LINUX用户和用户组配置文件详解.docx
《LINUX用户和用户组配置文件详解.docx》由会员分享,可在线阅读,更多相关《LINUX用户和用户组配置文件详解.docx(20页珍藏版)》请在冰豆网上搜索。
LINUX用户和用户组配置文件详解
LINUX用户和用户组配置文件详解
/etc/passwd用户基础配置文件
/etc/shadow用户影子文件,最关键的信息是密码
/etc/login.defs是设置用户帐号限制的文件。
该文件里的配置对root用户无效。
用户(User)和用户组(Group)的配置文件,是系统管理员最应该了解和掌握的系统基础文件之一,从另一方面来说,了解这些文件也是系统安全管理的重要组成部份;做为一个合格的系统管理员应该对用户和用户组配置文件透彻了解才行;
一、用户(User)相关;
谈到用户,就不得不谈用户管理,用户配置文件,以及用户查询和管理的控制工具;用户管理主要通过修改用户配置文件完成;用户管理控制工具最终目的也是为了修改用户配置文件。
什么是用户查询和管理控制工具呢?
用户查询和控制工具是查询、添加、修改和删除用户等系统管理工具,比如查询用户的id和finger命令,添加用户的useradd或adduser、userdel用户的删除、设置密码的passwd命令、修改用户usermod等等;我们需要知道的是通过用户查询和控制工具所进行的动作的最终目的也是修改用户配置文件;所以我们进行用户管理的时候,直接修改用户配置文件一样可以达到用户管理的目的;
通过上面的解说,我们能实实在在的感觉到用户(User)配置文件的重要性;其实用户和用户组在系统管理中是不可分割的,但为了说明问题,我们还是得把用户(User)的配置文件单列出来解说,其中包括/etc/passwd和/etc/shadow文件;在这之中,你还能了解UID的重要性;
通过本标题,您可以了解或掌握的内容有:
了解/etc/passwd和/etc/shadow;什么UID;
与用户相关的系统配置文件主要有/etc/passwd和/etc/shadow,其中/etc/shadow是用户资讯的加密文件,比如用户的密码口令的加密保存等;/etc/passwd和/etc/shadow文件是互补的;我们可以通过对比两个文件来差看他们的区别;
1、关于/etc/passwd和UID;
/etc/passwd是系统识别用户的一个文件,做个不恰当的比喻,/etc/passwd是一个花名册,系统所有的用户都在这里有登录记载;当我们以beinan这个账号登录时,系统首先会查阅/etc/passwd文件,看是否有beinan这个账号,然后确定beinan的UID,通过UID来确认用户和身份,如果存在则读取/etc/shadow影子文件中所对应的beinan的密码;如果密码核实无误则登录系统,读取用户的配置文件;
1)/etc/passwd的内容理解:
在/etc/passwd中,每一行都表示的是一个用户的信息;一行有7个段位;每个段位用:
号分割,比如下面是我的系统中的/etc/passwd的两行;
beinan:
x:
500:
500:
beinansun:
/home/beinan:
/bin/bash
linuxsir:
x:
505:
502:
linuxsiropen,linuxsiroffice,13898667715:
/home/linuxsir:
/bin/bash
beinan:
x:
500:
500:
beinansun:
/home/beinan:
/bin/bash
linuxsir:
x:
501:
502:
:
/home/linuxsir:
/bin/bash
第一字段:
用户名(也被称为登录名);在上面的例子中,我们看到这两个用户的用户名分别是beinan和linuxsir;
第二字段:
口令;在例子中我们看到的是一个x,其实密码已被映射到/etc/shadow文件中;
第三字段:
UID;请参看本文的UID的解说;
第四字段:
GID;请参看本文的GID的解说;
第五字段:
用户名全称,这是可选的,可以不设置,在beinan这个用户中,用户的全称是beinansun;而linuxsir这个用户是没有设置全称;
第六字段:
用户的家目录所在位置;beinan这个用户是/home/beinan,而linuxsir这个用户是/home/linuxsir;
第七字段:
用户所用SHELL的类型,beinan和linuxsir都用的是bash;所以设置为/bin/bash;
2)关于UID的理解:
UID是用户的ID值,在系统中每个用户的UID的值是唯一的,更确切的说每个用户都要对应一个唯一的UID,系统管理员应该确保这一规则。
系统用户的UID的值从0开始,是一个正整数,至于最大值可以在/etc/login.defs可以查到,一般Linux发行版约定为60000;在Linux中,root的UID是0,拥有系统最高权限;
UID在系统唯一特性,做为系统管理员应该确保这一标准,UID的唯一性关系到系统的安全,应该值得我们关注!
