标签:
•/etc/passwd文件用于存放用户账户信息,每行代表一个账户,每个账户的各项信息用冒号分割,例如: root:x:0:0:root:/root:/bin/bash username:password:uid:gid:allname:homedir:shell 1.用户名。 2.密码,“x”代表密码存储在/etc/shadow中;当该值为其他任意非“x”值时,可以通过root用户切换(不需要密码),但是都无法通过非root用户切换到相应用户,因为无法获得起密码了。 3.uid,用户id,0~499保留给系统使用,500~65535保留给用户使用。 4.gid,主用户组id,0~499保留给系统使用,500~65535保留给用户使用。用户组id是在/etc/group中分配给特定用户组的。 5.allname,用户名全称,没有特别的用处。 6.homedir,根目录。 7.默认的脚本执行程序,如/bin/bash。 •/etc/shadow用于存放各个用户加密后的密码,每行代表一个用户,如 root:!:14859:0:99999:7::: username:password:last_change:min_change:max_change:warm:failed_expire:expiration:reserved 1.用户名。 2.加密后的密码,当密码为空时,可以通过root用户切换(不需要密码),但是都无法通过非root用户切换到相应用户,“!”“*”都只是被视为加密后的普通文本,没有其他特殊含义。 3.上一次修改的时间,值是从1970年1月1日到现在的日期差。 4.密码至少经过min_change天才能被再次修改。 5.最多经过max_change天,密码必须修改一次。 6.当距离max_change还有warm天时,系统会开始警告,要求你在warm天内修改密码。 7.在过了max_change天之后还没修改密码的话,再经过failed_expire天,原密码就无法登录了。 8.expiration代表该账户的有效期限。 9.reserved,保留位,当前还不知道放什么好。 •/etc/group中存放用户组信息,每行代表一个用户组,如 root:x:0: groupname:password:gid:members 1.用户组名。 2.密码,使用方法类似于/etc/passwd,只是其查找密码的文件为/etc/gshadow。 3.gid,该用户组的id。 4.该用户组包含的用户,以该用户组为主用户组的用户不会在members中。 •/etc/gshadow中存放用户组的密码,每行代表一个用户组,如 groupname:password:admin_users:members 1.用户组名。 2.密码,使用方法类似于/etc/shadow。 3.用户组管理员用户,可以为逗号分隔的列表。 4.该用户组包含的用户,以该用户组为主用户组的用户不会在members中。 在Linux中,用户(User)和用户组(Group)的配置文件,是作为系统管理员的你最应该了解和掌握的系统基础文件之一。从另一方面来说,了解这些文件也是系统安全管理的重要组成部份,作为一个合格的系统管理员一定要对用户和用户组配置文件了解透彻才行; 一、用户(User)相关: 谈到用户,就不得不谈用户管理、用户配置文件、以及用户查询和管理的控制工具;用户管理主要通过修改用户配置文件完成,用户管理控制工具最终目的也是为了修改用户配置文件。 那么,什么是用户查询和管理控制工具呢?用户查询和控制工具是查询、添加、修改和删除用户等系统管理工具,比如查询用户的id和finger命 令,添加用户的useradd 或adduser 、userdel 用户的删除 、设置密码的passwd命令 、修改用户usermod 等等;我们需要知道的是通过用户查询和控制工具所进行的动作的最终目的也是修改用户配置文件;所以我们进行用户管理的时候,直接修改用户配置文件一样可以 达到用户管理的目的。 了解了上面所说的,我们便能实实在在的感觉到用户(User)配置文件的重要性:其实用户和用户组在系统管理中是不可分割的,但为了说明问题, 我们还是得把用户(User)的配置文件单列出来解说,其中包括/etc/passwd 和/etc/shadow 文件;在这之中,你还能了解UID的重要性; 通过本标题,您可以了解或掌握的内容有:了解/etc/passwd和/etc/shadow;什么UID ; 与用户相关的系统配置文件主要有/etc/passwd 和/etc/shadow,其中/etc/shadow是用户资讯的加密文件,比如用户的密码口令的加密保存等;/etc/passwd 和/etc/shadow 文件是互补的;我们可以通过对比两个文件来差看他们的区别; 1、关于/etc/passwd 和 UID; /etc/passwd 是系统识别用户的一个文件,做个不恰当的比喻,/etc/passwd 是一个花名册,系统所有的用户都在这里有登录记载;当我们以beinan 这个账号登录时,系统首先会查阅 /etc/passwd 文件,看是否有beinan 这个账号,然后确定beinan的UID,通过UID 来确认用户和身份,如果存在则读取/etc/shadow 影子文件中所对应的beinan的密码;如果密码核实无误则登录系统,读取用户的配置文件; 1)/etc/passwd 的内容理解: 在/etc/passwd 中,每一行都表示的是一个用户的信息;一行有7个段位;每个段位用:号分割,比如下面是我的系统中的/etc/passwd 的两行: beinan:x:500:500:beinan sun:/home/beinan:/bin/bash linuxsir:x:501:502::/home/linuxsir:/bin/bash 第一字段:用户名(也被称为登录名);在上面的例子中,我们看到这两个用户的用户名分别是 beinan 和linuxsir; 第二字段:口令;在例子中我们看到的是一个x,其实密码已被映射到/etc/shadow 文件中; 第三字段:UID ;请参看本文的UID的解说; 第四字段:GID;请参看本文的GID的解说; 第五字段:用户名全称,这是可选的,可以不设置,在beinan这个用户中,用户的全称是beinan sun ;而linuxsir 这个用户是没有设置全称; 第六字段:用户的家目录所在位置;beinan 这个用户是/home/beinan ,而linuxsir 这个用户是/home/linuxsir ; 第七字段:用户所用SHELL 的类型,beinan和linuxsir 都用的是 bash ;所以设置为/bin/bash ; 2)关于UID 的理解: UID 是用户的ID 值,在系统中每个用户的UID的值是唯一的,更确切的说每个用户都要对应一个唯一的UID ,系统管理员应该确保这一规则。