《Linux帐号与用户管理》由会员分享,可在线阅读,更多相关《Linux帐号与用户管理(5页珍藏版)》请在金锄头文库上搜索。
1、64Linux 帳號與身份管理使用者的 ID 與群組的 ID :Linux 並不接認識帳號名稱,他認識的是帳號 ID - 代表你身份的號碼!而對應的號碼與帳號,則是記錄在 /etc/passwd 當中!登入 Linux 主機. 當我們登入主機時,系統會出現一個 login 的畫面讓你輸入帳號,這個時候當你輸入帳號與密碼之後, Linux 會: 1. 先找尋 /etc/passwd 裡面是否有這個帳號?如果沒有則跳出,如果有的話則將該帳號對應的 UID ( User ID )與 GID ( Group ID )讀出來,另外,該帳號的家目錄與 shell 設定也一併讀出;2. 再來則是核對密碼表啦
2、!這時 Linux 會進入 /etc/shadow 裡面找出對應的帳號與 UID,然後核對一下你剛剛輸入的密碼與裡頭的密碼是否相符?3. 如果一切都 OK 的話,就進入 Shell 控管的階段!所以,如果你要備份 Linux 的系統的帳號的話,那麼這兩個檔案就一定需要備份! 認識 UID、GID、SUID 與 SGID:檔案如何判別他的擁有者與群組呢?其實就是利用 UID 與 GID !每一個檔案都會有所謂的擁有者 ID 與擁有群組 ID ,亦即是 UID 與 GID ,然後系統會依據 /etc/passwd 的內容,去將該檔案的擁有者與群組名稱,使用帳號的形式來秀出來!認識 /etc/pas
3、swd 檔案與 /etc/shadow 檔案:passwd 的構造:每一行都代表一個帳號!需要特別留意的是,裡頭很多帳號本來就是系統中必須要的(例如 bin, daemon, adm, nobody 等等),請不要隨意的殺掉他?; 每一行使用:分隔開,共有七個咚咚,分別是 1. 帳號名稱:就是帳號名稱啦!對應 UID 用的!例如 root 就是預設的系統管理員的帳號名稱;2. 密碼:早期的 Unix 系統的密碼是放在這個檔案中的,不過由於這樣一來很容易造成資料的被竊取,所以後來就將資料給他改放到 /etc/shadow 中了,這一部份等一下再說,而這裡你會看到一個 x !別擔心密碼已經被移動到
4、 shadow 這個加密過後的檔案囉;3. UID:這個就是使用者識別碼(ID)囉!通常 Linux 對於 UID 有幾個限制需要說給您瞭解一下:0 系統管理員,所以當你要作另一個系統管理員帳號時,你可以將該帳號的 UID 改成 0 即可;1500 保留給系統使用的 ID,其實 165534 之間的帳號並沒有不同,也就是除了 0 之外,其他的 UID 並沒有不一樣,預設 500 以下給系統作為保留帳號只是一個習慣。這樣的好處是,以 named 為例,這個程式的預設所有人 named 的帳號 UID 是 25 ,當有其他的帳號同樣是 25 時,很可能會造成系統的一些小問題!為了杜絕這樣的問題,建
5、議保留 500 以前的 UID 給系統吧!50065535 給一般使用者用的!4. GID:這個與 /etc/group 有關!其實 /etc/group 的觀念與 /etc/passwd 差不多,只是他是用來規範 group 的而已!說明:這個欄位基本上並沒有什麼用途,只是用來解釋這個帳號的意義而已!不過,如果您提供使用 finger 的功能時,這個欄位可以提供很多的訊息呢!底下的 chfn 可以解釋一下囉!5. 家目錄:這是使用者的家目錄!如果你有個帳號的使用空間特別的大,你想要將該帳號的家目錄移動到其他的硬碟去!可以在這裡進行修改呦!預設的使用者家目錄在 /home/yourIDname
6、 6. Shell :我們通常使用 /bin/bash 這個 shell 來進行指令的下達!需要注意的是,有一個 shell 可以用來替代成讓帳號無法登入的指令!那就是 /bin/false 這個東西!這也可以用來製作純 pop 郵件帳號者的資料呢!shadow 的構造:65說明如下: 1. 帳號名稱:這個跟 passwd 需要對應!也就是跟 passwd 相同的意思啦!2. 密碼:這個才是真正的密碼,而且是經過編碼過的密碼!如果在密碼欄的第一個字元為 * 表示這個帳號並不會被用來登入的意思。注意事項:密碼忘記或者被更動了?只要你能夠以軟碟開機,進入單人維護系統,那麼就可以不用輸入密碼來以 r
7、oot 的身份登入(通常就是在 boot: 時輸入 linux single 就是了!)然後進入 /etc/shadow 這個檔案中,將 root 的密碼這一欄全部清空!然後再登入 Linux 一次,這個時候 root 將不需要密碼(有的時候需要輸入空白字元)就可以登入了!這個時候請趕快以 passwd 設定 root 密碼即可! 3. 上次更動密碼的日期:計算 Linux 日期的時間是以 1970 年 1 月 1 日作為 1 ,而 1971 年 1 月 1 日則為 366 啦!所以這個日期是累加的!得注意一下這個資料呦!那麼最近的 2002 年 1 月 1 日就是 11689 啦,瞭解了嗎?
