.jpg)
帳號(hào)文件由5個(gè)部分組成:1、“/etc/passwd”,系統(tǒng)用戶配置文件,存儲(chǔ)了系統(tǒng)中所有用戶的基本信息;2、“/etc/shadow”,存儲(chǔ)了系統(tǒng)中用戶的密碼信息;3、“/ect/group”,用戶組配置文件,存儲(chǔ)了用戶組的所有信息等等。
本教程操作環(huán)境:linux5.9.8系統(tǒng)、Dell G3電腦。
linux系統(tǒng)的帳號(hào)文件有5個(gè)組成部分:
-
?/etc/passwd 文件
-
/etc/shadow 文件
-
/ect/group 文件
-
/etc/gshadow文件
-
/etc/login.defs 文件
1、/etc/passwd 文件
/etc/passwd 文件,是系統(tǒng)用戶配置文件,存儲(chǔ)了系統(tǒng)中所有用戶的基本信息,并且所有用戶都可以對(duì)此文件執(zhí)行讀操作。
首先我們來打開這個(gè)文件,看看到底包含哪些內(nèi)容,執(zhí)行命令如下:
[root@localhost?~]#?vi?/etc/passwd #查看一下文件內(nèi)容 root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin ...省略部分輸出...
可以看到,/etc/passwd 文件中的內(nèi)容非常規(guī)律,每行記錄對(duì)應(yīng)一個(gè)用戶。
讀者可能會(huì)問,Linux 系統(tǒng)中默認(rèn)怎么會(huì)有這么多的用戶?這些用戶中的絕大多數(shù)是系統(tǒng)或服務(wù)正常運(yùn)行所必需的用戶,這種用戶通常稱為系統(tǒng)用戶或偽用戶。系統(tǒng)用戶無法用來登錄系統(tǒng),但也不能刪除,因?yàn)橐坏﹦h除,依賴這些用戶運(yùn)行的服務(wù)或程序就不能正常執(zhí)行,會(huì)導(dǎo)致系統(tǒng)問題。
不僅如此,每行用戶信息都以 “:” 作為分隔符,劃分為 7 個(gè)字段,每個(gè)字段所表示的含義如下:
用戶名:密碼:UID(用戶ID):GID(組ID):描述性信息:主目錄:默認(rèn)Shell
接下來,給大家逐個(gè)介紹這些字段。
用戶名
用戶名,就是一串代表用戶身份的字符串。
前面講過,用戶名僅是為了方便用戶記憶,Linux 系統(tǒng)是通過 UID 來識(shí)別用戶身份,分配用戶權(quán)限的。/etc/passwd 文件中就定義了用戶名和 UID 之間的對(duì)應(yīng)關(guān)系。
密碼
“x” 表示此用戶設(shè)有密碼,但不是真正的密碼,真正的密碼保存在 /etc/shadow 文件中(下一節(jié)做詳細(xì)介紹)。
在早期的 unix 中,這里保存的就是真正的加密密碼串,但由于所有程序都能讀取此文件,非常容易造成用戶數(shù)據(jù)被竊取。
雖然密碼是加密的,但是采用暴力破解的方式也是能夠進(jìn)行破解的。
因此,現(xiàn)在 Linux 系統(tǒng)把真正的加密密碼串放置在 /etc/shadow 文件中,此文件只有 root 用戶可以瀏覽和操作,這樣就最大限度地保證了密碼的安全。
需要注意的是,雖然 “x” 并不表示真正的密碼,但也不能刪除,如果刪除了 “x”,那么系統(tǒng)會(huì)認(rèn)為這個(gè)用戶沒有密碼,從而導(dǎo)致只輸入用戶名而不用輸入密碼就可以登陸(只能在使用無密碼登錄,遠(yuǎn)程是不可以的),除非特殊情況(如破解用戶密碼),這當(dāng)然是不可行的。
UID
UID,也就是用戶 ID。每個(gè)用戶都有唯一的一個(gè) UID,Linux 系統(tǒng)通過 UID 來識(shí)別不同的用戶。
