/etc/passwd文件是UNIX安全的關鍵文件之一.該文件用於用戶登錄時校驗用戶的口令,當然應當僅對root可寫.文件中每行的一般格式為:
LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL
每行的頭兩項是登錄名和加密後的口令,後面的兩個數是UID和GID,接著的 一項是系統管理員想寫入的有關該用戶的任何信息,最後兩項是兩個路徑名: 一個是分配給用戶的HOME目錄,第二個是用戶登錄後將執行的shell(若為空格則 缺省為/bin/sh).
(1)口令時效
/etc/passwd文件的格式使系統管理員能要求用戶定期地改變他們的口令. 在口令文件中可以看到,有些加密後的口令有逗號,逗號後有幾個字符和一個冒號.如:
steve:xyDfccTrt180x,M.y8:0:0:admin:/:/bin/sh
restrict:pomJk109Jky41,.1:0:0:admin:/:/bin/sh
pat:xmotTVoyumjls:0:0:admin:/:/bin/sh
可以看到,steve的口令逗號後有4個字符,restrict有2個,pat沒有逗號.
逗號後第一個字符是口令有效期的最大周數,第二個字符決定了用戶再次修改口令之前,原口令應使用的最小周數(這就防止了用戶改了新口令後立刻 又改回成老口令).其余字符表明口令最新修改時間.
要能讀懂口令中逗號後的信息,必須首先知道如何用passwd_esc計數,計數的方法是: .=0 /=1 0-9=2-11 A-Z=12-37 a-z=38-63
系統管理員必須將前兩個字符放進/etc/passwd文件,以要求用戶定期的修改口令,另外兩個字符當用戶修改口令時,由passwd命令填入.
注意:若想讓用戶修改口令,可在最後一次口令被修改時,放兩個".",則下一次用戶登錄時將被要求修改自己的口令.
有兩種特殊情況:
. 最大周數(第一個字符)小於最小周數(第二個字符),則不允許用戶修改口令,僅超級用戶可以修改用戶的口令.
. 第一個字符和第二個字符都是".",這時用戶下次登錄時被要求修改口令,修改口令後,passwd命令將"."刪除,此後再不會要求用戶修改口令.
(2)UID和GID
/etc/passwd中UID信息很重要,系統使用UID而不是登錄名區別用戶.一般來說,用戶的UID應當是獨一無二的,其他用戶不應當有相同的UID數值.根據慣例,從0到99的UID保留用作系統用戶的UID(root,bin,uucp等).
如果在/etc/passwd文件中有兩個不同的入口項有相同的UID,則這兩個用戶對相互的文件具有相同的存取權限.
/etc/group文件含有關於小組的信息,/etc/passwd中的每個GID在本文件中應當有相應的入口項,入口項中列出了小組名和小組中的用戶.這樣可方便地了解每個小組的用戶,否則必須根據GID在/etc/passwd文件中從頭至尾地尋找同組用戶.
/etc/group文件對小組的許可權限的控制並不是必要的,因為系統用UID,GID (取自/etc/passwd)決定文件存取權限,即使/etc/group文件不存在於系統中,具有相同的GID用戶也可以小組的存取許可權限共享文件.
小組就像登錄用戶一樣可以有口令.如果/etc/group文件入口項的第二個域 為非空,則將被認為是加密口令,newgrp命令將要求用戶給出口令,然後將口令加密,再與該域的加密口令比較.
給小組建立口令一般不是個好作法.第一,如果小組內共享文件,若有某人猜著小組口令,則該組的所有用戶的文件就可能洩漏;其次,管理小組口令很費事, 因為對於小組沒有類似的passwd命令.可用/usr/lib/makekey生成一個口令寫入 /etc/group.
以下情況必須建立新組:
(1)可能要增加新用戶,該用戶不屬於任何一個現有的小組.
(2)有的用戶可能時常需要獨自為一個小組.
(3)有的用戶可能有一個SGID程序,需要獨自為一個小組.
(4)有時可能要安裝運行SGID的軟件系統,該軟件系統需要建立一個新組.
要增加一個新組,必須編輯該文件,為新組加一個入口項. 由於用戶登錄時,系統從/etc/passwd文件中取GID,而不是從/etc/group中 取GID,所以group文件和口令文件應當具有一致性.對於一個用戶的小組,UID和GID應當是相同的.多用戶小組的GID應當不同於任何用戶的UID,一般為5位數,這樣在查看/etc/passwd文件時,就可根據5位數據的GID識別多用戶小組,這將減少增加新組,新用戶時可能產生的混淆。