8、4. 密碼不可被更動的天數:第四個欄位記錄了這個帳號的密碼需要經過幾天才可以被變更!如果是 0 的話,表示密碼隨時可以更動的意思。這的限制是為了怕密碼被某些人一改再改而設計的!如果設定為 20 天的話,那麼當你設定了密碼之後, 20 天之內都無法改變這個密碼呦!5. 密碼需要重新變更的天數:由於害怕密碼被某些有心人士竊取而危害到整個系統的安全,所以有了這個欄位的設計。你必須要在這個時間之內重新設定你的密碼,否則這個帳號將會暫時失效。而如果像上面的 99999 的話,那就表示,呵呵,密碼不需要重新輸入啦!6. 密碼需要變更期限前的警告期限:當帳號的密碼失效期限快要到的時候,系統會依據這個欄位的設
9、定,發出警告言論給這個帳號,提醒他再過 n 天你的密碼就要失效了,請盡快重新設定你的密碼呦!,如上面的例子,則是密碼到期之前的 7 天之內,系統會警告該用戶。7. 帳號失效期限:如果用戶過了警告期限沒有重新輸入密碼,使得密碼失效了,而該用戶在這個欄位限定的時間內又沒有跟 root 反應,讓帳號重新啟用,那麼這個帳號將暫時的失效!8. 帳號取消日期:這個日期跟第三個欄位一樣,都是使用 1970 年以來的日期設定。這個欄位表示:這個帳號在此欄位規定的日期之後,將無法再使用。這個欄位會被使用通常應該是在收費服務的系統中,你可以規定一個日期讓該帳號不能再使用啦!9. 保留:最後一個欄位是保留的,看以後
10、有沒有新功能加入。這個 /etc/shadow 是很重要的資料,千萬不能遺失也不能被 root 以外的人看到或修改!尤其是密碼欄,因為很早之前就已經發明了暴力計算密碼的程式,如果你的密碼被看過了,則別人可以利用該程式去演算出你的真實密碼,呵呵,到時候可就傷腦筋了!切記切記!認識 /etc/group 與 /etc/gshadow 檔案:認識帳號與密碼是使用 /etc/passwd 與 /etc/shadow ,認識 group 就是 /etc/group 與 /etc/gshadow ! 認識 /etc/group : 這個檔案可以讓你直接將帳號所要支援的群組加進來!例如你有一個帳號名稱為 m
11、yaccount ,你想要讓這個帳號可以支援 root 這個群組,則你可以直接在 /etc/group 裡面加入./etc/Group 內容說明如下:1. 群組名稱:就是群組名稱啦!2. 群組密碼:通常不需要設定,因為我們很少使用到群組登入!不過,同樣的,密碼也是被紀錄在 /etc/gshadow 當中囉!3. 群組 ID:就是所謂的 GID 啦!4. 支援的帳號名稱:這個群組裡面的所有的帳號,如上面所言,如果你想要讓 mysccount 也屬於 root 這個群組的話,那麼就將上面的第一行最後面加上 ,myaccount (不要有空格)使成為root:x:0:root,myaccount就可
12、以啦。66/etc/gshadow 的構造: bin:root,bin,daemon , 一般來說,group password 是用來讓那些不在 group 中的成員,臨時加入 group 用的,有興趣的話可以使用 man newgrp 瞭解一下他的用法!不過,因為牽涉到 密碼,不好管理,因此很少用。真想讓對方加入,不如將對方加入該群組,用密碼反而不方便。增加使用者的一般步驟:新增使用者的時候,如果該使用者所屬的群組不存在,則得(1)先新增群組;然後(2)再新增使用者帳號。當然,如果要刪除群組時,則必須要反過來,先刪除使用者才能刪除群組!groupadd語法: root test /root
13、 # groupadd -g GID groupname 參數說明: -g GID :自行設定 GID 的大小 範例: root test /root# groupadd -g 55 testing=設定一個群組,GID 為 55 說明: 這個指令會增加群組!作用到的檔案只有/etc/group 與 /etc/gshadow這兩個檔案,你也可以直接修改這兩個檔案就好了,根本不需要使用到這個指令的!使用 vi 修改上面兩個檔案還比較簡單呢!另外,如果你要新增的使用者所要的群組並不存在於系統中,那麼您在增加使用者帳號之前,就必須要先新增群組囉!groupdel語法: root test /root
14、 # groupdel groupname 參數說明: 範例: root test /root# groupdel testing說明: 這很簡單的,就是將 group ID 給他殺掉去!不過,有一點必須要特別留意,就是在殺掉群組之前,請先將該群組的 primary 使用者刪除!才好!useradd語法: root test /root # useradd -u UID -g GID -d HOME -mM -s shell username 參數說明: -u :直接給予一個 UID -g :直接給予一個 GID (此 GID 必須已經存在於 /etc/group 當中) -d :直接將他的家
15、目錄指向已經存在的目錄(系統不會再建立) -M :不建立家目錄 -s :定義其使用的 shell 範例: root test /root# useradd testing =直接以預設的資料建立一個名為 testing 的帳號 root test /root# useradd -u 720 -g 100 -M -s /bin/bash testing =以自己的設定建立帳號67說明: 這個指令能夠變更的檔案可多了!包括了底下的各個檔案: /etc/passwd ; /etc/shadow ; /etc/group ; /etc/gshadow ; /etc/skel ; /etc/default/useradd ; /etc/login.defs建立預設的帳號: 基本設定在 /etc/login.defs 與 /etc/default/useradd 這兩個檔案中!在 login.defs 裡頭有點像底下這樣: MAIL_DIR /var/spool/mail =郵件預設目錄擺放處 PASS_MAX_DAYS 99999 =密碼需要變更的時間 PASS_MIN_DAYS 0 =密碼多久需要變更 PASS_MIN_LEN 5 =密碼的最小長度(這個可以改大一些吧!) PASS_WARN_AGE 7 =密碼快要失效之前幾天發警告訊息? UID_MIN 500 =預設帳號最小起算的