實(shí)際上,UID 就是一個(gè) 0~65535 之間的數(shù),不同范圍的數(shù)字表示不同的用戶身份。
GID
全稱“Group ID”,簡(jiǎn)稱“組ID”,表示用戶初始組的組 ID 號(hào)。這里需要解釋一下初始組和附加組的概念。
初始組,指用戶登陸時(shí)就擁有這個(gè)用戶組的相關(guān)權(quán)限。每個(gè)用戶的初始組只能有一個(gè),通常就是將和此用戶的用戶名相同的組名作為該用戶的初始組。比如說,我們手工添加用戶 lamp,在建立用戶 lamp 的同時(shí),就會(huì)建立 lamp 組作為 lamp 用戶的初始組。
附加組,指用戶可以加入多個(gè)其他的用戶組,并擁有這些組的權(quán)限。每個(gè)用戶只能有一個(gè)初始組,除初始組外,用戶再加入其他的用戶組,這些用戶組就是這個(gè)用戶的附加組。附加組可以有多個(gè),而且用戶可以有這些附加組的權(quán)限。
舉例來說,剛剛的 lamp 用戶除屬于初始組 lamp 外,我又把它加入了 users 組,那么 lamp 用戶同時(shí)屬于 lamp 組和 users 組,其中 lamp 是初始組,users 是附加組。
當(dāng)然,初始組和附加組的身份是可以修改的,但是我們?cè)诠ぷ髦胁恍薷某跏冀M,只修改附加組,因?yàn)樾薷牧顺跏冀M有時(shí)會(huì)讓管理員邏輯混亂。
需要注意的是,在 /etc/passwd 文件的第四個(gè)字段中看到的 ID 是這個(gè)用戶的初始組。
描述性信息
這個(gè)字段并沒有什么重要的用途,只是用來解釋這個(gè)用戶的意義而已。
主目錄
也就是用戶登錄后有操作權(quán)限的訪問目錄,通常稱為用戶的主目錄。
例如,root 超級(jí)管理員賬戶的主目錄為 /root,普通用戶的主目錄為 /home/yourIDname,即在 /home/ 目錄下建立和用戶名相同的目錄作為主目錄,如 lamp 用戶的主目錄就是 /home/lamp/ 目錄。
默認(rèn)的Shell
Shell 就是 Linux 的命令解釋器,是用戶和 Linux 內(nèi)核之間溝通的橋梁。
我們知道,用戶登陸 Linux 系統(tǒng)后,通過使用 Linux 命令完成操作任務(wù),但系統(tǒng)只認(rèn)識(shí)類似 0101 的機(jī)器語言,這里就需要使用命令解釋器。也就是說,Shell 命令解釋器的功能就是將用戶輸入的命令轉(zhuǎn)換成系統(tǒng)可以識(shí)別的機(jī)器語言。
通常情況下,Linux 系統(tǒng)默認(rèn)使用的命令解釋器是 bash(/bin/bash),當(dāng)然還有其他命令解釋器,例如 sh、csh 等。
2、/etc/shadow 文件
/etc/shadow 文件,用于存儲(chǔ) Linux 系統(tǒng)中用戶的密碼信息,又稱為“影子文件”。
前面介紹了 /etc/passwd 文件,由于該文件允許所有用戶讀取,易導(dǎo)致用戶密碼泄露,因此 Linux 系統(tǒng)將用戶的密碼信息從 /etc/passwd 文件中分離出來,并單獨(dú)放到了此文件中。
/etc/shadow 文件只有 root 用戶擁有讀權(quán)限,其他用戶沒有任何權(quán)限,這樣就保證了用戶密碼的安全性。
注意,如果這個(gè)文件的權(quán)限發(fā)生了改變,則需要注意是否是惡意攻擊。
介紹此文件之前,我們先打開看看,執(zhí)行如下命令:
[root@localhost?~]#vim?/etc/shadow root:?$6$9w5Td6lg $bgpsy3olsq9WwWvS5Sst2W3ZiJpuCGDY.4w4MRk3ob/i85fl38RH15wzVoom?ff9isV1?PzdcXmixzhnMVhMxbvO:15775:0:99999:7::: bin:*:15513:0:99999:7::: daemon:*:15513:0:99999:7::: …省略部分輸出…
