給linux系統添加一個帳號:
- useradd -g mysql -d /home/test -m test(:新建一個用戶test, 屬於mysql組,開始目錄是/home/test)
- root:x:0:0:root:/root:/bin/bash
- sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
- dovecot:x:97:97:dovecot:/usr/libexec/dovecot:/sbin/nologin
- webalizer:x:67:67:Webalizer:/var/www/usage:/sbin/nologin
- squid:x:23:23::/var/spool/squid:/sbin/nologin
- pcap:x:77:77::/var/arpwatch:/sbin/nologin
- haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
- xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
- hsqldb:x:96:96::/var/lib/hsqldb:/sbin/nologin
- gdm:x:42:42::/var/gdm:/sbin/nologin
- hzmc:x:500:500:hzmc:/home/hzmc:/bin/bash
- mysql:x:501:501::/home/mysql:/bin/bash
- chenhua:x:503:501::/home/chenhua:/bin/bash
- test:x:504:501::/home/test:/bin/bash
(1)用戶名:用於區分不同的用戶。在同一系統中註冊名是惟一的。在很多系統上,該字段被限制在8個字符(字母或數字)的長度之內;並且要注意,通常在Linux系統中對字母大小寫是敏感的。這與MSDOS/Windows是不一樣的。
(2)密碼(已經加密):系統用口令來驗證用戶的合法性。超級用戶root或某些高級用戶可以使用系統命令passwd來更改系統中所有用戶的口令,普通用戶也可以在登錄系統後使用passwd命令來更改自己的口令。現在的Unix/Linux系統中,口令不再直接保存在passwd文件中,通常將passwd文件中的口令字段使用一個“x”來代替,將/etc /shadow作爲真正的口令文件,用於保存包括個人口令在內的數據。當然shadow文件是不能被普通用戶讀取的,只有超級用戶纔有權讀取。
此外,需要注意的是,如果passwd字段中的第一個字符是“*”的話,那麼,就表示該賬號被查封了,系統不允許持有該賬號的用戶登錄。
(3)UID(用戶標識):UID是一個數值,是Linux系統中惟一的用戶標識,用於區別不同的用戶。在系統內部管理進程和文件保護時使用 UID字段。在Linux系統中,註冊名和UID都可以用於標識用戶,只不過對於系統來說UID更爲重要;而對於用戶來說註冊名使用起來更方便。在某些特 定目的下,系統中可以存在多個擁有不同註冊名、但UID相同的用戶,事實上,這些使用不同註冊名的用戶實際上是同一個用戶。
(4)GID組標識:這是當前用戶的缺省工作組標識。具有相似屬性的多個用戶可以被分配到同一個組內,每個組都有自己的組名,且以自己的組標 識號相區分。像UID一樣,用戶的組標識號也存放在passwd文件中。在現代的Unix/Linux中,每個用戶可以同時屬於多個組。除了在 passwd文件中指定其歸屬的基本組之外,還在/etc/group文件中指明一個組所包含用戶。
(5)用戶全名或本地帳號:包含有關用戶的一些信息,如用戶的真實姓名、辦公室地址、聯繫電話等。在Linux系統中,mail和finger等程序利用這些信息來標識系統的用戶。
(6)用戶主目錄(home_directory):該字段定義了個人用戶的主目錄,當用戶登錄後,他的Shell將把該目錄作爲用戶的工作目錄。 在Unix/Linux系統中,超級用戶root的工作目錄爲/root;而其它個人用戶在/home目錄下均有自己獨立的工作環境,系統在該目錄下爲每 個用戶配置了自己的主目錄。個人用戶的文件都放置在各自的主目錄下。
(7)登錄使用的Shell:就是對登錄命令進行解析的工具,Shell是當用戶登錄系統時運行的程序名稱,通常是一個Shell程序的全路徑名, 如/bin/bash(若爲空格則缺省爲/bin/sh)。
/etc/passwd文件的格式使系統管理員能要求用戶定期地改變他們的口令. 在口令文件中可以看到,有些加密後的口令有逗號,逗號後有幾個字符和一個 冒號.如:
- steve:xyDfccTrt180x,M.y8:0:0:admin:/:/bin/sh
- restrict:pomJk109Jky41,.1:0:0:admin:/:/bin/sh
- pat:xmotTVoyumjls:0:0:admin:/:/bin/sh
逗號後第一個字符是口令有效期的最大週數,第二個字符決定了用戶再次 修改口信之前,原口令應使用的最小週數(這就防止了用戶改了新口令後立刻 又改回成老口令).其餘字符表明口令最新修改時間.
