|
完成用戶管理的工作有許多種方法,但是每一種方法實際上都是對有關(guān)的系統(tǒng)文件進(jìn)行修改�����。與用戶和用戶組相關(guān)的信息都存放在一些系統(tǒng)文件中,這些文件包括/etc/passwd, /etc/shadow, /etc/group等��。
1 /etc/passwd
/etc/passwd文件是用戶管理工作涉及的最重要的一個文件����。Linux系統(tǒng)中的每個用戶都在/etc/passwd文件中有一個對應(yīng)的記錄行,它記錄了這個用戶的一些基本屬性��。這個文件對所有用戶都是可讀的�����。它的內(nèi)容類似下面的例子:
?���。?cat /etc/passwd
root:x:0:0:Superuser:/:
daemon:x:1:1:System daemons:/etc:
bin:x:2:2:Owner of system commands:/bin:
sys:x:3:3:Owner of system files:/usr/sys:
adm:x:4:4:System accounting:/usr/adm:
uucp:x:5:5:UUCP administrator:/usr/lib/uucp:
auth:x:7:21:Authentication administrator:/tcb/files/auth:
cron:x:9:16:Cron daemon:/usr/spool/cron:
listen:x:37:4:Network daemon:/usr/net/nls:
lp:x:71:18:Printer administrator:/usr/spool/lp:
sam:x:200:50:Sam san:/usr/sam:/bin/sh
從上面的例子我們可以看到�����,/etc/passwd中一行記錄對應(yīng)著一個用戶,每行記錄又被冒號(:)分隔為7個字段,其格式和具體含義如下:
用戶名:口令:用戶標(biāo)識號:組標(biāo)識號:注釋性描述:主目錄:登錄Shell
“用戶名”是代表用戶賬號的字符串�����,是用戶在終端登錄時輸入的名稱�����。它在系統(tǒng)中應(yīng)該是惟一的��,即不同用戶的登錄名應(yīng)該是不同的。通常這個字段的
長度不超過8個字符,并且由大小寫字母和/或數(shù)字組成����。登錄名中不能有冒號(:)����,因為冒號在這里是分隔符��。為了兼容起見��,登錄名中最好不要包含點(diǎn)字符
(.),并且不使用連字符(-)和加號(+)打頭。
“口令”一些系統(tǒng)中��,存放著加密后的用戶口令字��。用戶口令是用戶進(jìn)入系統(tǒng)的“憑證”����,它對于系統(tǒng)的安全性有著非常重要的意義����。雖然這個字段存放
的只是用戶口令的加密串����,不是明文�����,但是由于/etc/passwd文件對所有用戶都可讀,所以這仍是一個安全隱患��。因此��,現(xiàn)在許多Linux
系統(tǒng)(如SVR4)都使用了shadow技術(shù)�����,把真正的加密后的用戶口令字存放到/etc/shadow文件中,而在/etc/passwd文件的口令字
段中只存放一個特殊的字符,例如“x”或者“*”。
“用戶標(biāo)識號”是一個整數(shù)����,系統(tǒng)內(nèi)部用它來標(biāo)識用戶�����。一般情況下它與用戶名是一一對應(yīng)的。如果幾個用戶名對應(yīng)的用戶標(biāo)識號是一樣的,系統(tǒng)內(nèi)部將把它們視為同一個用戶�����,但是它們可以有不同的口令��、不同的主目錄以及不同的登錄Shell等�����。
通常用戶標(biāo)識號的取值范圍是0~65 535��。0是超級用戶root的標(biāo)識號����,1~99由系統(tǒng)保留�����,作為管理賬號����,普通用戶的標(biāo)識號從100開始����。在Linux系統(tǒng)中,這個界限是500�����。
“組標(biāo)識號”字段記錄的是用戶所屬的用戶組��。它對應(yīng)著/etc/group文件中的一條記錄����。
“注釋性描述”字段記錄著用戶的一些個人情況�����,例如用戶的真實姓名��、電話�����、地址等�����,這個字段并沒有什么實際的用途。在不同的Linux
系統(tǒng)中,這個字段的格式并沒有統(tǒng)一����。在許多Linux系統(tǒng)中�����,這個字段存放的是一段任意的注釋性描述文字����,用做finger命令的輸出��。
“主目錄”����,也就是用戶的起始工作目錄��,它是用戶在登錄到系統(tǒng)之后所處的目錄�����。在大多數(shù)系統(tǒng)中,各用戶的主目錄都被組織在同一個特定的目錄下�����,
而用戶主目錄的名稱就是該用戶的登錄名����。各用戶對自己的主目錄有讀����、寫、執(zhí)行(搜索)權(quán)限,其他用戶對此目錄的訪問權(quán)限則根據(jù)具體情況設(shè)置����。
用戶登錄后�����,要啟動一個進(jìn)程,負(fù)責(zé)將用戶的操作傳給內(nèi)核,這個進(jìn)程是用戶登錄到系統(tǒng)后運(yùn)行的命令解釋器或某個特定的程序,即Shell����。
Shell是用戶與Linux系統(tǒng)之間的接口��。Linux的Shell有許多種,每種都有不同的特點(diǎn)。常用的有sh(Bourne Shell),
csh(C Shell), ksh(Korn Shell), tcsh(TENEX/TOPS-20 type C Shell),
bash(Bourne Again
Shell)等�����。系統(tǒng)管理員可以根據(jù)系統(tǒng)情況和用戶習(xí)慣為用戶指定某個Shell����。如果不指定Shell,那么系統(tǒng)使用sh為默認(rèn)的登錄Shell����,即這
個字段的值為/bin/sh��。