同 /etc/passwd 文件一樣,文件中每行代表一個(gè)用戶,同樣使用 “:” 作為分隔符,不同之處在于,每行用戶信息被劃分為 9 個(gè)字段。每個(gè)字段的含義如下:
用戶名:加密密碼:最后一次修改時(shí)間:最小修改時(shí)間間隔:密碼有效期:密碼需要變更前的警告天數(shù):密碼過期后的寬限時(shí)間:賬號(hào)失效時(shí)間:保留字段
接下來,給大家分別介紹這 9 個(gè)字段。
用戶名
同 /etc/passwd 文件的用戶名有相同的含義。
加密密碼
這里保存的是真正加密的密碼。目前 Linux 的密碼采用的是 SHA512 散列加密算法,原來采用的是 MD5 或 DES 加密算法。SHA512 散列加密算法的加密等級(jí)更高,也更加安全。
注意,這串密碼產(chǎn)生的亂碼不能手工修改,如果手工修改,系統(tǒng)將無法識(shí)別密碼,導(dǎo)致密碼失效。很多軟件透過這個(gè)功能,在密碼串前加上 “!”、”*” 或 “x” 使密碼暫時(shí)失效。
所有偽用戶的密碼都是 “!!” 或 “*”,代表沒有密碼是不能登錄的。當(dāng)然,新創(chuàng)建的用戶如果不設(shè)定密碼,那么它的密碼項(xiàng)也是 “!!”,代表這個(gè)用戶沒有密碼,不能登錄。
最后一次修改時(shí)間
此字段表示最后一次修改密碼的時(shí)間,可是,為什么 root 用戶顯示的是 15775 呢?
這是因?yàn)椋琇inux 計(jì)算日期的時(shí)間是以? 1970 年 1 月 1 日作為 1 不斷累加得到的時(shí)間,到 1971 年 1 月 1 日,則為 366 天。這里顯示 15775 天,也就是說,此 root 賬號(hào)在 1970 年 1 月 1 日之后的第 15775 天修改的 root 用戶密碼。
那么,到底 15775 代表的是哪一天呢?可以使用如下命令進(jìn)行換算:
[root@localhost?~]#?date?-d?"1970-01-01?15775?days" 2013年03月11日?星期一?00:00:00?CST
可以看到,通過以上命令,即可將其換算為我們習(xí)慣的系統(tǒng)日期。
最小修改時(shí)間間隔
最小修改間隔時(shí)間,也就是說,該字段規(guī)定了從第 3 字段(最后一次修改密碼的日期)起,多長(zhǎng)時(shí)間之內(nèi)不能修改密碼。如果是 0,則密碼可以隨時(shí)修改;如果是 10,則代表密碼修改后 10 天之內(nèi)不能再次修改密碼。
此字段是為了針對(duì)某些人頻繁更改賬戶密碼而設(shè)計(jì)的。
密碼有效期
經(jīng)常變更密碼是個(gè)好習(xí)慣,為了強(qiáng)制要求用戶變更密碼,這個(gè)字段可以指定距離第 3 字段(最后一次更改密碼)多長(zhǎng)時(shí)間內(nèi)需要再次變更密碼,否則該賬戶密碼進(jìn)行過期階段。
該字段的默認(rèn)值為 99999,也就是 273 年,可認(rèn)為是永久生效。如果改為 90,則表示密碼被修改 90 天之后必須再次修改,否則該用戶即將過期。管理服務(wù)器時(shí),通過這個(gè)字段強(qiáng)制用戶定期修改密碼。
密碼需要變更前的警告天數(shù)
與第 5 字段相比較,當(dāng)賬戶密碼有效期快到時(shí),系統(tǒng)會(huì)發(fā)出警告信息給此賬戶,提醒用戶 “再過 n 天你的密碼就要過期了,請(qǐng)盡快重新設(shè)置你的密碼!”。
該字段的默認(rèn)值是 7,也就是說,距離密碼有效期的第 7 天開始,每次登錄系統(tǒng)都會(huì)向該賬戶發(fā)出 “修改密碼” 的警告信息。