比如我在/etc/passwd中把beinan的UID改为0后,你设想会发生什么呢?
beinan这个用户会被确认为root用户。
beinan这个帐号可以进行所有root的操作;
UID是确认用户权限的标识,用户登录系统所处的角色是通过UID来实现的,而非用户名,切记;把几个用户共用一个UID是危险的,比如我们上面所谈到的,把普通用户的UID改为0,和root共用一个UID,这事实上就造成了系统管理权限的混乱。
如果我们想用root权限,可以通过su或sudo来实现;切不可随意让一个用户和root分享同一个UID;
UID是唯一性,只是要求管理员所做的,其实我们修改/etc/passwd文件,可以修改任何用户的UID的值为0,
一般情况下,每个Linux的发行版都会预留一定的UID和GID给系统虚拟用户占用,虚拟用户一般是系统安装时就有的,是为了完成系统任务所必须的用户,但虚拟用户是不能登录系统的,比如ftp、nobody、adm、rpm、bin、shutdown等;
在Fedora系统会把前499个UID和GID预留出来,我们添加新用户时的UID从500开始的,GID也是从500开始,至于其它系统,有的系统可能会把前999UID和GID预留出来;以各个系统中/etc/login.defs中的UID_MIN的最小值为准;Fedora系统login.defs的UID_MIN是500,而UID_MAX值为60000,也就是说我们通过adduser默认添加的用户的UID的值是500到60000之间;而Slackware通过adduser不指定UID来添加用户,默认UID是从1000开始;
2、关于/etc/shadow;
1)/etc/shadow概说;
/etc/shadow文件是/etc/passwd的影子文件,这个文件并不由/etc/passwd而产生的,这两个文件是应该是对应互补的;shadow内容包括用户及被加密的密码以及其它/etc/passwd不能包括的信息,比如用户的有效期限等;这个文件只有root权限可以读取和操作,权限如下:
-r--------1rootroot1.5K10月1609:
49/etc/shadow
/etc/shadow的权限不能随便改为其它用户可读,这样做是危险的。
如果您发现这个文件的权限变成了其它用户组或用户可读了,要进行检查,以防系统安全问题的发生;
如果我们以普通用户查看这个文件时,应该什么也查看不到,提示是权限不够:
[beinan@localhost~]$more/etc/shadow
/etc/shadow:
权限不够
2)/etc/shadow的内容分析;
/etc/shadow文件的内容包括9个段位,每个段位之间用:
号分割;我们以如下的例子说明;
beinan:
$1$VE.Mq2Xf$2c9Qi7EQ9JP8GKF8gH7PB1:
13072:
0:
99999:
7:
:
:
linuxsir:
$1$IPDvUhXP$8R6J/VtPXvLyXxhLWPrnt/:
13072:
0:
99999:
7:
:
13108:
第一字段:
用户名(也被称为登录名),在/etc/shadow中,用户名和/etc/passwd是相同的,这样就把passwd和shadow中用的用户记录联系在一起;这个字段是非空的;
第二字段:
密码(已被加密),如果是有些用户在这段是x,表示这个用户不能登录到系统;这个字段是非空的;
第三字段:
上次修改口令的时间;这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔(天数),您可以通过passwd来修改用户的密码,然后查看/etc/shadow中此字段的变化;
第四字段:
两次修改口令间隔最少的天数;如果设置为0,则禁用此功能;也就是说用户必须经过多少天才能修改其口令;此项功能用处不是太大;默认值是通过/etc/login.defs文件定义中获取,PASS_MIN_DAYS中有定义;
第五字段:
两次修改口令间隔最多的天数;这个能增强管理员管理用户口令的时效性,应该说在增强了系统的安全性;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_MAX_DAYS中定义;
第六字段:
提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_WARN_AGE中定义;
第七字段:
在口令过期之后多少天禁用此用户;此字段表示用户口令作废多少天后,系统会禁用此用户,也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用;
第八字段:
用户过期日期;此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,帐号永久可用;
