原址:http://luzl.iteye.com/blog/564404
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin
mengqc:x:500:500:mengqc:/home/mengqc:/bin/bash
在該文件中,每一行用戶記錄的各個數據段用“:”分隔,分別定義了用戶的各方面屬性。各個字段的順序和含義如下:
註冊名:口令:用戶標識號:組標識號:用戶名:用戶主目錄:命令解釋程序
(1)註冊名(login_name):用於區分不同的用戶。在同一系統中註冊名是惟一的。在很多系統上,該字段被限制在8個字符(字母或數字)的長度之內;並且要注意,通常在Linux系統中對字母大小寫是敏感的。這與MSDOS/Windows是不一樣的。
(2)口令(passwd):系統用口令來驗證用戶的合法性。超級用戶root或某些高級用戶可以使用系統命令passwd來更改系統中所有用戶的口令,普通用戶也可以在登錄系統後使用passwd命令來更改自己的口令。
現在的Unix/Linux系統中,口令不再直接保存在passwd文件中,通常將passwd文件中的口令字段使用一個“x”來代替,將/etc /shadow作爲真正的口令文件,用於保存包括個人口令在內的數據。當然shadow文件是不能被普通用戶讀取的,只有超級用戶纔有權讀取。
此外,需要注意的是,如果passwd字段中的第一個字符是“*”的話,那麼,就表示該賬號被查封了,系統不允許持有該賬號的用戶登錄。
(3)用戶標識號(UID):UID是一個數值,是Linux系統中惟一的用戶標識,用於區別不同的用戶。在系統內部管理進程和文件保護時使用 UID字段。在Linux系統中,註冊名和UID都可以用於標識用戶,只不過對於系統來說UID更爲重要;而對於用戶來說註冊名使用起來更方便。在某些特 定目的下,系統中可以存在多個擁有不同註冊名、但UID相同的用戶,事實上,這些使用不同註冊名的用戶實際上是同一個用戶。
(4)組標識號(GID):這是當前用戶的缺省工作組標識。具有相似屬性的多個用戶可以被分配到同一個組內,每個組都有自己的組名,且以自己的組標 識號相區分。像UID一樣,用戶的組標識號也存放在passwd文件中。在現代的Unix/Linux中,每個用戶可以同時屬於多個組。除了在 passwd文件中指定其歸屬的基本組之外,還在/etc/group文件中指明一個組所包含用戶。
(5)用戶名(user_name):包含有關用戶的一些信息,如用戶的真實姓名、辦公室地址、聯繫電話等。在Linux系統中,mail和finger等程序利用這些信息來標識系統的用戶。
(6)用戶主目錄(home_directory):該字段定義了個人用戶的主目錄,當用戶登錄後,他的Shell將把該目錄作爲用戶的工作目錄。 在Unix/Linux系統中,超級用戶root的工作目錄爲/root;而其它個人用戶在/home目錄下均有自己獨立的工作環境,系統在該目錄下爲每 個用戶配置了自己的主目錄。個人用戶的文件都放置在各自的
主目錄下。
(7)命令解釋程序(Shell):Shell是當用戶登錄系統時運行的程序名稱,通常是一個Shell程序的全路徑名,
如/bin/bash。
需要注意的是,系統管理員通常沒有必要直接修改passwd文件,Linux提供一些賬號管理工具幫助系統管理員來創建和維護用戶賬號。
Linux口令管理之/etc/passwd文件
/etc/passwd文件是Linux/UNIX安全的關鍵文件之一.該文件用於用戶登錄時校驗 用戶的口令,當然應當僅對root可寫.文件中每行的一般格式爲:
LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL
每行的頭兩項是登錄名和加密後的口令,後面的兩個數是UID和GID,接着的 一項是系統管理員想寫入的有關該用戶的任何信息,最後兩項是兩個路徑名: 一個是分配給用戶的HOME目錄,第二個是用戶登錄後將執行的shell(若爲空格則 缺省爲/bin/sh).
