+-
『学了就忘』Linux用户管理 — 50、用户管理相关文件详细说明

[toc]

提示:严格的用户权限划分,不是为了防范外部人员的攻击,主要是防范内部人员的操作。 越是重要的数据,就要做严格的用户权限划分。

1、用户信息文件

用户信息文件为

/etc/passwd
,该文件中每一行就是一个用户。

如下图所示:

内容格式

root:x:0:0:root:/root:/bin/bash

每一行是7列,用

:
隔开。

下面说明一下每列的内容:

第一列:用户名。

第二列:密码位。这个位置不是真正的密码,是一个标识位,仅仅只代表这个用户有密码。真正的密码在

/etc/shadow
文件中。

为什么要把密码分开到另外一个文件中? 你查看一下两个文件的权限就可以知道了,如下图所示:
/etc/passwd
文件是谁都可以查看。
/etc/shadow
只有root用户可以查看。 这样更加安全。 这个位置可以省略掉吗? 这个位置有标识,系统才去
/etc/shadow
文件中去验证密码。如果没有标识,不会验证,所以不能删除。

第三列:用户ID。

0
:超级用户UID,如果用户UID为0,代表这个账号是管理员账号。 Linux中如何把普通用户升级成为管理员呢? 就是把其他用户的UID修改为0就可以了,这点和Windows是不同的。 不过不建议建立多个管理员账号。
1-499
: 系统用户(伪用户)UID,这些UID账号是系统保留给系统用户的UID。 也就是说UID是
1-499
范围内的用户是不能登录系统的,而是用来运行系统或服务的。其中
1-99
是系统保留的账号,系统自动创建。
100-499
是预留给用户创建系统账号的。
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
除外。
500-65535
: 普通用户UID,建立的普通用户UID从500开始,最大到65535。这些用户足够使用了,但是如果不够也不用害怕,
2.6.x
内核以后的Linux系统用户UID,已经可以支持
2^32
这么多了。

提示:如何把普通用户变成超级用户:把用户UID改为0

第四列:组ID。

GID添加用户时,如果不指定用户所属的初始组,那么会建立和用户名相同的一个组。 Linux系统的用户组分为:初始组和附加组。

第五列:用户说明。如果新创建的用户,你没有填写说明,这个位置是空的。

第六列:用户家目录位置。

第七列:登录shell,

/bin/bash
。(用户登陆后执行的shell)

2、/etc/shadow影子文件

/etc/shadow
文件内容:

内容格式:

root:$6$uUXT6exYbBm6a7BC$kUSor7FFw48xOwuas8A2cI9hNKN7Izaz1Yd7h8a.otiEL/1LirTD6qDEeFNLgM4bpOswbAm3dh/WoPCXH9lg00:18251:0:99999:7:::

每一行是9列,用:隔开。下面说明一下每列的内容。

第一列:用户名。

第二列:加密密码。

我们可以在密码前,人为的加入
!
*
改变加密值让密码暂时失效,使这个用户无法登陆,达到暂时禁止用户登录的效果。 注意所有伪用户的密码都是
!!
*
,代表没有密码,是不能登录的。 当然我新创建的用户如果不设定密码,它的密码项也是
!!
,代表这个用户没有密码,不能登录。 Red Hat 6开始,密码的加密方式为
SHA512
,Red Hat 6以前用的密码的加密方式为
MD5

第三列:密码最近更改时间,1970年1月1日作为标准时间时间截转日期。 时间显示为时间戳的形式,不是重点,了解即可。

时间戳转日期
[root@localhost ~]# date -d "1970-01-01 "15775 days"
2013年03月11日星期一00:00:00 CST
日期转时间戳
[root@localhost ~]# echo $(($(date-date="2013/03/11"+%s)/86400+1))
15775
这个
15775
表示在1970年1月1日之后的第15775天修改的密码,单位是天。

第四列:两次密码的修改间隔时间(和第3字段相比)。

默认是0。也就是说当前时间戳是100,第四列数值为10,也就是下一次修改的时间最少也要到时间戳为110的时候才能修改。 该字段不建议修改。

第五例:密码有效期(和第3字段相比)。

第六列:密码修改到期前的警告天数(和第5字段相比)。

就是密码到期前多少天开始,该用户每一次登陆,系统都给你提示你的密码快到期了。

第七列:密码过期后的宽限天数(和第5字段相比)。

默认值没有写,其值就是-1。其意思表示用户是永不过期的,即使密码有效期过了,用户的密码也不会失效,还可以正常使用。 如果需要用户密码到期之后不能使用,把该位数值改写成0,或者改成正数,宽限几天。