密碼過期后的寬限天數(shù)
也稱為“口令失效日”,簡(jiǎn)單理解就是,在密碼過期后,用戶如果還是沒有修改密碼,則在此字段規(guī)定的寬限天數(shù)內(nèi),用戶還是可以登錄系統(tǒng)的;如果過了寬限天數(shù),系統(tǒng)將不再讓此賬戶登陸,也不會(huì)提示賬戶過期,是完全禁用。
比如說,此字段規(guī)定的寬限天數(shù)是 10,則代表密碼過期 10 天后失效;如果是 0,則代表密碼過期后立即失效;如果是 -1,則代表密碼永遠(yuǎn)不會(huì)失效。
賬號(hào)失效時(shí)間
同第 3 個(gè)字段一樣,使用自? 1970 年 1 月 1 日以來的總天數(shù)作為賬戶的失效時(shí)間。該字段表示,賬號(hào)在此字段規(guī)定的時(shí)間之外,不論你的密碼是否過期,都將無法使用!
該字段通常被使用在具有收費(fèi)服務(wù)的系統(tǒng)中。
保留
這個(gè)字段目前沒有使用,等待新功能的加入。
3、/ect/group 文件
/ect/group 文件是用戶組配置文件,即用戶組的所有信息都存放在此文件中。
此文件是記錄組 ID(GID)和組名相對(duì)應(yīng)的文件。前面講過,etc/passwd 文件中每行用戶信息的第四個(gè)字段記錄的是用戶的初始組 ID,那么,此 GID 的組名到底是什么呢?就要從 /etc/group 文件中查找。
/etc/group 文件的內(nèi)容可以通過 Vim 看到:
[root@localhost?~]#vim?/etc/group root:x:0: bin:x:1:bin,daemon daemon:x:2:bin,daemon …省略部分輸出… lamp:x:502:
可以看到,此文件中每一行各代表一個(gè)用戶組。在前面章節(jié)中,我們?cè)鴦?chuàng)建 lamp 用戶,系統(tǒng)默認(rèn)生成一個(gè) lamp 用戶組,在此可以看到,此用戶組的 GID 為 502,目前它僅作為 lamp 用戶的初始組。
各用戶組中,還是以 “:” 作為字段之間的分隔符,分為 4 個(gè)字段,每個(gè)字段對(duì)應(yīng)的含義為:
組名:密碼:GID:該用戶組中的用戶列表
接下來,分別介紹各個(gè)字段具體的含義。
組名
也就是是用戶組的名稱,有字母或數(shù)字構(gòu)成。同 /etc/passwd 中的用戶名一樣,組名也不能重復(fù)。
組密碼
和 /etc/passwd 文件一樣,這里的 “x” 僅僅是密碼標(biāo)識(shí),真正加密后的組密碼默認(rèn)保存在 /etc/gshadow 文件中。
不過,用戶設(shè)置密碼是為了驗(yàn)證用戶的身份,那用戶組設(shè)置密碼是用來做什么的呢?用戶組密碼主要是用來指定組管理員的,由于系統(tǒng)中的賬號(hào)可能會(huì)非常多,root 用戶可能沒有時(shí)間進(jìn)行用戶的組調(diào)整,這時(shí)可以給用戶組指定組管理員,如果有用戶需要加入或退出某用戶組,可以由該組的組管理員替代 root 進(jìn)行管理。但是這項(xiàng)功能目前很少使用,我們也很少設(shè)置組密碼。如果需要賦予某用戶調(diào)整某個(gè)用戶組的權(quán)限,則可以使用 sudo 命令代替。
組ID (GID)
就是群組的 ID 號(hào),Linux 系統(tǒng)就是通過 GID 來區(qū)分用戶組的,同用戶名一樣,組名也只是為了便于管理員記憶。
這里的組 GID 與 /etc/passwd 文件中第 4 個(gè)字段的 GID 相對(duì)應(yīng),實(shí)際上,/etc/passwd 文件中使用 GID 對(duì)應(yīng)的群組名,就是通過此文件對(duì)應(yīng)得到的。