系统用户的UID的值从0开始,是一个正整数,至于最大值可以在/etc/login.defs 可以查到,一般Linux发行版约定为60000; 在Linux 中,root的UID是0,拥有系统最高权限; UID 在系统唯一特性,做为系统管理员应该确保这一标准,UID 的唯一性关系到系统的安全,应该值得我们关注!比如我在/etc/passwd 中把beinan的UID 改为0后,你设想会发生什么呢?beinan这个用户会被确认为root用户。beinan这个帐号可以进行所有root的操作; UID 是确认用户权限的标识,用户登录系统所处的角色是通过UID 来实现的,而非用户名,切记;把几个用户共用一个UID 是危险的,比如我们上面所谈到的,把普通用户的UID 改为0,和root共用一个UID ,这事实上就造成了系统管理权限的混乱。如果我们想用root权限,可以通过su或sudo来实现;切不可随意让一个用户和root分享同一个UID ; UID是唯一性,只是要求管理员所做的,其实我们修改/etc/passwd 文件,可以修改任何用户的UID的值为0, 一般情况下,每个Linux的发行版都会预留一定的UID和GID给系统虚拟用户占用,虚拟用户一般是系统安装时就有的,是为了完成系统任务所必须的用户,但虚拟用户是不能登录系统的,比如ftp、nobody、adm、rpm、bin、shutdown等; 在Fedora 系统会把前499 个UID和GID 预留出来,我们添加新用户时的UID 从500开始的,GID也是从500开始,至于其它系统,有的系统可能会把前999UID和GID预留出来;以各个系统中/etc/login.defs 中的 UID_MIN 的最小值为准; Fedora 系统 login.defs的UID_MIN是500,而UID_MAX 值为60000,也就是说我们通过adduser默认添加的用户的UID的值是500到60000之间;而Slackware 通过adduser不指定UID来添加用户,默认UID 是从1000开始; 2、关于/etc/shadow ; 1)/etc/shadow 概说; /etc/shadow文件是/etc/passwd 的影子文件,这个文件并不由/etc/passwd 而产生的,这两个文件是应该是对应互补的;shadow内容包括用户及被加密的密码以及其它/etc/passwd 不能包括的信息,比如用户的有效期限等;这个文件只有root权限可以读取和操作,权限如下: -r——– 1 root root 1.5K 10月 16 09:49 /etc/shadow /etc/shadow 的权限不能随便改为其它用户可读,这样做是危险的。如果您发现这个文件的权限变成了其它用户组或用户可读了,要进行检查,以防系统安全问题的发生; 如果我们以普通用户查看这个文件时,应该什么也查看不到,提示是权限不够: [beinan@localhost ~]$ more /etc/shadow /etc/shadow: 权限不够 2)/etc/shadow 的内容分析; /etc/shadow 文件的内容包括9个段位,每个段位之间用:号分割;我们以如下的例子说明; beinan:$1$VE.Mq2Xf$2c9Qi7EQ9JP8GKF8gH7PB1:13072:0:99999:7::: linuxsir:$1$IPDvUhXP$8R6J/VtPXvLyXxhLWPrnt/:13072:0:99999:7::13108: 第一字段:用户名(也被称为登录名),在/etc/shadow中,用户名和/etc/passwd 是相同的,这样就把passwd 和shadow中用的用户记录联系在一起;这个字段是非空的; 第二字段:密码(已被加密),如果是有些用户在这段是x,表示这个用户不能登录到系统;这个字段是非空的; 第三字段:上次修改口令的时间;这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔(天数),您可以通过passwd 来修改用户的密码,然后查看/etc/shadow中此字段的变化; 第四字段:两次修改口令间隔最少的天数;如果设置为0,则禁用此功能;也就是说用户必须经过多少天才能修改其口令;此项功能用处不是太大;默认值是通过/etc/login.defs文件定义中获取,PASS_MIN_DAYS 中有定义; 第五字段:两次修改口令间隔最多的天数;这个能增强管理员管理用户口令的时效性,应该说在增强了系统的安全性;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_MAX_DAYS 中定义; 第六字段:提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_WARN_AGE 中定义; 第七字段:在口令过期之后多少天禁用此用户;此字段表示用户口令作废多少天后,系统会禁用此用户,也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用; 第八字段:用户过期日期;此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,帐号永久可用; 第九字段:保留字段,目前为空,以备将来Linux发展之用; 如果更为详细的,请用 man shadow来查看帮助,您会得到更为详尽的资料; 我们再根据实例分析: beinan:$1$VE.Mq2Xf$2c9Qi7EQ9JP8GKF8gH7PB1:13072:0:99999:7::: linuxsir:$1$IPDvUhXP$8R6J/VtPXvLyXxhLWPrnt/:13072:0:99999:7::13108: 第一字段:用户名(也被称之为登录名),在例子中有峡谷两条记录,也表示有两个用户beinan和linuxsir 第二字段:被加密的密码,如果有的用户在此字段中是x,表示这个用户不能登录系统,也可以看作是虚拟用户,不过虚拟用户和真实用户都是相对的,系统管理员随时可以对任何用户操作; 第三字段:表示上次更改口令的天数(距1970年01月01日),上面的例子能说明beinan和linuxsir这两个用户,是在同一天更改了用户密码,当然是通过passwd 命令来更改的,更改密码的时间距1970年01月01日的天数为13072; 第四字段:禁用两次口令修改之间最小天数的功能,设置为0 第五字段:两次修改口令间隔最多的天数,在例子中都是99999天;这个值如果在添加用户时没有指定的话,是通过/etc/login.defs来获取默认值,PASS_MAX_DAYS 99999;您可以查看/etc/login.defs来查看,具体的值; 