Linux帐号管理与ACL权限设定

《Linux帐号管理与ACL权限设定》由会员分享，可在线阅读，更多相关《Linux帐号管理与ACL权限设定（7页珍藏版）》请在金锄头文库上搜索。

1、Linux 帳號管理與 ACL 權限設定/etc/passwd 檔案結構這個檔案的構造是這樣的：每一行都代表一個帳號，有幾行就代表有幾個帳號在你的系統中！ 不過需要特別留意的是，裡頭很多帳號本來就是系統正常運作所必須要的，我們可以簡稱他為系統帳號， 例如 bin, daemon, adm, nobody 等等，這些帳號請不要隨意的殺掉他呢！ 這個檔案的內容有點像這樣：rootwww # head -n 4 /etc/passwdroot:x:0:0:root:/root:/bin/bash =等一下做為底下說明用bin:x:1:1:bin:/bin:/sbin/nologindaemon:x:

2、2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologin我們先來看一下每個 Linux 系統都會有的第一行，就是 root 這個系統管理員那一行好了， 你可以明顯的看出來，每一行使用:分隔開，共有七個咚咚，分別是：1. 帳號名稱：就是帳號啦！用來對應 UID 的。例如 root 的 UID 對應就是 0 (第三欄位)；2. 密碼：早期 Unix 系統的密碼就是放在這欄位上！但是因為這個檔案的特性是所有的程序都能夠讀取，這樣一來很容易造成密碼資料被竊取， 因此後來就將這個欄位的密碼資料給他改放到 /etc/shadow

3、中了。所以這裡你會看到一個 x ，呵呵！3. UID：這個就是使用者識別碼囉！通常 Linux 對於 UID 有幾個限制需要說給您瞭解一下：id 範圍 該 ID 使用者特性0(系統管理員)當 UID 是 0 時，代表這個帳號是系統管理員！ 所以當你要讓其他的帳號名稱也具有 root 的權限時，將該帳號的 UID 改為 0 即可。 這也就是說，一部系統上面的系統管理員不見得只有 root 喔！ 不過，很不建議有多個帳號的 UID 是 0 啦1499(系統帳號)保留給系統使用的 ID，其實除了 0 之外，其他的 UID 權限與特性並沒有不一樣。預設 500 以下的數字讓給系統作為保留帳號只是一個習

4、慣。由於系統上面啟動的服務希望使用較小的權限去運作，因此不希望使用 root 的身份去執行這些服務， 所以我們就得要提供這些運作中程式的擁有者帳號才行。這些系統帳號通常是不可登入的， 所以才會有我們在第十一章提到的 /sbin/nologin 這個特殊的 shell 存在。根據系統帳號的由來，通常系統帳號又約略被區分為兩種：199：由 distributions 自行建立的系統帳號；100499：若使用者有系統帳號需求時，可以使用的帳號 UID。50065535(可登入帳號)給一般使用者用的。事實上，目前的 linux 核心 (2.6.x 版)已經可以支援到 4294967295 (232-1

5、) 這麼大的 UID 號碼喔！4.上面這樣說明可以瞭解了嗎？是的， UID 為 0 的時候，就是 root 呦！所以請特別留意一下你的 /etc/passwd 檔案！5. GID：這個與 /etc/group 有關！其實 /etc/group 的觀念與 /etc/passwd 差不多，只是他是用來規範群組名稱與 GID 的對應而已！6. 使用者資訊說明欄：這個欄位基本上並沒有什麼重要用途，只是用來解釋這個帳號的意義而已！不過，如果您提供使用 finger 的功能時， 這個欄位可以提供很多的訊息呢！本章後面的 chfn 指令會來解釋這裡的說明。7. 家目錄：這是使用者的家目錄，以上面為例， ro