第九字段:
保留字段,目前为空,以备将来Linux发展之用;
如果更为详细的,请用manshadow来查看帮助,您会得到更为详尽的资料;
我们再根据实例分析:
beinan:
$1$VE.Mq2Xf$2c9Qi7EQ9JP8GKF8gH7PB1:
13072:
0:
99999:
7:
:
:
linuxsir:
$1$IPDvUhXP$8R6J/VtPXvLyXxhLWPrnt/:
13072:
0:
99999:
7:
:
13108:
第一字段:
用户名(也被称之为登录名),在例子中有峡谷两条记录,也表示有两个用户beinan和linuxsir
第二字段:
被加密的密码,如果有的用户在此字段中是x,表示这个用户不能登录系统,也可以看作是虚拟用户,不过虚拟用户和真实用户都是相对的,系统管理员随时可以对任何用户操作;
第三字段:
表示上次更改口令的天数(距1970年01月01日),上面的例子能说明beinan和linuxsir这两个用户,是在同一天更改了用户密码,当然是通过passwd命令来更改的,更改密码的时间距1970年01月01日的天数为13072;
第四字段:
禁用两次口令修改之间最小天数的功能,设置为0
第五字段:
两次修改口令间隔最多的天数,在例子中都是99999天;这个值如果在添加用户时没有指定的话,是通过/etc/login.defs来获取默认值,PASS_MAX_DAYS99999;您可以查看/etc/login.defs来查看,具体的值;
第六字段:
提前多少天警告用户口令将过期;当用户登录系统后,系统登录程序提醒用户口令将要作废;如果是系统默认值,是在添加用户时由/etc/login.defs文件定义中获取,在PASS_WARN_AGE中定义;在例子中的值是7,表示在用户口令将过期的前7天警告用户更改期口令;
第七字段:
在口令过期之后多少天禁用此用户;此字段表示用户口令作废多少天后,系统会禁用此用户,也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用;在例子中,此字段两个用户的都是空的,表示禁用这个功能;
第八字段:
用户过期日期;此字段指定了用户作废的天数(从1970年的1月1日开始的天数),如果这个字段的值为空,帐号永久可用;在例子中,我们看到beinan这个用户在此字段是空的,表示此用户永久可用;而linuxsir这个用户表示在距1970年01月01日后13108天后过期,算起来也就是2005年11月21号过期;哈哈,如果有兴趣的的弟兄,自己来算算,大体还是差不多的;);
第九字段:
保留字段,目前为空,以备将来Linux发展之用;
二、关于用户组;
具有某种共同特征的用户集合起来就是用户组(Group)。
用户组(Group)配置文件主要有/etc/group和/etc/gshadow,其中/etc/gshadow是/etc/group的加密信息文件;在本标题下,您还能了解到什么是GID;
1、/etc/group解说;
/etc/group文件是用户组的配置文件,内容包括用户和用户组,并且能显示出用户是归属哪个用户组或哪几个用户组,因为一个用户可以归属一个或多个不同的用户组;同一用户组的用户之间具有相似的特征。
比如我们把某一用户加入到root用户组,那么这个用户就可以浏览root用户家目录的文件,如果root用户把某个文件的读写执行权限开放,root用户组的所有用户都可以修改此文件,如果是可执行的文件(比如脚本),root用户组的用户也是可以执行的;
用户组的特性在系统管理中为系统管理员提供了极大的方便,但安全性也是值得关注的,如某个用户下有对系统管理有最重要的内容,最好让用户拥有独立的用户组,或者是把用户下的文件的权限设置为完全私有;另外root用户组一般不要轻易把普通用户加入进去,
2、/etc/group内容具体分析
/etc/group的内容包括用户组(Group)、用户组口令、GID及该用户组所包含的用户(User),每个用户组一条记录;格式如下:
group_name:
passwd:
GID:
user_list
在/etc/group中的每条记录分四个字段:
第一字段:
用户组名称;
第二字段:
用户组密码;
第三字段:
GID
第四字段:
用户列表,每个用户之间用,号分割;本字段可以为空;如果字段为空表示用户组为GID的用户名;
我们举个例子:
root:
x:
0:
root,linuxsir注:
用户组root,x是密码段,表示没有设置密码,GID是0,root用户组下包括root、linuxsir以及GID为0的其它用户(可以通过/etc/passwd查看);;
beinan:
x:
500:
linuxsir注:
用户组beinan,x是密码段,表示没有设置密码,GID是500,beinan用户组下包括linuxsir用户及GID为500的用户(可以通过/etc/passwd查看);
linuxsir:
x:
502:
linuxsir注:
用户组linuxsir,x是密码段,表示没有设置密码,GID是502,linuxsir用户组下包用户linuxsir及GID为502的用户(可以通过/etc/passwd查看);
helloer:
x:
503:
注:
用户组helloer,x是密码段,表示没有设置密码,GID是503,helloer用户组下包括GID为503的用户,可以通过/etc/passwd查看;
而/etc/passwd对应的相关的记录为:
root:
x:
0:
0:
root:
/root:
/bin/bash
beinan:
x:
500:
500:
beinansun:
/home/beinan:
/bin/bash
linuxsir:
x:
505:
502:
linuxsiropen,linuxsiroffice,13898667715:
/home/linuxsir:
/bin/bash
helloer:
x:
502:
503:
:
/home/helloer:
/bin/bash
由此可以看出helloer用户组包括helloer用户;所以我们查看一个用户组所拥有的用户,可以通过对比/etc/passwd和/etc/group来得到;
2、关于GID;
GID和UID类似,是一个正整数或0,GID从0开始,GID为0的组让系统付予给root用户组;系统会预留一些较靠前的GID给系统虚拟用户(也被称为伪装用户)之用;每个系统预留的GID都有所不同,比如Fedora预留了500个,我们添加新用户组时,用户组是从500开始的;而Slackware是把前100个GID预留,新添加的用户组是从100开始;查看系统添加用户组默认的GID范围应该查看/etc/login.defs中的GID_MIN和GID_MAX值;
我们可以对照/etc/passwd和/etc/group两个文件;我们会发现有默认用户组之说;我们在/etc/passwd中的每条用户记录会发现用户默认的GID;在/etc/group中,我们也会发现每个用户组下有多少个用户;在创建目录和文件时,会使用默认的用户组;我们还是举个例子;
比如我把linuxsir加为root用户组,在/etc/passwd和/etc/group中的记录相关记录为:
linuxsir用户在/etc/passwd中的记录;我们在这条记录中看到,linuxsir用户默认的GID为502;而502的GID在/etc/group中查到是linuxsir用户组;
linuxsir:
x:
505:
502:
linuxsiropen,linuxsiroffice,13898667715:
/home/linuxsir:
/bin/bash
linuxsir用户在/etc/group中的相关记录;在这里,我们看到linuxsir用户组的GID为502,而linuxsir用户归属为root、beinan用户组;
root:
x:
0:
root,linuxsir
beinan:
x:
500:
linuxsir
linuxsir:
x:
502:
linuxsir
我们用linuxsir来创建一个目录,以观察linuxsir用户创建目录的权限归属;
[linuxsir@localhost~]$mkdirtestdir
[linuxsir@localhost~]$ls-lh
总用量4.0K
drwxrwxr-x2linuxsirlinuxsir4.0K10月1711:
42testdir
通过我们用linuxsir来创建目录时发现,testdir的权限归属仍然是linuxsir用户和linuxsir用户组的;而没有归属root和beinan用户组,明白了吧;
但值得注意的是,判断用户的访问权限时,默认的GID并不是最重要的,只要一个目录让同组用户可以访问的权限,那么同组用户就可以拥有该目录的访问权,在这时用户的默认GID并不是最重要的;
3、/etc/gshadow解说;
/etc/gshadow是/etc/group的加密资讯文件,比如用户组(Group)管理密码就是存放在这个文件。
/etc/gshadow和/etc/group是互补的两个文件;对于大型服务器,针对很多用户和组,定制一些关系结构比较复杂的权限模型,设置用户组密码是极有必要的。
比如我们不想让一些非用户组成员永久拥有用户组的权限和特性,这时我们可以通过密码验证的方式来让某些用户临时拥有一些用户组特性,这时就要用到用户组密码;
/etc/gshadow格式如下,每个用户组独占一行;
groupname:
password:
admin,admin,...:
member,member,...