組中的用戶
此字段列出每個(gè)群組包含的所有用戶。需要注意的是,如果該用戶組是這個(gè)用戶的初始組,則該用戶不會(huì)寫入這個(gè)字段,可以這么理解,該字段顯示的用戶都是這個(gè)用戶組的附加用戶。
舉個(gè)例子,lamp 組的組信息為 “lamp:x:502:”,可以看到,第四個(gè)字段沒有寫入 lamp 用戶,因?yàn)?lamp 組是 lamp 用戶的初始組。如果要查詢這些用戶的初始組,則需要先到 /etc/passwd 文件中查看 GID(第四個(gè)字段),然后到 /etc/group 文件中比對(duì)組名。
每個(gè)用戶都可以加入多個(gè)附加組,但是只能屬于一個(gè)初始組。所以我們?cè)趯?shí)際工作中,如果需要把用戶加入其他組,則需要以附加組的形式添加。例如,我們想讓 lamp 也加入 root 這個(gè)群組,那么只需要在第一行的最后一個(gè)字段加入 lamp,即 root:x:0:lamp 就可以了。
一般情況下,用戶的初始組就是在建立用戶的同時(shí)建立的和用戶名相同的組。
4、/etc/gshadow文件
組用戶信息存儲(chǔ)在 /etc/group 文件中,而將組用戶的密碼信息存儲(chǔ)在 /etc/gshadow 文件中。
首先,我們借助 Vim 命令查看一下此文件中的內(nèi)容:
[root@localhost?~]#vim?/etc/gshadow root::: bin:::bin,?daemon daemon:::bin,?daemon ...省略部分輸出... lamp:!::
文件中,每行代表一個(gè)組用戶的密碼信息,各行信息用 “:” 作為分隔符分為 4 個(gè)字段,每個(gè)字段的含義如下:
組名:加密密碼:組管理員:組附加用戶列表
組名
同 /etc/group 文件中的組名相對(duì)應(yīng)。
組密碼
對(duì)于大多數(shù)用戶來說,通常不設(shè)置組密碼,因此該字段常為空,但有時(shí)為 “!”,指的是該群組沒有組密碼,也不設(shè)有群組管理員。
組管理員
從系統(tǒng)管理員的角度來說,該文件最大的功能就是創(chuàng)建群組管理員。那么,什么是群組管理員呢?
考慮到 Linux 系統(tǒng)中賬號(hào)太多,而超級(jí)管理員 root 可能比較忙碌,因此當(dāng)有用戶想要加入某群組時(shí),root 或許不能及時(shí)作出回應(yīng)。這種情況下,如果有群組管理員,那么他就能將用戶加入自己管理的群組中,也就免去麻煩 root 了。
不過,由于目前有 sudo 之類的工具,因此群組管理員的這個(gè)功能已經(jīng)很少使用了。
組中的附加用戶
該字段顯示這個(gè)用戶組中有哪些附加用戶,和 /etc/group 文件中附加組顯示內(nèi)容相同。
5、/etc/login.defs 文件
/etc/login.defs 文件用于在創(chuàng)建用戶時(shí),對(duì)用戶的一些基本屬性做默認(rèn)設(shè)置,例如指定用戶 UID 和 GID 的范圍,用戶的過期時(shí)間,密碼的最大長(zhǎng)度,等等。
需要注意的是,該文件的用戶默認(rèn)配置對(duì) root 用戶無效。并且,當(dāng)此文件中的配置與 /etc/passwd 和 /etc/shadow 文件中的用戶信息有沖突時(shí),系統(tǒng)會(huì)以/etc/passwd 和 /etc/shadow 為準(zhǔn)。
讀者可自行使用 vim /etc/login.defs 命令查看該文件中的內(nèi)容,表 1 中對(duì)文件中的各個(gè)選項(xiàng)做出了具體的解釋。