第六字段:提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时由/etc /login.defs文件定义中获取,在PASS_WARN_AGE 中定义;在例子中的值是7 ,表示在用户口令将过期的前7天警告用户更改期口令; 第七字段:在口令过期之后多少天禁用此用户;此字段表示用户口令作废多少天后,系统会禁用此用户,也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用;在例子中,此字段两个用户的都是空的,表示禁用这个功能; 第八字段:用户过期日期;此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,帐号永久可用;在例子中, 我们看到beinan这个用户在此字段是空的,表示此用户永久可用;而linuxsir这个用户表示在距1970年01月01日后13108天后过期,算 起来也就是2005年11月21号过期;哈哈,如果有兴趣的的弟兄,自己来算算,大体还是差不多的;); 第九字段:保留字段,目前为空,以备将来Linux发展之用; 二、关于用户组; 具有某种共同特征的用户集合起来就是用户组(Group)。用户组(Group)配置文件主要有 /etc/group和/etc/gshadow,其中/etc/gshadow是/etc/group的加密信息文件;在本标题下,您还能了解到什么是GID ; 1、/etc/group 解说; /etc/group 文件是用户组的配置文件,内容包括用户和用户组,并且能显示出用户是归属哪个用户组或哪几个用户组,因为一个用户可以归属一个或多个不同的用户组;同一用 户组的用户之间具有相似的特征。比如我们把某一用户加入到root用户组,那么这个用户就可以浏览root用户家目录的文件,如果root用户把某个文件 的读写执行权限开放,root用户组的所有用户都可以修改此文件,如果是可执行的文件(比如脚本),root用户组的用户也是可以执行的; 用户组的特性在系统管理中为系统管理员提供了极大的方便,但安全性也是值得关注的,如某个用户下有对系统管理有最重要的内容,最好让用户拥有独立的用户组,或者是把用户下的文件的权限设置为完全私有;另外root用户组一般不要轻易把普通用户加入进去, 2、/etc/group 内容具体分析 /etc/group 的内容包括用户组(Group)、用户组口令、GID及该用户组所包含的用户(User),每个用户组一条记录;格式如下: group_name:passwd:GID:user_list 在/etc/group 中的每条记录分四个字段: 第一字段:用户组名称; 第二字段:用户组密码; 第三字段:GID 第四字段:用户列表,每个用户之间用,号分割;本字段可以为空;如果字段为空表示用户组为GID的用户名; 我们举个例子: root:x:0:root,linuxsir 注:用户组root,x是密码段,表示没有设置密码,GID是0,root用户组下包括root、linuxsir以及GID为0的其它用户(可以通过/etc/passwd查看);; beinan:x:500:linuxsir 注:用户组beinan,x是密码段,表示没有设置密码,GID是500,beinan用户组下包括linuxsir用户及GID为500的用户(可以通过/etc/passwd查看); linuxsir:x:502:linuxsir 注:用户组linuxsir,x是密码段,表示没有设置密码,GID是502,linuxsir用户组下包用户linuxsir及GID为502的用户(可以通过/etc/passwd查看); helloer:x:503: 注:用户组helloer,x是密码段,表示没有设置密码,GID是503,helloer用户组下包括GID为503的用户,可以通过/etc/passwd查看; 而/etc/passwd 对应的相关的记录为: root:x:0:0:root:/root:/bin/bash beinan:x:500:500:beinan sun:/home/beinan:/bin/bash linuxsir:x:505:502:linuxsir open,linuxsir office,13898667715:/home/linuxsir:/bin/bash helloer:x:502:503::/home/helloer:/bin/bash 由此可以看出helloer用户组包括 helloer用户;所以我们查看一个用户组所拥有的用户,可以通过对比/etc/passwd和/etc/group来得到; 2、关于GID ; GID和UID类似,是一个正整数或0,GID从0开始,GID为0的组让系统付予给root用户组;系统会预留一些较靠前的GID给系统虚拟 用户(也被称为伪装用户)之用;每个系统预留的GID都有所不同,比如Fedora 预留了500个,我们添加新用户组时,用户组是从500开始的;而Slackware 是把前100个GID预留,新添加的用户组是从100开始;查看系统添加用户组默认的GID范围应该查看 /etc/login.defs 中的 GID_MIN 和GID_MAX 值; 我们可以对照/etc/passwd和/etc/group 两个文件;我们会发现有默认用户组之说;我们在 /etc/passwd 中的每条用户记录会发现用户默认的GID ;在/etc/group中,我们也会发现每个用户组下有多少个用户;在创建目录和文件时,会使用默认的用户组;我们还是举个例子; 比如我把linuxsir 加为root用户组,在/etc/passwd 和/etc/group 中的记录相关记录为: linuxsir用户在 /etc/passwd 中的记录;我们在这条记录中看到,linuxsir用户默认的GID为502;而502的GID 在/etc/group中查到是linuxsir用户组; linuxsir:x:505:502:linuxsir open,linuxsir office,13898667715:/home/linuxsir:/bin/bash linuxsir 用户在 /etc/group 中的相关记录;在这里,我们看到linuxsir用户组的GID 为502,而linuxsir 用户归属为root、beinan用户组; root:x:0:root,linuxsir beinan:x:500:linuxsir linuxsir:x:502:linuxsir 我们用linuxsir 来创建一个目录,以观察linuxsir用户创建目录的权限归属; [linuxsir@localhost ~]$ mkdir testdir [linuxsir@localhost ~]$ ls -lh 总用量 4.0K drwxrwxr-x 2 linuxsir linuxsir 4.0K 10月 17 11:42 testdir 通过我们用linuxsir 来创建目录时发现,testdir的权限归属仍然是linuxsir用户和linuxsir用户组的;而没有归属root和beinan用户组,明白了吧; 但值得注意的是,判断用户的访问权限时,默认的GID 并不是最重要的,只要一个目录让同组用户可以访问的权限,那么同组用户就可以拥有该目录的访问权,在这时用户的默认GID 并不是最重要的; 3、/etc/gshadow 解说; /etc/gshadow是/etc/group的加密资讯文件,比如用户组(Group)管理密码就是存放在这个文件。