用戶的登錄Shell也可以指定為某個特定的程序(此程序不是一個命令解釋器)�����。利用這一特點(diǎn)����,我們可以限制用戶只能運(yùn)行指定的應(yīng)用程序�����,在該應(yīng)用程序運(yùn)行結(jié)束后��,用戶就自動退出了系統(tǒng)。有些Linux 系統(tǒng)要求只有那些在系統(tǒng)中登記了的程序才能出現(xiàn)在這個字段中��。
系統(tǒng)中有一類用戶稱為偽用戶(psuedo users),這些用戶在/etc/passwd文件中也占有一條記錄��,但是不能登錄��,因為它們的登錄Shell為空�����。它們的存在主要是方便系統(tǒng)管理,滿足相應(yīng)的系統(tǒng)進(jìn)程對文件屬主的要求����。
/etc/passwd文件中常見的偽用戶:
bin 擁有可執(zhí)行的用戶命令文件
sys 擁有系統(tǒng)文件
adm 擁有帳戶文件
uucp UUCP使用
lp lp或lpd子系統(tǒng)使用
nobody NFS使用
除了上面列出的偽用戶外��,還有許多標(biāo)準(zhǔn)的偽用戶,例如:audit, cron, mail, usenet等����,它們也都各自為相關(guān)的進(jìn)程和文件所需要����。
2 /etc/shadow
由于/etc/passwd文件是所有用戶都可讀的�����,如果用戶的密碼太簡單或規(guī)律比較明顯的話,一臺普通的計算機(jī)就能夠很容易地將它破解��,因此對安全性要
求較高的Linux系統(tǒng)都把加密后的口令字分離出來����,單獨(dú)存放在一個文件中,這個文件是/etc/shadow文件�����。只有超級用戶才擁有該文件讀權(quán)限��,這
就保證了用戶密碼的安全性����。
/etc/shadow中的記錄行與/etc/passwd中的一一對應(yīng)�����,它由pwconv命令根據(jù)/etc/passwd中的數(shù)據(jù)自動產(chǎn)生��。它的文件格式與/etc/passwd類似,由若干個字段組成�����,字段之間用“:”隔開��。這些字段是:
登錄名:加密口令:最后一次修改時間:最小時間間隔:最大時間間隔:警告時間:不活動時間:
失效時間:標(biāo)志
“登錄名”是與/etc/passwd文件中的登錄名相一致的用戶賬號�����。
“口令”字段存放的是加密后的用戶口令字�����,長度為13個字符��。如果為空,則對應(yīng)用戶沒有口令,登錄時不需要口令��;如果含有不屬于集合 { ./0-9A-Za-z }中的字符�����,則對應(yīng)的用戶不能登錄��。
“最后一次修改時間”表示的是從某個時刻起,到用戶最后一次修改口令時的天數(shù)。時間起點(diǎn)對不同的系統(tǒng)可能不一樣�����。例如在SCO Linux 中��,這個時間起點(diǎn)是1970年1月1日����。
“最小時間間隔”指的是兩次修改口令之間所需的最小天數(shù)。
“最大時間間隔”指的是口令保持有效的最大天數(shù)��。
“警告時間”字段表示的是從系統(tǒng)開始警告用戶到用戶密碼正式失效之間的天數(shù)�����。
“不活動時間”表示的是用戶沒有登錄活動但賬號仍能保持有效的最大天數(shù)�����。
“失效時間”字段給出的是一個絕對的天數(shù)�����,如果使用了這個字段�����,那么就給出相應(yīng)賬號的生存期。期滿后�����,該賬號就不再是一個合法的賬號�����,也就不能再用來登錄了����。
下面是/etc/shadow的一個例子:
?���。?cat /etc/shadow
root:Dnakfw28zf38w:8764:0:168:7:::
daemon:*::0:0::::
bin:*::0:0::::
sys:*::0:0::::
adm:*::0:0::::
uucp:*::0:0::::
nuucp:*::0:0::::
auth:*::0:0::::
cron:*::0:0::::
listen:*::0:0::::
lp:*::0:0::::
sam:EkdiSECLWPdSa:9740:0:0::::
3 /etc/group
將用戶分組是Linux
系統(tǒng)中對用戶進(jìn)行管理及控制訪問權(quán)限的一種手段。每個用戶都屬于某個用戶組;一個組中可以有多個用戶�����,一個用戶也可以屬于不同的組����。當(dāng)一個用戶同時是多個
組中的成員時����,在/etc/passwd文件中記錄的是用戶所屬的主組,也就是登錄時所屬的默認(rèn)組�����,而其他組稱為附加組�����。用戶要訪問屬于附加組的文件時����,
必須首先使用newgrp命令使自己成為所要訪問的組中的成員�����。用戶組的所有信息都存放在/etc/group文件中����。此文件的格式也類似于
/etc/passwd文件�����,由冒號(:)隔開若干個字段�����,這些字段有:
組名:口令:組標(biāo)識號:組內(nèi)用戶列表
“組名”是用戶組的名稱��,由字母或數(shù)字構(gòu)成�����。與/etc/passwd中的登錄名一樣����,組名不應(yīng)重復(fù)����。
“口令”字段存放的是用戶組加密后的口令字。一般Linux 系統(tǒng)的用戶組都沒有口令��,即這個字段一般為空��,或者是*����。
“組標(biāo)識號”與用戶標(biāo)識號類似����,也是一個整數(shù),被系統(tǒng)內(nèi)部用來標(biāo)識組�����。
“組內(nèi)用戶列表”是屬于這個組的所有用戶的列表����,不同用戶之間用逗號(,)分隔。這個用戶組可能是用戶的主組����,也可能是附加組。
/etc/group文件的一個例子如下:
# cat /etc/group
root::0:root
bin::2:root,bin
sys::3:root,uucp
adm::4:root,adm
daemon::5:root,daemon
lp::7:root,lp
users::20:root,sam
|