| ? ? ? ? ? ? ? ? 設(shè)置項(xiàng) | ? ? ? ? ? ? ? ? 含義 |
|---|---|
| ? ? ? ? ? ? ? ? mail_DIR /var/spool/mail? | ? ? ? ? ? ? ? ? 創(chuàng)建用戶時(shí),系統(tǒng)會(huì)在目錄 /var/spool/mail 中創(chuàng)建一個(gè)用戶郵箱,比如 lamp 用戶的郵箱是 /var/spool/mail/lamp。 |
| ? ? ? ? ? ? ? ? PASS_MAX_DAYS 99999 | ? ? ? ? ? ? ? ? 密碼有效期,99999 是自 1970 年 1 月 1 日起密碼有效的天數(shù),相當(dāng)于 273 年,可理解為密碼始終有效。 |
| ? ? ? ? ? ? ? ? PASS_MIN_DAYS 0 | ? ? ? ? ? ? ? ? 表示自上次修改密碼以來,最少隔多少天后用戶才能再次修改密碼,默認(rèn)值是 0。 |
| ? ? ? ? ? ? ? ? PASS_MIN_LEN 5 | ? ? ? ? ? ? ? ? 指定密碼的最小長(zhǎng)度,默認(rèn)不小于?5 位,但是現(xiàn)在用戶登錄時(shí)驗(yàn)證已經(jīng)被 PAM 模塊取代,所以這個(gè)選項(xiàng)并不生效。 |
| ? ? ? ? ? ? ? ? PASS_WARN_AGE 7 | ? ? ? ? ? ? ? ? 指定在密碼到期前多少天,系統(tǒng)就開始通過用戶密碼即將到期,默認(rèn)為 7 天。 |
| ? ? ? ? ? ? ? ? UID_MIN 500? | ? ? ? ? ? ? ? ? 指定最小 UID 為 500,也就是說,添加用戶時(shí),默認(rèn) UID 從 500 開始。注意,如果手工指定了一個(gè)用戶的 UID 是 550,那么下一個(gè)創(chuàng)建的用戶的 UID 就會(huì)從 551 開始,哪怕 500~549 之間的 UID 沒有使用。 |
| ? ? ? ? ? ? ? ? UID_MAX 60000 | ? ? ? ? ? ? ? ? 指定用戶最大的 UID 為 60000。 |
| ? ? ? ? ? ? ? ? GID_MIN 500 | ? ? ? ? ? ? ? ? 指定最小 GID 為 500,也就是在添加組時(shí),組的 GID 從 500 開始。 |
| ? ? ? ? ? ? ? ? GID_MAX 60000 | ? ? ? ? ? ? ? ? 用戶 GID 最大為 60000。 |
| ? ? ? ? ? ? ? ? CREATE_HOME yes | ? ? ? ? ? ? ? ? 指定在創(chuàng)建用戶時(shí),是否同時(shí)創(chuàng)建用戶主目錄,yes 表示創(chuàng)建,no 則不創(chuàng)建,默認(rèn)是 yes。 |
| ? ? ? ? ? ? ? ? UMASK 077 | ? ? ? ? ? ? ? ? 用戶主目錄的權(quán)限默認(rèn)設(shè)置為 077。 |
| ? ? ? ? ? ? ? ? USERGROUPS_ENAB yes | ? ? ? ? ? ? ? ? 指定刪除用戶的時(shí)候是否同時(shí)刪除用戶組,準(zhǔn)備地說,這里指的是刪除用戶的初始組,此項(xiàng)的默認(rèn)值為 yes。 |
| ? ? ? ? ? ? ? ? ENCRYPT_METHOD SHA512 | ? ? ? ? ? ? ? ? 指定用戶密碼采用的加密規(guī)則,默認(rèn)采用 SHA512,這是新的密碼加密模式,原先的 Linux 只能用 DES 或 MD5 加密。 |
相關(guān)推薦:《Linux視頻教程》
.png)