/etc /gshadow和/etc/group是互补的两个文件;对于大型服务器,针对很多用户和组,定制一些关系结构比较复杂的权限模型,设置用户组密码是极 有必要的。比如我们不想让一些非用户组成员永久拥有用户组的权限和特性,这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性,这时就要用 到用户组密码; /etc/gshadow 格式如下,每个用户组独占一行; groupname:password:admin,admin,…:member,member,… 第一字段:用户组 第二字段:用户组密码,这个段可以是空的或!,如果是空的或有!,表示没有密码; 第三字段:用户组管理者,这个字段也可为空,如果有多个用户组管理者,用,号分割; 第四字段:组成员,如果有多个成员,用,号分割; 举例: beinan:!::linuxsir linuxsir:oUS/q7NH75RhQ::linuxsir 第一字段:这个例子中,有两个用户组beinan用linuxsir 第二字段:用户组的密码,beinan用户组无密码;linuxsir用户组有已经,已经加密; 第三字段:用户组管理者,两者都为空; 第四字段:beinan用户组所拥有的成员是linuxsir ,然后还要对照一下/etc/group和/etc/passwd 查看是否还有其它用户,一般默认添加的用户,有时同时也会创建用户组和用户名同名称; linuxsir 用户组有成员linuxisir ; 如何设置用户组的密码? 我们可以通过 gpasswd 来实现;不过一般的情况下,没有必要设置用户组的密码;不过自己实践一下也有必要;下面是一个为linuxsir用户组设置密码的例子; gpasswd 的用法: gpasswd 用户组 [email=root@localhost]root@localhost[/email] ~]# gpasswd linuxsir 正在修改 linuxsir 组的密码 新密码: 请重新输入新密码: 用户组之间的切换,应该用 newgrp ,这个有点象用户之间切换的su ;我先举个例子: [beinan@localhost ~]$ newgrp linuxsir 密码: [beinan@localhost ~]$ mkdir lingroup [beinan@localhost ~]$ ls -ld lingroup/ drwxr-xr-x 2 beinan linuxsir 4096 10月 18 15:56 lingroup/ [beinan@localhost ~]$ newgrp beinan [beinan@localhost ~]$ mkdir beinangrouptest [beinan@localhost ~]$ ls -ld beinangrouptest drwxrwxr-x 2 beinan beinan 4096 10月 18 15:56 beinangrouptest 说明:我是以beinan用户组切换到linuxsir用户组,并且建了一个目录,然后再切换回beinan用户组,又建了一个目录,请观察两个目录属用户组的不同;还是自己体会吧; 三、通过用户和用户组配置文件来查询或管理用户; 1、用户和用户组查询的方法; 1)通过查看用户(User)和用户组的配置文件的办法来查看用户信息 我们已经用户(User)和用户组(Group)的配置文件已经有个基本的了解,通过查看用户(User)和用户组的配置文件,我们就能做到对系统用户的了解,当然您也可以通过id 或finger 等工具来进行用户的查询等任务。 对于文件的查看,我们可以通过 more 或cat 来查看,比如 more /etc/passwd 或cat /etc/passwd ;其它工具也一样,能对文本查看就行,比如less 也好 比如我们可以通过more 、cat 、less命令对/etc/passwd 的查看,虽然命令不同,但达到的目的是一样的, 都是得到/etc/passwd 的内容; [root@localhost ~]# more /etc/passwd [root@localhost ~]# cat /etc/passwd [root@localhost ~]# less /etc/passwd 2)通过id和finger 工具来获取用户信息; 除了直接查看用户(User)和用户组(Group)配置文件的办法除外,我们还有id和finger工具可用,我们一样通过命令行的操作,来 完成对用户的查询;id和finger,是两个各有测重的工具,id工具更测重用户、用户所归属的用户组、UID 和GID 的查看;而finger 测重用户资讯的查询,比如用户名(登录名)、电话、家目录、登录SHELL类型、真实姓名、空闲时间等等; id 命令用法; id 选项 用户名 比如:我想查询beinan和linuxsir 用户的UID、GID 以及归属用户组的情况: [root@localhost ~]# id beinan uid=500(beinan) gid=500(beinan) groups=500(beinan) 注:beinan的UID 是 500,默认用户组是beinan,默认用户组的GID 是500,归属于beinan用户组; [root@localhost ~]# id linuxsir uid=505(linuxsir) gid=502(linuxsir) groups=502(linuxsir),0(root),500(beinan) 注:linuxsir的UID 是505,默认用户组是linuxsir ,默认用户组的GID 是502,归属于linuxsir(GID为502)、root(GID为0),beinan(GID为500); 关于id的详细用法,我会在专门用户查询的文章来介绍;您可以通过man id 来查看用法,用起来还是比较简单的; finger 的用法 finger 选项 用户名1 用户名2 … 详细用法请参看man finger ;关于更为详细用法,我会在专门用户查询的文章来介绍; 如果finger 不加任何参数和用户,会显示出当前在线用户,和w命令类似;对比一下;不过各有测重; [root@localhost ~]# w 14:02:42 up 1:03, 3 users, load average: 0.04, 0.15, 0.18 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT linuxsir tty1 - 13:39 22:51 0.01s 0.01s -bash beinan tty2 - 13:53 8:48 11.62s 0.00s /bin/sh /usr/X1 beinan pts/0 :0.0 13:57 0.00s 0.14s 1.08s gnome-terminal [root@localhost ~]# finger Login Name Tty Idle Login Time Office Office Phone beinan beinan sun tty2 8 Oct 18 13:53 beinan beinan sun pts/0 Oct 18 13:57 (:0.0) linuxsir linuxsir open tty1 22 Oct 18 13:39 linuxsir o +1-389-866-771 如果我们在finger 后面加上用户名,就可以看到用户更为详细的信息,可以一次查看多个用户,用空格分开,比如下面的例子中,我们一次查询两个用户beinan和linuxsir的信息; [root@localhost ~]# finger beinan linuxsir Login: beinan 注:用户名(也是登录名) Name: beinan sun (用户名全称) Directory: /home/beinan 注:家目录 Shell: /bin/bash 注:所用SHELL类型 On since Tue Oct 18 13:53 (CST) on tty2 10 minutes 55 seconds idle 注:空闲时间; On since Tue Oct 18 13:57 (CST) on pts/0 from :0.0 No mail. No Plan. Login: linuxsir Name: linuxsir open Directory: /home/linuxsir Shell: /bin/bash Office: linuxsir office, +1-389-866-7715 On since Tue Oct 18 13:39 (CST) on tty1 24 minutes 58 seconds idle No mail. No Plan. 3)用户组查询的办法; 我们可以通过用户来查询所归属的组,用groups 来查询;比如我查询beinan和linuxsir 所归属的组,我们可以用groups 来查询; [root@localhost ~]# groups beinan linuxsir beinan : beinan linuxsir : linuxsir root beinan 注:这是通过groups 同时查看了用户beinan和linuxsir所归属的组; 2、通过修改用户(User)和用户组(Group)配置文件的办法来添加; 由于我们已经在前面说过,可以通过修改配置文件的办法来管理用户,所以此主题应该包括此内容;当然通过用户及用户组管理工具(比如 adduser、userdel、usermod 、userinfo、groupadd 、groupdel 、groupmod等)也是可以的,通过管理工具对用户的管理我们将要在专门一篇文章中介绍; 通过修改用户(User)和用户组(Group)配置文件的方法管理用户之用户的添加流程; 我们先以添加用户为例,对用户的删除和修改都比较简单; 1)修改 /etc/passwd ,添加用户记录; 我们按/etc/passwd的格式的约定来添加新的用户记录;当然您要让一个用户失效,可以删除您想要删除的用户记录;值得注意的是,不能让UID 重复; 比如我想添加lanhaitun 这个用户,我发现UID 508没有用户用,并且我想把其用户组也设置为lanhaitun ,用户组的GID 也设置为508,如果GID 没有占用的话; 我们要打开 /etc/passwd ,在最下面加一行; lanhaitun:x:508:508::/home/lanhaitun:/bin/bash 然后执行pwconv ,让/etc/passwd 和/etc/shadow同步,您可以查看 /etc/shadow的内容是否同步; [root@localhost beinan]# pwconv 2)修改/etc/group 首先,我们得查看是否有lanhaitun用户组,以及GID 508 是否被其它用户组占用; [root@localhost ~]# more /etc/group |grep lanhaitun [root@localhost ~]# more /etc/group |grep 508 通过查看,我们发现没有被占用;所以我们要添加lanhaitun 的记录到 /etc/group lanhaitun:x:508: 其次,是运行 grpconv 来同步/etc/group 和/etc/gshadow内容,您可以通过查看/etc/gshadow的内容变化确认是不是添加组成功了; [root@localhost beinan]# grpconv 3)创建用户的家目录,并把用户启动文件也复制过去; 创建用户的家目录,我们要以/etc/passwd 中添加的新用户的记录为准,我们在/etc/passwd 中添加新用户lanhaitun ,她的家目录是处于/home/lanhaitun ;另外我们还需要把/etc/skel 目录下的.