在Linux系統中,所有的用戶和組像一個國家。如果國家要繁榮昌盛的話,需要治理得當,需要有主席或者總統,以及地方官員和老百姓組成。在Linux中如果你對安全需求比較苛刻,完全可以限制用戶的各種行為,不同用戶的權限是不同的。
在,Linux中系統中,它並不認識帳號名稱。它認識的是我們的帳號ID,帳號ID保存在/etc/passwd文件中。我們在登錄linux主機時,在輸入完帳號和密碼時,linux會先查找/etc/passwd文件中是否有這個帳號,如果沒有則跳出,如果有的話,他會讀取該帳號的user ID和group ID同時該帳號的根目錄和shell也讀了出來。然後在去核對密碼表,在/etc/shadow中找出我們剛剛輸入的帳號和userID,核對我們輸入密碼是否正確。一切正確我們可以登錄到當前用戶shell。那麼,我們首先了解一下用戶帳號文件。
Linux 用戶管理常用命令 http://www.linuxidc.com/Linux/2013-05/84734.htm
Linux用戶、組的管理常用到的命令介紹 http://www.linuxidc.com/Linux/2013-05/84989.htm
Linux_用戶、組和權限問題 http://www.linuxidc.com/Linux/2013-12/94358.htm
Linux 的用戶和組命令 http://www.linuxidc.com/Linux/2013-05/83950.htm
Linux的用戶與權限管理 http://www.linuxidc.com/Linux/2013-02/78955.htm
1./etc/passwd我們使用more查看一下這個文件
我們首先看第一行root這一行,一共有七項,每一項使用:分開,他們代表的意思如下:
帳號名稱:帳號名稱由於對應用戶ID,這個是系統默認用戶root超級管理員,在同一個系統帳號名稱是唯一的,長度根據不同的linux系統而定,一般是8位。
密碼:由於系統中還有一個/etc/shadow文件用於存放加密後的口令,所以在這裡這一項是“x”來表示,如果用戶沒有設置口令,則該項為空。如果passwd字段中的第一個字符是“*”的話,那麼,就表示該賬號被查封了,系統不允許持有該賬號的用戶登錄。
用戶ID:這個是系統內部用於來識別不同的用戶的,不同的用戶識別碼不同,其中用戶ID有以下幾種:
0代表系統管理員,如果你想建立一個系統管理員的話,可以建立一個普通帳戶,然後將該賬戶的用戶ID改為0即可。
1-500系統預留的ID,500以上是普通用戶使用。
組ID:其實這個和用戶ID差不多,用來規范群組,他與/etc/group有關。
描述信息:這個字段幾乎沒有什麼作用,只是用來解釋這個帳號的意義。一般常見的是用戶全名信息。-
用戶根目錄:就是用戶登錄系統的起始目錄,用戶登錄系統後將首先進入該目錄。root用戶默認的是/root,普通用戶的是/home/用戶名。
用戶登錄shell:就是用戶登錄系統時使用的shell,關於shell我們會在以後專門的研究一下。
通常我們可以使用vi編輯這個文件,也可以使用vipw命令對/etc/passwd對這個用戶帳戶文件進行編輯,使用的編輯器是vi。
2./etc/shadow
在早期的unix操作系統中,用戶的帳號信息和口令信息都保存在passwd文件中,盡管系統已經對口令進行了加密,並且以密文的方式保存在passwd文件中,但是由於passwd文件對於系統中的所有用戶是可讀的,口令比較容易破解,存在較大的安全隱患。現在使用“shadow”文件保存密文的用戶口令,使用passwd文件保存用戶帳號其它信息。“shadow”文件只有管理員用戶才可以讀取其中的內容。由於這個文件可能被破解,所以一定不要將該文件內容洩露給他人,保證系統安全。
同樣,我們還是分析第一行,一共有九項,分別說明一下:
帳戶名稱:和passwd對應,和passwd的意思相同。
密碼:這才是真正的密碼,並且已經加密過了,只能看到一些特殊符號。需要注意的是這些密碼很難破解,但是不等於不能。還有密碼欄的第一個字符為“*”表示這個用戶不用來登錄,如果那個用戶不想讓他登錄了,可以在他前面加個星;第一個字符為“!”號表示該用戶被禁用,一般新創建的賬號後還未設置密碼該賬號就是禁用狀態,使用“!!”表示;第一個字符為“空”的話,代表該用戶沒有口令,登錄時不需要口令。
上次改動密碼的日期:這段記錄了改動密碼的最後日期,為什麼是13798呢?這是因為linux計算日期的方法是以1970年1月1日作為1,1971年1月1日就是366,依次類推到我修改密碼的日期表示為13798了。
密碼不可被改動的天數:這個字段代表要經過多久才可以更改密碼。如果是“0”代表密碼可以隨時更改。
密碼需要重新更改天數:由於害怕密碼被人盜取而危害到整個系統的安全,所以安排了這個字段,你必須在這個時間內重新修改密碼,否則這個帳號將暫時失效。上面的99999,表示密碼不需要重新輸入,最好設定一段時間修改密碼。確保系統安全。
密碼變更期期限快到前的警告期:當帳號的密碼失效期限快到時,系統依據這個字段的設定發出警告,提醒用戶“再過n天您的密碼將過期,請盡快重新設定密碼。默認的是七天。
帳號失效期:如果用戶過了警告期沒有重新輸入密碼,使得密碼失效,而該用戶在這個字段限定的時間內又沒有向管理員反映,讓帳號重新啟用,那麼這個帳號將暫時失效。
帳號取消日期:這個日期跟第三個字段一樣,都是使用1970年以來的日期設定方法。這個字段表示:這個帳號在此字段規定的日期之後將無法再使用。這個字段通常用於收費服務系統中,可以規定一個日期讓該帳號不能再使用。
保留:最後一個字段是保留的,看以後有沒有新功能加入。
3. /etc/group查看一下這個文件
我們還是分析第一行,一共有四項,依次為:
群組名稱:就是群組的名稱了。
群組密碼:通常不需設定,因為我們很少使用群組登錄。不過這個密碼也被記錄在/etc/shadow中了。
群組ID:也就是組ID了。
支持帳號的名稱:這個群組的所有帳號。如果你想讓用戶qiuri也屬於root這個群組,就在第一行最後加上“,qiuri”注意添加的時候沒有空格。
通常我們使用vi編輯這個文件,也可以使用vigr這個命令編輯,等同於使用vi /etc/group編輯。
更多詳情見請繼續閱讀下一頁的精彩內容: http://www.linuxidc.com/Linux/2014-05/101233p2.htm