(1)口令時效
/etc/passwd文件的格式使系統管理員能要求用戶定期地改變他們的口令. 在口令文件中可以看到,有些加密後的口令有逗號,逗號後有幾個字符和一個 冒號.如:
steve:xyDfccTrt180x,M.y8:0:0:admin:/:/bin/sh
restrict:pomJk109Jky41,.1:0:0:admin:/:/bin/sh
pat:xmotTVoyumjls:0:0:admin:/:/bin/sh
可以看到,steve的口令逗號後有4個字符,restrict有2個,pat沒有逗號.
逗號後第一個字符是口令有效期的最大週數,第二個字符決定了用戶再次 修改口信之前,原口令應使用的最小週數(這就防止了用戶改了新口令後立刻 又改回成老口令).其餘字符表明口令最新修改時間.
要能讀懂口令中逗號後的信息,必須首先知道如何用passwd_esc計數,計 數的方法是:
.=0 /=1 0-9=2-11 A-Z=12-37 a-z=38-63
系統管理員必須將前兩個字符放進/etc/passwd文件,以要求用戶定期的 修改口令,另外兩個字符當用戶修改口令時,由passwd命令填入.
注意:若想讓用戶修改口令,可在最後一次口令被修改時,放兩個".",則下 一次用戶登錄時將被要求修改自己的口令.
有兩種特殊情況:
. 最大週數(第一個字符)小於最小週數(第二個字符),則不允許用戶修改 口令,僅超級用戶可以修改用戶的口令.
. 第一個字符和第二個字符都是".",這時用戶下次登錄時被要求修改口 令,修改口令後,passwd命令將"."刪除,此後再不會要求用戶修改口令.
(2)UID和GID
/etc/passwd中UID信息很重要,系統使用UID而不是登錄名區別用戶.一般 來說,用戶的UID應當是獨一無二的,其他用戶不應當有相同的UID數值.根據慣 例,從0到99的UID保留用作系統用戶的UID(root,bin,uucp等).
如果在/etc/passwd文件中有兩個不同的入口項有相同的UID,則這兩個用 戶對相互的文件具有相同的存取權限.
/etc /group文件含有關於小組的信息,/etc/passwd中的每個GID在本文件中 應當有相應的入口項,入口項中列出了小組名和小組中的用戶.這樣可方便地了 解每個小組的用戶,否則必須根據GID在/etc/passwd文件中從頭至尾地尋找同組 用戶.
/etc/group文件對小組的許可權限的控制並不是必要的,因爲系統用UID,GID (取自/etc/passwd)決定文件存取權限,即使/etc/group文件不存在於系統中,具 有相同的GID用戶也可以小組的存取許可權限共享文件.
小組就像登錄用戶一樣可以有口令.如果/etc/group文件入口項的第二個域 爲非空,則將被認爲是加密口令,newgrp命令將要求用戶給出口令,然後將口令加 密,再與該域的加密口令比較.
給 小組建立口令一般不是個好作法.第一,如果小組內共享文件,若有某人猜 着小組口令,則該組的所有用戶的文件就可能泄漏;其次,管理小組口令很費事, 因爲對於小組沒有類似的passwd命令.可用/usr/lib/makekey生成一個口令寫入 /etc/group.
以下情況必須建立新組:
(1)可能要增加新用戶,該用戶不屬於任何一個現有的小組.
(2)有的用戶可能時常需要獨自爲一個小組.
(3)有的用戶可能有一個SGID程序,需要獨自爲一個小組.
(4)有時可能要安裝運行SGID的軟件系統,該軟件系統需要建立一個新組.
要 增加一個新組,必須編輯該文件,爲新組加一個入口項. 由於用戶登錄時,系統從/etc/passwd文件中取GID,而不是從/etc/group中 取GID,所以group文件和口令文件應當具有一致性.對於一個用戶的小組,UID和 GID應當是相同的.多用戶小組的GID應當不同於任何用戶的UID,一般爲5位數,這 樣在查看/etc/passwd文件時,就可根據5位數據的GID識別多用戶小組,這將減少 增加新組,新用戶時可能產生的混淆.