*隐藏文件复制过去; [root@localhost ~]# cp -R /etc/skel/ /home/lanhaitun [root@localhost ~]# ls -la /home/lanhaitun/ 总用量 48 drwxr-xr-x 3 root root 4096 10月 18 14:53 . drwxr-xr-x 10 root root 4096 10月 18 14:53 .. -rw-r–r– 1 root root 24 10月 18 14:53 .bash_logout -rw-r–r– 1 root root 191 10月 18 14:53 .bash_profile -rw-r–r– 1 root root 124 10月 18 14:53 .bashrc -rw-r–r– 1 root root 5619 10月 18 14:53 .canna -rw-r–r– 1 root root 438 10月 18 14:53 .emacs -rw-r–r– 1 root root 120 10月 18 14:53 .gtkrc drwxr-xr-x 3 root root 4096 10月 18 14:53 .kde -rw-r–r– 1 root root 658 10月 18 14:53 .zshrc 4)改变新增用户家目录的属主和权限; 我们发现新增用户的家目录的属主目前是root ,并且家目录下的隐藏文件也是root权限; [root@localhost ~]# ls -ld /home/lanhaitun/ drwxr-xr-x 3 root root 4096 10月 18 14:53 /home/lanhaitun/ 所以我们要通过chown 命令来改变/home/lanhaitun目录归属为lanhaitun用户; [root@localhost ~]# chown -R lanhaitun:lanhaitun /home/lanhaitun 查看是否已经更换了属主为lanhaitun用户所有; [root@localhost ~]# ls -ld /home/lanhaitun/ drwxr-xr-x 3 lanhaitun lanhaitun 4096 10月 18 14:53 /home/lanhaitun/ [root@localhost ~]# ls -la /home/lanhaitun/ 总用量 48 drwxr-xr-x 3 lanhaitun lanhaitun 4096 10月 18 14:53 . drwxr-xr-x 10 root root 4096 10月 18 14:53 .. -rw-r–r– 1 lanhaitun lanhaitun 24 10月 18 14:53 .bash_logout -rw-r–r– 1 lanhaitun lanhaitun 191 10月 18 14:53 .bash_profile -rw-r–r– 1 lanhaitun lanhaitun 124 10月 18 14:53 .bashrc -rw-r–r– 1 lanhaitun lanhaitun 5619 10月 18 14:53 .canna -rw-r–r– 1 lanhaitun lanhaitun 438 10月 18 14:53 .emacs -rw-r–r– 1 lanhaitun lanhaitun 120 10月 18 14:53 .gtkrc drwxr-xr-x 3 lanhaitun lanhaitun 4096 10月 18 14:53 .kde -rw-r–r– 1 lanhaitun lanhaitun 658 10月 18 14:53 .zshrc 看来已经实现了; 但这样还是不够的,因为/home/lanhaitun/的目录权限可能会过于公开; drwxr-xr-x 3 lanhaitun lanhaitun 4096 10月 18 14:53 /home/lanhaitun/ 我们看到 /home/lanhaitun/ 目录的权限为 drwxr-xr-x ,也就是同组用户和其它用户组所能查看,为了保密,我们有理由把新增用户家目录的权限设置为只有其自己可读可写可执行;于是… … [root@localhost ~]# chmod 700 /home/lanhaitun/ [root@localhost ~]# ls -ld /home/lanhaitun/ drwx—— 3 lanhaitun lanhaitun 4096 10月 18 14:53 /home/lanhaitun/ 我们用其它用户,当然得把具有超级权限的root用户除外;比如我以beinan用户来查看lanhaitun的家目录会得到如下信息; [beinan@localhost ~]$ ls -la /home/lanhaitun/ ls: /home/lanhaitun/: 权限不够 如此看来,lanhaitun用户的家目录是安全的 <IMG onmousewheel="return imgzoom(this);" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=‘hand‘; this.alt=‘Click here to open new window\nCTRL+Mouse wheel to zoom in/out‘;}" onclick="if(!this.resized) {return true;} else {window.open(‘http://linux.qisi.org/wp-includes/images/smilies/icon_wink.gif‘);}" alt="" src="http://linux.qisi.org/wp-includes/images/smilies/icon_wink.gif" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt=‘Click here to open new window\nCTRL+Mouse wheel to zoom in/out‘;}" border=0> 5)设置新增用户的密码; 以上各步骤都就序了,我们得为新增用户设置密码了;要通过passwd 命令来生成;这个没有办法通过修改文件解决; passwd 的用法: passwd 用户 [root@localhost ~]# passwd lanhaitun Changing password for user lanhaitun. New UNIX password: 注:输入您的密码 Retype new UNIX password: 再输入一次 passwd: all authentication tokens updated successfully. 