限
• 再接下来的三个字符（r–）表示组权限
• 最后三个字符（r–）表示其他用户权限

使用数字表示法设置权限

权限也可以用数字表示：

• r = 4
• w = 2
• x = 1

例如，chmod 755 filename表示：

• 所有者权限：7 = 4 + 2 + 1 = rwx
• 组权限：5 = 4 + 0 + 1 = r-x
• 其他用户权限：5 = 4 + 0 + 1 = r-x

使用符号表示法设置权限

符号表示法更直观，例如：

# 给所有者添加执行权限 chmod u+x filename # 移除组的写权限 chmod g-w filename # 给其他用户添加读和执行权限 chmod o+rx filename # 同时设置多种权限 chmod u=rwx,g=rx,o=rx filename 

特殊权限

除了基本的读、写和执行权限外，Linux还提供了三种特殊权限：SUID、SGID和Sticky Bit。

SUID（Set User ID）

当设置了SUID位的可执行文件运行时，它将以文件所有者的权限运行，而不是执行者的权限。这在需要临时提升权限的程序中很有用。

# 设置SUID位 chmod u+s filename # 移除SUID位 chmod u-s filename 

SGID（Set Group ID）

当设置了SGID位的可执行文件运行时，它将以文件所属组的权限运行。对于目录，SGID位表示在该目录中创建的新文件将继承目录的组，而不是创建者的默认组。

# 设置SGID位 chmod g+s directoryname # 移除SGID位 chmod g-s directoryname 

Sticky Bit

Sticky Bit通常用于共享目录，如/tmp。当目录设置了Sticky Bit后，即使所有用户都有写权限，用户也只能删除自己拥有的文件。

# 设置Sticky Bit chmod +t directoryname # 移除Sticky Bit chmod -t directoryname 

高级权限控制（ACL）

ACL（Access Control List）提供了比传统权限更精细的访问控制。使用ACL，您可以为特定用户和组设置权限，而不只是文件所有者、所属组和其他用户。

安装ACL工具

如果系统尚未安装ACL工具，可以使用以下命令安装：

sudo apt update sudo apt install acl 

查看ACL

getfacl filename 

设置ACL

# 为特定用户设置权限 setfacl -m u:username:rw filename # 为特定组设置权限 setfacl -m g:groupname:rw filename # 为其他用户设置权限 setfacl -m o::r filename # 递归设置目录及其内容的ACL setfacl -R -m u:username:rw directoryname 

删除ACL

# 删除特定用户的ACL setfacl -x u:username filename # 删除所有ACL setfacl -b filename 

设置默认ACL

默认ACL应用于目录中创建的新文件：

# 为目录设置默认ACL setfacl -d -m u:username:rw directoryname 

共享资源管理

共享文件夹设置

在多用户环境中，共享文件夹是常见的资源分享方式。以下是设置共享文件夹的方法：

创建共享文件夹

# 创建共享文件夹 sudo mkdir /home/shared # 更改文件夹所有者 sudo chown root:sharedgroup /home/shared # 设置文件夹权限 sudo chmod 770 /home/shared # 设置SGID位，确保新创建的文件继承组 sudo chmod g+s /home/shared 

使用ACL设置更精细的共享权限

# 设置所有用户都有读权限 setfacl -m u::rwx,g::rwx,o::r /home/shared # 为特定用户设置写权限 setfacl -m u:username:rw /home/shared 

在用户主目录中创建共享链接

# 为每个用户创建到共享文件夹的链接 sudo ln -s /home/shared /home/username/shared 

共享打印机设置

在办公环境中，打印机共享是常见需求。以下是设置共享打印机的方法：

安装打印机共享服务

sudo apt update sudo apt install cups 

添加用户到lpadmin组

sudo usermod -aG lpadmin username 

配置CUPS

1. 打开浏览器，访问 http://localhost:631
2. 点击”Administration”标签
3. 添加打印机并配置共享选项
4. 确保选中”Share This Printer”选项

从其他计算机访问共享打印机

1. 在其他Lubuntu系统上，打开”菜单” > “首选项” > “打印机配置”
2. 点击”添加”按钮
3. 选择”网络打印机” > “LPD/LPR Host或Printer”
4. 输入共享打印机的地址和名称

共享应用程序设置

在多用户环境中，共享应用程序设置可以提高工作效率。以下是几种方法：

使用/etc/skel目录为新用户提供默认配置

# 将配置文件复制到/etc/skel sudo cp -r /path/to/config /etc/skel/ 

这样，新创建的用户将自动获得这些配置文件。

使用共享配置目录

# 创建共享配置目录 sudo mkdir /etc/shared-config # 设置适当的权限 sudo chmod 755 /etc/shared-config # 在用户配置中创建符号链接 ln -s /etc/shared-config/config-file ~/.config/ 