第一字段:
用户组
第二字段:
用户组密码,这个段可以是空的或!
,如果是空的或有!
,表示没有密码;
第三字段:
用户组管理者,这个字段也可为空,如果有多个用户组管理者,用,号分割;
第四字段:
组成员,如果有多个成员,用,号分割;
举例:
beinan:
!
:
:
linuxsir
linuxsir:
oUS/q7NH75RhQ:
:
linuxsir
第一字段:
这个例子中,有两个用户组beinan用linuxsir
第二字段:
用户组的密码,beinan用户组无密码;linuxsir用户组有已经,已经加密;
第三字段:
用户组管理者,两者都为空;
第四字段:
beinan用户组所拥有的成员是linuxsir,然后还要对照一下/etc/group和/etc/passwd查看是否还有其它用户,一般默认添加的用户,有时同时也会创建用户组和用户名同名称;linuxsir用户组有成员linuxisir;
如何设置用户组的密码?
我们可以通过gpasswd来实现;不过一般的情况下,没有必要设置用户组的密码;不过自己实践一下也有必要;下面是一个为linuxsir用户组设置密码的例子;
gpasswd的用法:
gpasswd用户组
root@localhost~]#gpasswdlinuxsir
正在修改linuxsir组的密码
新密码:
请重新输入新密码:
用户组之间的切换,应该用newgrp,这个有点象用户之间切换的su;我先举个例子:
[beinan@localhost~]$newgrplinuxsir
密码:
[beinan@localhost~]$mkdirlingroup
[beinan@localhost~]$ls-ldlingroup/
drwxr-xr-x2beinanlinuxsir409610月1815:
56lingroup/
[beinan@localhost~]$newgrpbeinan
[beinan@localhost~]$mkdirbeinangrouptest
[beinan@localhost~]$ls-ldbeinangrouptest
drwxrwxr-x2beinanbeinan409610月1815:
56beinangrouptest
说明:
我是以beinan用户组切换到linuxsir用户组,并且建了一个目录,然后再切换回beinan用户组,又建了一个目录,请观察两个目录属用户组的不同;还是自己体会吧;
三、通过用户和用户组配置文件来查询或管理用户;
1、用户和用户组查询的方法;
1)通过查看用户(User)和用户组的配置文件的办法来查看用户信息
我们已经用户(User)和用户组(Group)的配置文件已经有个基本的了解,通过查看用户(User)和用户组的配置文件,我们就能做到对系统用户的了解,当然您也可以通过id或finger等工具来进行用户的查询等任务。
对于文件的查看,我们可以通过more或cat来查看,比如more/etc/passwd或cat/etc/passwd;其它工具也一样,能对文本查看就行,比如less也好
比如我们可以通过more、cat、less命令对/etc/passwd的查看,虽然命令不同,但达到的目的是一样的,都是得到/etc/passwd的内容;
[root@localhost~]#more/etc/passwd
[root@localhost~]#cat/etc/passwd
[root@localhost~]#less/etc/passwd
2)通过id和finger工具来获取用户信息;
除了直接查看用户(User)和用户组(Group)配置文件的办法除外,我们还有id和finger工具可用,我们一样通过命令行的操作,来完成对用户的查询;id和finger,是两个各有测重的工具,id工具更测重用户、用户所归属的用户组、UI
升级会员 