注:设置密码成功 6)测试添增用户是否成功; 您可以用新增用户登录测试,也可以通过su 来切换用户测试; [beinan@localhost ~]$ su lanhaitun Password: [lanhaitun@localhost beinan]$ cd ~ [lanhaitun@localhost ~]$ pwd /home/lanhaitun [lanhaitun@localhost ~]$ ls -la 总用量 52 drwx—— 3 lanhaitun lanhaitun 4096 10月 18 15:15 . drwxr-xr-x 10 root root 4096 10月 18 14:53 .. -rw-r–r– 1 lanhaitun lanhaitun 24 10月 18 14:53 .bash_logout -rw-r–r– 1 lanhaitun lanhaitun 191 10月 18 14:53 .bash_profile -rw-r–r– 1 lanhaitun lanhaitun 124 10月 18 14:53 .bashrc -rw-r–r– 1 lanhaitun lanhaitun 5619 10月 18 14:53 .canna -rw-r–r– 1 lanhaitun lanhaitun 438 10月 18 14:53 .emacs -rw-r–r– 1 lanhaitun lanhaitun 120 10月 18 14:53 .gtkrc drwxr-xr-x 3 lanhaitun lanhaitun 4096 10月 18 14:53 .kde -rw——- 1 lanhaitun lanhaitun 66 10月 18 15:15 .xauthOhEoTk -rw-r–r– 1 lanhaitun lanhaitun 658 10月 18 14:53 .zshrc [lanhaitun@localhost ~]$ mkdir testdir [lanhaitun@localhost ~]$ ls -lh 总用量 4.0K drwxrwxr-x 2 lanhaitun lanhaitun 4.0K 10月 18 15:16 testdir 通过上面一系列动作,我们会发现所创建的lanhaitun用户已经成功; 2、通过修改用户(User)和用户组(Group)配置文件的办法来修改用户或用户组; 我们可以修改/etc/passwd 和/etc/group 来达到修改用户和用户所归属的组,这个过程和添加新用户时差不多;比如我想修改lanhaitun的用户名全称、公司以及电话等信息;我们可以修改/etc/passwd 实现; 1)修改用户信息; lanhaitun:x:508:508::/home/lanhaitun:/bin/bash 注:这是初始记录; 我们可以修改为 lanhaitun:x:508:508:lanhaitun wu,Office Dalian,13000000000:/home/lanhaitun:/bin/bash 当然我们还可以修改用户的bash 类型,家目录等,当然如果修改家目录,还得进行建家目录、属主和权限的操作,这和前面添加用户的办法在程序上有些是相同的; 修改完成后,我们要进行pwconv 同步,通过finger 来查看用户的信息等; [root@localhost lanhaitun]# pwconv [root@localhost lanhaitun]# finger lanhaitun Login: lanhaitun Name: lanhaitun wu Directory: /home/lanhaitun Shell: /bin/bash Office: Office Dalian, +1-300-000-0000 Never logged in. No mail. No Plan. 2)修改用户所归属的组,可以通过/etc/group 修改实现; 当然修改用户和用户组,不仅能通过修改配置文件来实现,还能过过 usermod 及chfn来实现;我将在以后的文档中写一写,也比较简单;您可以通过man来查看用法;在这里我们先讲一讲如何通过修改配置文件来达到目的; 如果我们想把lanhaitun 这个用户归属到root用户组,所以我们还能修改/etc/group 的办法来达到目的;找到/etc/group 中的root开头的一行,按其规划加入lanhaitun; root:x:0:root,lanhaitun 如果不明白,看前面/etc/group的解释,谢谢; 然后执行 grpconv 命令来同步/etc/group 和/etc/gshadow两个文件的内容; [root@localhost ~]# grpconv 查看lanhaitun归属组的信息; [root@localhost ~]# id lanhaitun uid=508(lanhaitun) gid=508(lanhaitun) groups=508(lanhaitun),0(root) 3)删除用户及用户组的办法; 这个比较简单,我们可以通过删除/etc/passwd 和/etc/group 相应的用户和用户组记录就能达到目的,也能过过userdel 和groupdel 来实现对用户及用户组的删除; 如果是通过修改用户和用户组配置文件的办法来删除用户,就是删除相应的记录就行了,如果不想保留其家目录,删除就是了。 [root@localhost ~]# userdel lanhaitun [root@localhost ~]# userdel -r lanhaitun 注:可以用userdel 来删除lanhaitun 用户,我们看到第二个例子中多了一个参数-r ,第一个例子是说只删除lanhaitun用户,其家目录和mail等仍会保存;加上-r 参数,是删除家目录及mail等;所以要小心操作;用userdel 删除用户的同时,也会把其用户组删除;我们可以通过/etc/passwd 和/etc/group 的内容变化来查看; linux 里 /etc/passwd 、/etc/shadow和/etc/group 文件内容解释 一、/etc/passwd 是用户数据库,其中的域给出了用户名、加密口令和用户的其他信息 /etc/shadow文件中的记录行与/etc/passwd中的一一对应,它由pwconv命令根据/etc/passwd中的数据自动产生。它的文 件格式与/etc/passwd类似,由若干个字段组成,字段之间用“:”隔开。这些字段是: 登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志 1)“登录名”是与/etc/passwd文件中的登录名相一致的用户账号 2)“口令”字段存放的是加密后的用户口令字,长度为13个字符。如果为空,则对应用户没有口令,登 录时不需要口令;如果含有不属于集合{./0-9A-Za-z}中的字符,则对应的用户不能登录。 3)“最后一次修改时间”表示的是从某个时刻起,到用户最后一次修改口令时的天数。时间起点对不同 的系统可能不一样。例如在SCOLinux中,这个时间起点是1970年1月1日。 4)“最小时间间隔”指的是两次修改口令之间所需的最小天数。 5)“最大时间间隔”指的是口令保持有效的最大天数。 6)“警告时间”字段表示的是从系统开始警告用户到用户密码正式失效之间的天数。 7)“不活动时间”表示的是用户没有登录活动但账号仍能保持有效的最大天数。 