Linux系統是一個多使用者多任務的分時作業系統,任何一個要使用系統資源的使用者,都必須首先向系統管理者申請一個賬号,然後以這個賬号的身份進入系統。
使用者的賬号一方面可以幫助系統管理者對使用系統的使用者進行跟蹤,并控制他們對系統資源的通路;另一方面也可以幫助使用者組織檔案,并為使用者提供安全性保護。
每個使用者賬号都擁有一個唯一的使用者名和各自的密碼。
使用者在登入時鍵入正确的使用者名和密碼後,就能夠進入系統和自己的主目錄。
實作使用者賬号的管理,要完成的工作主要有如下幾個方面:
使用者賬号的添加、删除與修改。
使用者密碼的管理。
使用者組的管理。
使用者賬号的管理工作主要涉及到使用者賬号的添加、修改和删除。
添加使用者賬号就是在系統中建立一個新賬号,然後為新賬号配置設定使用者号、使用者組、主目錄和登入Shell等資源。剛添加的賬号是被鎖定的,無法使用。
參數說明:
選項:
-c comment 指定一段注釋性描述。
-d 目錄 指定使用者主目錄,如果此目錄不存在,則同時使用-m選項,可以建立主目錄。
-g 使用者組 指定使用者所屬的使用者組。
-G 使用者組,使用者組 指定使用者所屬的附加組。
-s Shell檔案 指定使用者的登入Shell。
-u 使用者号 指定使用者的使用者号,如果同時有-o選項,則可以重複使用其他使用者的辨別号。
使用者名:
指定新賬号的登入名。
此指令建立了一個使用者sam,其中-d和-m選項用來為登入名sam産生一個主目錄 /home/sam(/home為預設的使用者主目錄所在的父目錄)。
此指令建立了一個使用者gem,該使用者的登入Shell是 <code>/bin/sh</code>,它屬于group使用者組,同時又屬于adm和root使用者組,其中group使用者組是其主組。
這裡可能建立組:<code>#groupadd group及groupadd adm</code>
增加使用者賬号就是在/etc/passwd檔案中為新使用者增加一條記錄,同時更新其他系統檔案如/etc/shadow, /etc/group等。
Linux提供了內建的系統管理工具userconf,它可以用來對使用者賬号進行統一管理。
如果一個使用者的賬号不再使用,可以從系統中删除。删除使用者賬号就是要将/etc/passwd等系統檔案中的該使用者記錄删除,必要時還删除使用者的主目錄。
删除一個已有的使用者賬号使用<code>userdel</code>指令,其格式如下:
常用的選項是 -r,它的作用是把使用者的主目錄一起删除。
例如:
此指令删除使用者sam在系統檔案中(主要是/etc/passwd, /etc/shadow, /etc/group等)的記錄,同時删除使用者的主目錄。
修改使用者賬号就是根據實際情況更改使用者的有關屬性,如使用者号、主目錄、使用者組、登入Shell等。
修改已有使用者的資訊使用<code>usermod</code>指令,其格式如下:
常用的選項包括<code>-c, -d, -m, -g, -G, -s, -u以及-o等</code>,這些選項的意義與<code>useradd</code>指令中的選項一樣,可以為使用者指定新的資源值。
另外,有些系統可以使用選項:-l 新使用者名
這個選項指定一個新的賬号,即将原來的使用者名改為新的使用者名。
此指令将使用者sam的登入Shell修改為ksh,主目錄改為/home/z,使用者組改為developer。
使用者管理的一項重要内容是使用者密碼的管理。使用者賬号剛建立時沒有密碼,但是被系統鎖定,無法使用,必須為其指定密碼後才可以使用,即使是指定空密碼。
指定和修改使用者密碼的Shell指令是<code>passwd</code>。超級使用者可以為自己和其他使用者指定密碼,普通使用者隻能用它修改自己的密碼。指令的格式為:
可使用的選項:
-l 鎖定密碼,即禁用賬号。
-u 密碼解鎖。
-d 使賬号無密碼。
-f 強迫使用者下次登入時修改密碼。
如果預設使用者名,則修改目前使用者的密碼。
例如,假設目前使用者是sam,則下面的指令修改該使用者自己的密碼:
如果是超級使用者,可以用下列形式指定任何使用者的密碼:
普通使用者修改自己的密碼時,passwd指令會先詢問原密碼,驗證後再要求使用者輸入兩遍新密碼,如果兩次輸入的密碼一緻,則将這個密碼指定給使用者;而超級使用者為使用者指定密碼時,就不需要知道原密碼。
為了系統安全起見,使用者應該選擇比較複雜的密碼,例如最好使用8位長的密碼,密碼中包含有大寫、小寫字母和數字,并且應該與姓名、生日等不相同。
為使用者指定空密碼時,執行下列形式的指令:
此指令将使用者 sam 的密碼删除,這樣使用者 sam 下一次登入時,系統就不再允許該使用者登入了。
passwd 指令還可以用 -l(lock) 選項鎖定某一使用者,使其不能登入,例如:
每個使用者都有一個使用者組,系統可以對一個使用者組中的所有使用者進行集中管理。不同Linux 系統對使用者組的規定有所不同,如Linux下的使用者屬于與它同名的使用者組,這個使用者組在建立使用者時同時建立。
使用者組的管理涉及使用者組的添加、删除和修改。組的增加、删除和修改實際上就是對/etc/group檔案的更新。
可以使用的選項有:
-g GID 指定新使用者組的組辨別号(GID)。
-o 一般與-g選項同時使用,表示新使用者組的GID可以與系統已有使用者組的GID相同。
此指令向系統中增加了一個新組group1,新組的組辨別号是在目前已有的最大組辨別号的基礎上加1。
此指令向系統中增加了一個新組group2,同時指定新組的組辨別号是101。
此指令從系統中删除組group1。
常用的選項有:
-g GID 為使用者組指定新的組辨別号。
-o 與-g選項同時使用,使用者組的新GID可以與系統已有使用者組的GID相同。
-n新使用者組 将使用者組的名字改為新名字
此指令将組group2的組辨別号修改為102。
此指令将組group2的辨別号改為10000,組名修改為group3。
使用者可以在登入後,使用指令newgrp切換到其他使用者組,這個指令的參數就是目的使用者組。例如:
這條指令将目前使用者切換到root使用者組,前提條件是root使用者組确實是該使用者的主組或附加組。類似于使用者賬号的管理,使用者組的管理也可以通過內建的系統管理工具來完成。
完成使用者管理的工作有許多種方法,但是每一種方法實際上都是對有關的系統檔案進行修改。
與使用者和使用者組相關的資訊都存放在一些系統檔案中,這些檔案包括/etc/passwd, /etc/shadow, /etc/group等。
下面分别介紹這些檔案的内容。
Linux系統中的每個使用者都在/etc/passwd檔案中有一個對應的記錄行,它記錄了這個使用者的一些基本屬性。
這個檔案對所有使用者都是可讀的。它的内容類似下面的例子:
從上面的例子我們可以看到,/etc/passwd中一行記錄對應着一個使用者,每行記錄又被冒号(:)分隔為7個字段,其格式和具體含義如下:
通常長度不超過8個字元,并且由大小寫字母和/或數字組成。登入名中不能有冒号(:),因為冒号在這裡是分隔符。
為了相容起見,登入名中最好不要包含點字元(.),并且不使用連字元(-)和加号(+)打頭。
雖然這個字段存放的隻是使用者密碼的加密串,不是明文,但是由于/etc/passwd檔案對所有使用者都可讀,是以這仍是一個安全隐患。是以,現在許多Linux 系統(如SVR4)都使用了shadow技術,把真正的加密後的使用者密碼字存放到/etc/shadow檔案中,而在/etc/passwd檔案的密碼字段中隻存放一個特殊的字元,例如“x”或者“*”。
一般情況下它與使用者名是一一對應的。如果幾個使用者名對應的使用者辨別号是一樣的,系統内部将把它們視為同一個使用者,但是它們可以有不同的密碼、不同的主目錄以及不同的登入Shell等。
通常使用者辨別号的取值範圍是0~65 535。0是超級使用者root的辨別号,1~99由系統保留,作為管理賬号,普通使用者的辨別号從100開始。在Linux系統中,這個界限是500。
它對應着/etc/group檔案中的一條記錄。
例如使用者的真實姓名、電話、位址等,這個字段并沒有什麼實際的用途。在不同的Linux 系統中,這個字段的格式并沒有統一。在許多Linux系統中,這個字段存放的是一段任意的注釋性描述文字,用做finger指令的輸出。
它是使用者在登入到系統之後所處的目錄。在大多數系統中,各使用者的主目錄都被組織在同一個特定的目錄下,而使用者主目錄的名稱就是該使用者的登入名。各使用者對自己的主目錄有讀、寫、執行(搜尋)權限,其他使用者對此目錄的通路權限則根據具體情況設定。
Shell是使用者與Linux系統之間的接口。Linux的Shell有許多種,每種都有不同的特點。常用的有sh(Bourne Shell), csh(C Shell), ksh(Korn Shell), tcsh(TENEX/TOPS-20 type C Shell), bash(Bourne Again Shell)等。
系統管理者可以根據系統情況和使用者習慣為使用者指定某個Shell。如果不指定Shell,那麼系統使用sh為預設的登入Shell,即這個字段的值為/bin/sh。
使用者的登入Shell也可以指定為某個特定的程式(此程式不是一個指令解釋器)。
利用這一特點,我們可以限制使用者隻能運作指定的應用程式,在該應用程式運作結束後,使用者就自動退出了系統。有些Linux 系統要求隻有那些在系統中登記了的程式才能出現在這個字段中。
這些使用者在/etc/passwd檔案中也占有一條記錄,但是不能登入,因為它們的登入Shell為空。它們的存在主要是友善系統管理,滿足相應的系統程序對檔案屬主的要求。
常見的僞使用者如下所示:
1、除了上面列出的僞使用者外,還有許多标準的僞使用者,例如:audit, cron, mail, usenet等,它們也都各自為相關的程序和檔案所需要。