使用环境变量指定共享配置

# 在/etc/environment中添加 export SHARED_CONFIG_PATH=/path/to/shared/config 

然后应用程序可以读取这个环境变量来定位共享配置。

提升系统安全性的技巧

密码策略

强密码策略是系统安全的基础。以下是设置密码策略的方法：

安装密码质量检查工具

sudo apt update sudo apt install libpam-pwquality 

配置密码策略

编辑/etc/security/pwquality.conf文件：

sudo nano /etc/security/pwquality.conf 

设置以下参数：

minlen = 12 minclass = 3 dcredit = -1 ucredit = -1 lcredit = -1 ocredit = -1 maxrepeat = 3 

这些设置要求密码至少12个字符，包含至少3种字符类型（大写、小写、数字和特殊字符），每种类型至少一个，最多连续重复3个相同字符。

设置密码过期策略

编辑/etc/login.defs文件：

sudo nano /etc/login.defs 

设置以下参数：

PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 PASS_WARN_AGE 14 

这些设置要求密码每90天更换一次，至少使用7天后才能更换，并在过期前14天提醒用户。

为特定用户设置密码过期策略

# 设置密码过期时间 sudo chage -M 90 username # 设置密码最小使用时间 sudo chage -m 7 username # 设置过期前警告天数 sudo chage -W 14 username # 查看密码过期信息 sudo chage -l username 

用户活动监控

监控用户活动可以帮助及时发现潜在的安全问题。以下是几种监控方法：

使用last命令查看登录历史

last 

使用lastb命令查看失败的登录尝试

sudo lastb 

使用acct工具监控用户活动

# 安装acct工具 sudo apt update sudo apt install acct # 启动进程 accounting sudo /etc/init.d/acct start # 查看用户活动统计 ac -p # 查看特定用户的活动 ac username # 查看命令使用情况 sa 

使用auditd进行系统审计

# 安装auditd sudo apt update sudo apt install auditd # 启动auditd sudo systemctl start auditd # 添加审计规则，监控文件访问 sudo auditctl -w /path/to/file -p rwxa -k file_access # 查看审计日志 sudo ausearch -k file_access 

限制用户权限

限制用户权限是防止误操作和恶意行为的重要手段。以下是几种限制方法：

使用sudo配置精细的权限控制

编辑/etc/sudoers文件：

sudo visudo 

添加以下内容：

# 允许特定用户执行特定命令 username ALL=(ALL) /usr/bin/apt, /usr/bin/systemctl # 允许特定组的成员执行特定命令 %groupname ALL=(ALL) /usr/bin/apt, /usr/bin/systemctl # 允许用户执行命令而无需密码 username ALL=(ALL) NOPASSWD: /usr/bin/apt 

使用AppArmor限制应用程序权限

# 安装AppArmor sudo apt update sudo apt install apparmor apparmor-utils # 查看AppArmor状态 sudo aa-status # 为应用程序创建配置文件 sudo aa-genprof /path/to/application # 加载AppArmor配置 sudo systemctl reload apparmor 

使用chroot限制用户环境

# 创建chroot环境 sudo mkdir /home/chroot sudo debootstrap stable /home/chroot http://deb.debian.org/debian # 配置chroot环境 sudo cp /etc/resolv.conf /home/chroot/etc/ sudo mount -t proc proc /home/chroot/proc sudo mount -t sysfs sysfs /home/chroot/sys # 使用chroot限制用户 sudo chroot /home/chroot /bin/bash 

办公环境下的多用户管理最佳实践

在办公环境中，多用户管理需要平衡安全性和便利性。以下是一些最佳实践：

创建用户模板

创建一个标准用户模板，包含所有必要的配置和权限设置：

# 创建模板用户 sudo adduser template-user # 配置模板用户的环境和权限 # ... # 锁定模板用户账户 sudo usermod -L template-user # 复制模板用户的主目录到/etc/skel sudo cp -r /home/template-user /etc/skel/ 

使用LDAP进行集中式用户管理

对于大型办公环境，使用LDAP进行集中式用户管理可以提高效率：

# 安装LDAP客户端 sudo apt update sudo apt install libnss-ldap libpam-ldap ldap-utils # 配置LDAP客户端 sudo dpkg-reconfigure ldap-auth-config # 更新NSS配置 sudo auth-client-config -t nss -p lac_ldap # 更新PAM配置 sudo pam-auth-update 

实施磁盘配额

限制用户可以使用的磁盘空间，防止单个用户占用过多资源：

# 安装配额工具 sudo apt update sudo apt install quota # 编辑/etc/fstab，启用配额 sudo nano /etc/fstab 

在根分区的选项中添加usrquota,grpquota：

UUID=xxxx-xxxx / ext4 defaults,usrquota,grpquota 0 1 

# 重新挂载文件系统 sudo mount -o remount / # 创建配额数据库 sudo quotacheck -cum / sudo quotaon -v / # 为用户设置配额 sudo edquota username 

使用PAM模块增强认证

配置PAM模块以增强认证安全性：

# 编辑/etc/pam.d/common-auth sudo nano /etc/pam.d/common-auth 

添加以下内容：

auth required pam_tally2.so deny=5 onerr=fail unlock_time=1800 auth required pam_google_authenticator.so 