8)“失效时间”字段给出的是一个绝对的天数,如果使用了这个字段,那么就给出相应账号的生存期。 期满后,该账号就不再是一个合法的账号,也就不能再用来登录了。 下面是/etc/shadow的一个例子: #cat /etc/shadow root:Dnakfw28zf38w:8764:0:168:7::: /etc/passwd 该目录存储的是操作系统用户信息,该文件为所有用户可见。 给linux系统添加一个帐号: useradd -g mysql -d /home/test -m test(:新建一个用户test, 属于mysql组,开始目录是/home/test) 然后进入 /etc/passwd,可以看到如下信息,在最后一行可以看到刚加的用户的信息。如下 sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin dovecot:x:97:97:dovecot:/usr/libexec/dovecot:/sbin/nologin webalizer:x:67:67:Webalizer:/var/www/usage:/sbin/nologin squid:x:23:23::/var/spool/squid:/sbin/nologin pcap:x:77:77::/var/arpwatch:/sbin/nologin haldaemon:x:68:68:HAL daemon:/:/sbin/nologin xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin hsqldb:x:96:96::/var/lib/hsqldb:/sbin/nologin gdm:x:42:42::/var/gdm:/sbin/nologin hzmc:x:500:500:hzmc:/home/hzmc:/bin/bash mysql:x:501:501::/home/mysql:/bin/bash chenhua:x:503:501::/home/chenhua:/bin/bash test:x:504:501::/home/test:/bin/bash 可以看出/etc/passwd文件存放的是用户的信息,由6个分号组成的7个信息,解释如下 (1):用户名。 (2):密码(已经加密) (3):UID(用户标识),操作系统自己用的 (4):GID组标识。 (5):用户全名或本地帐号 (6):开始目录 (7):登录使用的Shell,就是对登录命令进行解析的工具。 二、/etc/shadow是在安装了影子(shadow)口令软件的系统上的影子口令文件 shadow 是 passwd 的影子文件。 在linux中,口令文件在/etc/passwd中,早期的这个文件直接存放加密后的密码,前两位是"盐"值,是一个随机数,后面跟的是加密的密码。为了安全,现在的linux都提供了 /etc/shadow这个影子文件,密码放在这个文件里面,并且是只有root可读的。 /etc/passwd文件的每个条目有7个域,分别是名字:密码:用户id:组id:用户信息:主目录:shell 例如:ynguo:x:509:510::/home/ynguo:/bin/bash 在利用了shadow文件的情况下,密码用一个x表示,普通用户看不到任何密码信息。影子口令文件保存加密的口令;/etc/passwd文件中的密码全部变成x。Shadow只能是root可读,从而保证了安全。 /etc/shadow文件每一行的格式如下:用户名:加密口令:上一次修改的时间(从1970年1月1日起的天数):口令在两次修改间的最小天数:口令修改之前向用户发出警告的天数:口令终止后账号被禁用的天数:从1970年1月1日起账号被禁用的天数:保留域。 例如:root:$1$t4sFPHBq$JXgSGgvkgBDD/D7FVVBBm0:11037:0:99999:7:-1:-1:1075498172 下面为test用户设置密码,执行如下命令 passwd test [root@localhost etc]# passwd test Changing password for user test. New UNIX password: Retype new UNIX password: passwd: all authentication tokens updated successfully. [root@localhost etc]# 然后进入/etc/shadow文件下面可以看到如下信息 gdm:!!:14302:0:99999:7::: hzmc:$1$JZMjXqxJ$bvRpGQxbuRiEa86KPLhhC1:14302:0:99999:7::: mysql:!!:14315:0:99999:7::: chenhua:$1$YBJZNyXJ$BnpKFD58vSgqzsyRO0ZeO1:14316:0:99999:7::: test:$1$hKjqUA40$OelB9h3UKOgnttKgmRpFr/:14316:0:99999:7::: 可以发现,共有9个栏目 (1):帐号名称 (2):密码:这里是加密过的,但高手也可以解密的。要主要安全问题(代!符号标识该帐号不能用 来登录) (3):上次修改密码的日期 (4):密码不可被变更的天数 (5):密码需要被重新变更的天数(99999表示不需要变更) (6):密码变更前提前几天警告 (7):帐号失效日期 (8):帐号取消日期 (9):保留条目,目前没用 Unix 系统最初是用明文保存密码的,后来由于安全的考虑,采用crypt()算法加密密码并存放在/etc/passwd文件。现在,由 于计算机处理能力的提高,使密码破解变得越来越容易。/etc/passwd文件是所有合法用户都可访问的,大家都可互相看到密码的加密字符串,这给系统 带来很大的安全威胁。现代的Unix系统使用影子密码系统,它把密码从/etc/pa sswd文件中分离出来,真正的密码保存在/etc/shadow文件中,shadow文件只能由超级用户访问。这样入侵者就不能获得加密密码串,用于破 解。使用shadow密码文件后,/etc/passwd文件中所有帐户的password域的内容为"x",如果password域的内容为"*",则 该帐号被停用。使用passwd这个程序可修改用户的密码。 三、/etc/group 存储有关本地用户组的信息 1)groupname GID到名称的一种映射,组名 2)password 保存密码的位置 3)GID 组ID 4)user 组成员
linux 里 /etc/passwd 、/etc/shadow和/etc/group 文件内容解释
标签:
原文地址:http://www.cnblogs.com/x113/p/4438572.html