要能讀懂口令中逗號後的信息,必須首先知道如何用passwd_esc計數,計 數的方法是:
.=0 /=1 0-9=2-11 A-Z=12-37 a-z=38-63
系統管理員必須將前兩個字符放進/etc/passwd文件,以要求用戶定期的 修改口令,另外兩個字符當用戶修改口令時,由passwd命令填入.
注意:若想讓用戶修改口令,可在最後一次口令被修改時,放兩個".",則下 一次用戶登錄時將被要求修改自己的口令.
有兩種特殊情況:
最大週數(第一個字符)小於最小週數(第二個字符),則不允許用戶修改 口令,僅超級用戶可以修改用戶的口令.
第一個字符和第二個字符都是".",這時用戶下次登錄時被要求修改口 令,修改口令後,passwd命令將"."刪除,此後再不會要求用戶修改口令.
/etc/passwd中UID信息很重要,系統使用UID而不是登錄名區別用戶.一般 來說,用戶的UID應當是獨一無二的,其他用戶不應當有相同的UID數值.根據慣 例,從0到99的UID保留用作系統用戶的UID(root,bin,uucp等).
如果在/etc/passwd文件中有兩個不同的入口項有相同的UID,則這兩個用 戶對相互的文件具有相同的存取權限.
/etc /group文件含有關於小組的信息,/etc/passwd中的每個GID在本文件中 應當有相應的入口項,入口項中列出了小組名和小組中的用戶.這樣可方便地了 解每個小組的用戶,否則必須根據GID在/etc/passwd文件中從頭至尾地尋找同組 用戶.
/etc/group文件對小組的許可權限的控制並不是必要的,因爲系統用UID,GID (取自/etc/passwd)決定文件存取權限,即使/etc/group文件不存在於系統中,具 有相同的GID用戶也可以小組的存取許可權限共享文件.
小組就像登錄用戶一樣可以有口令.如果/etc/group文件入口項的第二個域 爲非空,則將被認爲是加密口令,newgrp命令將要求用戶給出口令,然後將口令加 密,再與該域的加密口令比較.
給小組建立口令一般不是個好作法.第一,如果小組內共享文件,若有某人猜 着小組口令,則該組的所有用戶的文件就可能泄漏;其次,管理小組口令很費事, 因爲對於小組沒有類似的passwd命令.可用/usr/lib/makekey生成一個口令寫入 /etc/group.
以下情況必須建立新組:
(1)可能要增加新用戶,該用戶不屬於任何一個現有的小組.
(2)有的用戶可能時常需要獨自爲一個小組.
(3)有的用戶可能有一個SGID程序,需要獨自爲一個小組.
(4)有時可能要安裝運行SGID的軟件系統,該軟件系統需要建立一個新組.
要增加一個新組,必須編輯該文件,爲新組加一個入口項. 由於用戶登錄時,系統從/etc/passwd文件中取GID,而不是從/etc/group中 取GID,所以group文件和口令文件應當具有一致性.對於一個用戶的小組,UID和 GID應當是相同的.多用戶小組的GID應當不同於任何用戶的UID,一般爲5位數,這 樣在查看/etc/passwd文件時,就可根據5位數據的GID識別多用戶小組,這將減少 增加新組,新用戶時可能產生的混淆.