6、ot 的家目錄在 /root ，所以當 root 登入之後，就會立刻跑到 /root 目錄裡頭啦！呵呵！ 如果你有個帳號的使用空間特別的大，你想要將該帳號的家目錄移動到其他的硬碟去該怎麼作？ 沒有錯！可以在這個欄位進行修改呦！預設的使用者家目錄在 /home/yourIDname8. Shell：我們在 第十一章 BASH 提到很多次，當使用者登入系統後就會取得一個 Shell 來與系統的核心溝通以進行使用者的操作任務。那為何預設 shell 會使用 bash 呢？就是在這個欄位指定的囉！ 這裡比較需要注意的是，有一個 shell 可以用來替代成讓帳號無法取得 shell 環境的登入動作！那就

7、是 /sbin/nologin 這個東西！這也可以用來製作純 pop 郵件帳號者的資料呢！/etc/shadow 檔案結構我們知道很多程式的運作都與權限有關，而權限與 UID/GID 有關！因此各程式當然需要讀取 /etc/passwd 來瞭解不同帳號的權限。 因此 /etc/passwd 的權限需設定為 -rw-r-r- 這樣的情況， 雖然早期的密碼也有加密過，但卻放置到 /etc/passwd 的第二個欄位上！這樣一來很容易被有心人士所竊取的， 加密過的密碼也能夠透過暴力破解法去 try and error (試誤) 找出來！因為這樣的關係，所以後來發展出將密碼移動到 /etc/shado

8、w 這個檔案分隔開來的技術， 而且還加入很多的密碼限制參數在 /etc/shadow 裡頭呢！在這裡，我們先來瞭解一下這個檔案的構造吧！ 鳥哥的 /etc/shadow 檔案有點像這樣：rootwww # head -n 4 /etc/shadowroot:$1$/30QpE5e$y9N/D0bh6rAACBEz.hqo00:14126:0:99999:7: =底下說明用bin:*:14126:0:99999:7:daemon:*:14126:0:99999:7:adm:*:14126:0:99999:7:账号：密码：最近更改密码日期：密码不可以改动天数：重新改密码的天数：密码需要修改多少前天

9、提醒：密码过期后宽限的天数：密码过期：保留1. 帳號名稱：由於密碼也需要與帳號對應啊因此，這個檔案的第一欄就是帳號，必須要與 /etc/passwd 相同才行！2. 密碼：這個欄位內的資料才是真正的密碼，而且是經過編碼的密碼 (加密) 啦！ 你只會看到有一些特殊符號的字母就是了！需要特別留意的是，雖然這些加密過的密碼很難被解出來， 但是很難不等於 不會 ，所以，這個檔案的預設權限是-rw-或者是-r- ，亦即只有 root 才可以讀寫就是了！你得隨時注意，不要不小心更動了這個檔案的權限呢！另外，由於各種密碼編碼的技術不一樣，因此不同的編碼系統會造成這個欄位的長度不相同。 舉例來說，舊式的 DE

10、S 編碼系統產生的密碼長度就與目前慣用的 MD5 不同( 註 2)！MD5 的密碼長度明顯的比較長些。由於固定的編碼系統產生的密碼長度必須一致，因此當你讓這個欄位的長度改變後，該密碼就會失效(算不出來) 。 很多軟體透過這個功能，在此欄位前加上 ! 或 * 改變密碼欄位長度，就會讓密碼暫時失效了。3. 最近更動密碼的日期：這個欄位記錄了更動密碼那一天的日期（自动记录的） ，不過，很奇怪呀！在我的例子中怎麼會是 14126 呢？呵呵，這個是因為計算 Linux 日期的時間是以 1970 年 1 月 1 日作為 1 而累加的日期，1971 年 1 月 1 日則為 366 啦！ 得注意一下這個資料呦

11、！上述的 14126 指的就是 2008-09-04 那一天啦！瞭解乎？ 而想要瞭解該日期可以使用本章後面 chage 指令的幫忙！至於想要知道某個日期的累積日數， 可使用如下的程式計算：rootwww # echo $($(date -date=2008/09/04 +%s)/86400+1)14126上述指令中，2008/09/04 為你想要計算的日期（你本机的 date 时间） ，86400 為每一天的秒數， %s 為 1970/01/01 以來的累積總秒數。 由於 bash 僅支援整數，因此最終需要加上 1 補齊 1970/01/01 當天。4. 密碼不可被更動的天數：(與第 3 欄位