第八列:密码失效时间。

这里同样要写时间戳,也就是用1970年1月1日进行时间换算。如果超过了失效时间,就算密码没有过期,用户也失效无法使用。(就像是买会员,到期终止了。) 如果用户的密码失效了,会自动的密码位最前端加上一个
!
,来进行用户登陆失效。

第九列:保留。没有意义,保留位。

3、/etc/group 组信息文件

/etc/group
内容格式:
root:x:0:root

下面说明一下每列的内容:

第一列:组名。

第二列:组密码位

这个也是一个占位标识,具体的密码在
/etc/gshadow
文件中。 并不建议给组设置密码。 组密码是用来做什么的? 如果我给用户组设定了组管理员,并给该用户组设定了组密码,组密码就保存在这个文件当中。组管理员就可以利用这个密码管理这个用户组了。 (也就是说,如果需要向一个组添加用户,默认是只有
root
用户可以添加。而
root
用户给一个组创建了一个密码,然后给组中的一个用户,该用户就相当于这个组的一个小组长,这个小组长就有权限往这个组里添加用户,或者删除用户。) 为什么不建议设置组密码? 因为这样设置会有一定风险,建议还是
root
用户来干这些事比较安全。

第三列:GID,也就是组ID。

第四列:此组中支持的其他用户(附加用户),附加组是此组的用户。自己属于初始组,不显示在此列中。

说明一个问题。

初始组和附加组区别

初始组:每个用户初始组只能且必须有一个,没有初始组这个用户是不能存在的,一般都是和用户名同名的。 附加组:每个用户可以属于多个或者没有附加组。要把一些用户加入组,都是加入附加组。

如果需要把用户改到其他组里,不建议修改初始组,建议修改附加组。

4、组密码文件

组密码文件

/etc/gshadow
文件,具体看上边3中介绍。

5、用户的家目录

Linux系统中,每添加一个用户,都会在

/home/
目录下,生成一个和用户名相同的目录,该目录作为该用户的家目录。

如下示例:

[root@localhost ~]# ls /home/
user1

6、用户邮箱目录

这个邮箱在

/var/spool/mail
目录当中,例如:
user1
用户的邮箱就是
/var/spool/mail/user1
文件.

7、用户模板目录

/etc/skel/
目录中,我们进入到
uesr1
的家目录中,这个目录看起来是空的。

[root@localhost ~]# cd /home/user1/
[root@localhost user1]# ls
[root@localhost user1]#

其实

uesr1
的家目录中是有文件的,但都是隐藏文件。

[root@localhost user1] # ls -a
. .. .bash_history .bash_logout .bash_profile .bashrc .gnome2

那这些隐藏文件是哪来的?

用户的家目录,是执行添加用户

useradd user2
命令之后自动建立的。所以说这些隐藏文件是自动生成的,这些自动生成的模板,就是在
/etc/skel/
目录中。

我们进入

/etc/skel/
目录中查看。

[root@localhost user1]# cd /etc/skel/
[root@localhost skel]# ls
[root@localhost skel]# ls -a
. ..  .bash_logout .bash_profile .bashrc .gnome2

和用户家目录中的隐藏文件是一样的。

.bash_history
文件是在用户执行命令之后,自动生成的文件。

所以这个目录一般不用我们动。

那什么时候需要我们对

/etc/skel/
目录进行改动呢?

比如说我想给每一个新创建的用户,提供一个警告信息,或这些服务器使用规则的文档。我就可以在

/etc/skel/
目录下创建一个文档。

如下:

[root@localhost skel] # vi warining.txt
# 开始编辑内容
# ...
# ...

这样,在之后每一个新创建用户的家目录中,都会有一个

warining.txt
文件出现。

提示:之前已经存在的用户的家目录中不会出现。

总结:

添加一个用户,实际上是修改了上边7个文件(用户模板文件除外)。同理,把上述几个位置的文件进行删除,也可以完全的删除一个用户。