由于/etc/passwd檔案是所有使用者都可讀的,如果使用者的密碼太簡單或規律比較明顯的話,一台普通的計算機就能夠很容易地将它破解,是以對安全性要求較高的Linux系統都把加密後的密碼字分離出來,單獨存放在一個檔案中,這個檔案是/etc/shadow檔案。
有超級使用者才擁有該檔案讀權限,這就保證了使用者密碼的安全性。
2、/etc/shadow中的記錄行與/etc/passwd中的一一對應,它由pwconv指令根據/etc/passwd中的資料自動産生
它的檔案格式與/etc/passwd類似,由若幹個字段組成,字段之間用":"隔開。這些字段是:
"登入名"是與/etc/passwd檔案中的登入名相一緻的使用者賬号
"密碼"字段存放的是加密後的使用者密碼字,長度為13個字元。如果為空,則對應使用者沒有密碼,登入時不需要密碼;如果含有不屬于集合 { ./0-9A-Za-z }中的字元,則對應的使用者不能登入。
"最後一次修改時間"表示的是從某個時刻起,到使用者最後一次修改密碼時的天數。時間起點對不同的系統可能不一樣。例如在SCO Linux 中,這個時間起點是1970年1月1日。
"最小時間間隔"指的是兩次修改密碼之間所需的最小天數。
"最大時間間隔"指的是密碼保持有效的最大天數。
"警告時間"字段表示的是從系統開始警告使用者到使用者密碼正式失效之間的天數。
"不活動時間"表示的是使用者沒有登入活動但賬号仍能保持有效的最大天數。
"失效時間"字段給出的是一個絕對的天數,如果使用了這個字段,那麼就給出相應賬号的生存期。期滿後,該賬号就不再是一個合法的賬号,也就不能再用來登入了。
下面是/etc/shadow的一個例子:
将使用者分組是Linux 系統中對使用者進行管理及控制通路權限的一種手段。
每個使用者都屬于某個使用者組;一個組中可以有多個使用者,一個使用者也可以屬于不同的組。
當一個使用者同時是多個組中的成員時,在/etc/passwd檔案中記錄的是使用者所屬的主組,也就是登入時所屬的預設組,而其他組稱為附加組。
使用者要通路屬于附加組的檔案時,必須首先使用newgrp指令使自己成為所要通路的組中的成員。
使用者組的所有資訊都存放在/etc/group檔案中。此檔案的格式也類似于/etc/passwd檔案,由冒号(:)隔開若幹個字段,這些字段有:
"組名"是使用者組的名稱,由字母或數字構成。與/etc/passwd中的登入名一樣,組名不應重複。
"密碼"字段存放的是使用者組加密後的密碼字。一般Linux 系統的使用者組都沒有密碼,即這個字段一般為空,或者是*。
"組辨別号"與使用者辨別号類似,也是一個整數,被系統内部用來辨別組。
"組内使用者清單"是屬于這個組的所有使用者的清單,不同使用者之間用逗号(,)分隔。這個使用者組可能是使用者的主組,也可能是附加組。
/etc/group檔案的一個例子如下:
添加和删除使用者對每位Linux系統管理者都是輕而易舉的事,比較棘手的是如果要添加幾十個、上百個甚至上千個使用者時,我們不太可能還使用useradd一個一個地添加,必然要找一種簡便的建立大量使用者的方法。Linux系統提供了建立大量使用者的工具,可以讓您立即建立大量使用者,方法如下:
每一列按照<code>/etc/passwd</code>密碼檔案的格式書寫,要注意每個使用者的使用者名、UID、宿主目錄都不可以相同,其中密碼欄可以留做空白或輸入x号。一個範例檔案user.txt内容如下:
然後可以執行指令 <code>vipw</code> 或 <code>vi /etc/passwd</code> 檢查 <code>/etc/passwd</code> 檔案是否已經出現這些使用者的資料,并且使用者的宿主目錄是否已經建立。
将 <code>/etc/shadow</code> 産生的 <code>shadow</code> 密碼解碼,然後回寫到 <code>/etc/passwd</code> 中,并将<code>/etc/shadow</code>的<code>shadow</code>密碼欄删掉。這是為了友善下一步的密碼轉換工作,即先取消 <code>shadow password</code> 功能。
格式為:
執行個體檔案 <code>passwd.txt</code> 内容如下:
建立使用者密碼,<code>chpasswd</code> 會将經過 <code>/usr/bin/passwd</code> 指令編碼過的密碼寫入 <code>/etc/passwd</code> 的密碼欄。
執行指令 <code>/usr/sbin/pwconv</code> 将密碼編碼為 <code>shadow password</code>,并将結果寫入 <code>/etc/shadow</code>。
這樣就完成了大量使用者的建立了,之後您可以到/home下檢查這些使用者宿主目錄的權限設定是否都正确,并登入驗證使用者密碼是否正确。