这些设置将限制登录尝试次数，并启用双因素认证。

家庭环境下的多用户管理最佳实践

在家庭环境中，多用户管理通常更注重简便性和家庭成员之间的资源共享。以下是一些最佳实践：

创建家庭成员组

创建一个组来管理所有家庭成员：

# 创建family组 sudo addgroup family # 将所有家庭成员添加到family组 sudo usermod -aG family parent1 sudo usermod -aG family parent2 sudo usermod -aG family child1 sudo usermod -aG family child2 

设置共享媒体库

创建一个共享的媒体库，所有家庭成员都可以访问：

# 创建共享媒体目录 sudo mkdir /home/media sudo chown root:family /home/media sudo chmod 775 /home/media sudo chmod g+s /home/media # 创建子目录 sudo mkdir /home/media/music sudo mkdir /home/media/photos sudo mkdir /home/media/videos # 设置子目录权限 sudo chown -R root:family /home/media/* sudo chmod -R 775 /home/media/* sudo chmod -R g+s /home/media/* # 为每个用户创建符号链接 sudo ln -s /home/media /home/parent1/media sudo ln -s /home/media /home/parent2/media sudo ln -s /home/media /home/child1/media sudo ln -s /home/media /home/child2/media 

为儿童账户设置家长控制

为儿童账户设置家长控制，限制他们可以访问的内容和应用程序：

# 安装家长控制工具 sudo apt update sudo apt install gnome-nanny # 配置家长控制 sudo gnome-nanny 

或者使用更简单的方法：

# 创建儿童可访问的应用程序列表 sudo mkdir /etc/child-safe-apps echo "/usr/bin/libreoffice" > /etc/child-safe-apps/list echo "/usr/bin/firefox" >> /etc/child-safe-apps/list echo "/usr/bin/gimp" >> /etc/child-safe-apps/list # 创建自定义shell脚本 sudo nano /usr/local/bin/child-shell 

添加以下内容：

#!/bin/bash while true; do echo "可用应用程序:" select app in $(cat /etc/child-safe-apps/list) "退出"; do if [ "$app" = "退出" ]; then exit 0 elif [ -n "$app" ]; then $app fi done done 

# 使脚本可执行 sudo chmod +x /usr/local/bin/child-shell # 更改儿童用户的默认shell sudo usermod -s /usr/local/bin/child-shell child1 sudo usermod -s /usr/local/bin/child-shell child2 

设置自动备份

为家庭重要数据设置自动备份：

# 安装备份工具 sudo apt update sudo apt install deja-dup # 配置自动备份 deja-dup-preferences 

或者使用rsync和cron创建自定义备份脚本：

# 创建备份脚本 sudo nano /usr/local/bin/backup-home.sh 

添加以下内容：

#!/bin/bash # 创建备份目录 BACKUP_DIR="/mnt/backup/home-$(date +%Y%m%d)" mkdir -p "$BACKUP_DIR" # 备份所有用户主目录 for user in /home/*; do if [ -d "$user" ]; then username=$(basename "$user") echo "备份 $username 的主目录..." rsync -a --exclude '.cache' --exclude '.tmp' "$user/" "$BACKUP_DIR/$username/" fi done # 删除30天前的备份 find /mnt/backup -type d -name "home-*" -mtime +30 -exec rm -rf {} ; 

# 使脚本可执行 sudo chmod +x /usr/local/bin/backup-home.sh # 添加到cron sudo crontab -e 

添加以下内容以每天凌晨2点运行备份：

0 2 * * * /usr/local/bin/backup-home.sh 

总结

Lubuntu系统的多用户管理是一项重要而复杂的任务，但通过合理配置和使用适当的工具，可以轻松实现家庭或办公环境下的账户共享与权限分离，从而提升系统安全性和使用效率。

本文介绍了Lubuntu系统用户管理的基础知识，包括用户和组的概念、用户类型以及相关配置文件。详细说明了如何创建和管理用户账户，包括使用图形界面和命令行两种方法。深入探讨了用户组管理和权限管理，包括基本权限、特殊权限和ACL。还介绍了共享资源管理的方法，包括共享文件夹、打印机和应用程序设置。提供了提升系统安全性的技巧，如密码策略、用户活动监控和限制用户权限。最后，针对办公环境和家庭环境分别提供了多用户管理的最佳实践。

通过掌握这些技巧，系统管理员可以更好地管理Lubuntu系统中的多用户环境，确保系统安全性的同时，提供便捷的资源共享和权限分离，满足不同用户的需求，提高系统使用效率。