12、相比)（从最近密码修改的时间起，多少天内不能够修改密码）第四個欄位記錄了：這個帳號的密碼在最近一次被更改後需要經過幾天才可以再被變更（在前一次修改密码后多少天里不能够修改，如果是 0 的話， 表示密碼隨時可以更動的意思。 ）這的限制是為了怕密碼被某些人一改再改而設計的！如果設定為 20 天的話，那麼當你設定了密碼之後， 20 天之內都無法改變這個密碼呦！5. 密碼需要重新變更的天數：(與第 3 欄位相比)（从最近修改密码多少天内需要重新修改密码）經常變更密碼是個好習慣！為了強制要求使用者變更密碼，這個欄位可以指定在最近一次更改密碼後， 在多少天數內需要再次的變更密碼才行。你必須要在這個天數內重

13、新設定你的密碼，否則這個帳號的密碼將會變為過期特性 。 而如果像上面的 99999 (計算為 273 年) 的話，那就表示，呵呵，密碼的變更沒有強制性之意。6. 密碼需要變更期限前的警告天數：(與第 5 欄位相比)（密码到期前多少天内，如果用户登录账号，则提醒用户修改密码，如上面的例子，則是密碼到期之前的 7 天之內，系統會警告該用戶。 ）當帳號的密碼有效期限快要到的時候 (第 5 欄位)，系統會依據這個欄位的設定，發出警告言論給這個帳號，提醒他再過 n 天你的密碼就要過期了，請盡快重新設定你的密碼呦！ 。7. 密碼過期後的帳號寬限時間(密碼失效日) ：(與第 5 欄位相比)（密码到期后没有修

14、改，宽限的天数，这个情况是在到期提醒这些天都没登入系统的情况，如果宽限的这几天也没登录，密码就过期了）密碼有效日期為更新日期(第 3 欄位)+重新變更日期(第 5 欄位) ，過了該期限後使用者依舊沒有更新密碼，那該密碼就算過期了。 雖然密碼過期但是該帳號還是可以用來進行其他工作的，包括登入系統取得 bash 。不過如果密碼過期了， 那當你登入系統時，系統會強制要求你必須要重新設定密碼才能登入繼續使用喔，這就是密碼過期特性。那這個欄位的功能是什麼呢？是在密碼過期幾天後，如果使用者還是沒有登入更改密碼，那麼這個帳號的密碼將會失效 ， 亦即該帳號再也無法使用該密碼登入了。要注意密碼過期與密碼失效並不

15、相同。8. 帳號失效日期：（账号不可用了，无论是密码是否过期）這個日期跟第三個欄位一樣，都是使用 1970 年以來的總日數設定。這個欄位表示： 這個帳號在此欄位規定的日期之後，將無法再使用。 就是所謂的帳號失效 ，此時不論你的密碼是否有過期，這個帳號都不能再被使用！ 這個欄位會被使用通常應該是在收費服務的系統中，你可以規定一個日期讓該帳號不能再使用啦！9. 保留：最後一個欄位是保留的，看以後有沒有新功能加入。例子：舉個例子來說好了，假如我的 dmtsai 這個使用者的密碼欄如下所示：dmtsai:$1$vyUuj.eX$omt6lKJvMcIZHx4H7RI1V.:14299:5:60:7:5

16、:14419:這表示什麼呢？先要注意的是 14299 是 2009/02/24（1970 年 1 月 1 日作為 1 而累加的日期） 。所以 dmtsai 這個使用者的密碼相關意義是： 由於密碼幾乎僅能單向運算(由明碼計算成為密碼，無法由密碼反推回明碼)，因此由上表的資料我們無法得知 dmstai 的實際密碼明文； 此帳號最近一次更動密碼的日期是 2009/02/24 (14299)； 能夠再次修改密碼的時間是 5 天以後，也就是 2009/03/01 以前 dmtsai 不能修改自己的密碼；如果使用者還是嘗試要更動自己的密碼，系統就會出現這樣的訊息：You must wait longer to change your passwordpasswd: Authentication token manipulation error畫面中告訴