2.shadow文件
目前,在大多数Unix/Linux系统中,利用/etc/shadow文件存放用户账号的加密口令信息和口令的有效期信息。下面示例是shadow文件中的几条记录(与上面的passwd文件相对应):
root:$1$Vfcp2rdI$R0bDID/CvD3FfTeTtnk7u.:12489:0:99999:7:::
bin:*:12489:0:99999:7:::
daemon:*:12489:0:99999:7:::
......
desktop:!!:12489:0:99999:7:::
mengqc:$1$pNPtXOsd$gk5mQEfx5hJfPzpmgQ78k/:12489:0:99999:7:::
在Linux系统的shadow文件中,为每个用户提供一条记录,各个字段用“:”隔开,这9个字段按先后顺序分别是:
◆注册名;
◆密文口令;
◆上次更改口令时间距1970年1月1日的天数;
◆口令更改后,不可以更改的天数;
◆口令更改后,必须再次更改的天数(即口令的有效期);
◆口令失效前警告用户的天数;
◆口令失效后距账号被查封的天数;
◆账号被查封时间距1970年1月1日的天数;
◆保留字段。
Unix/Linux修改口令的机制很简单:用户修改口令时使用passwd命令,该命令通常位于/usr/bin。普通用户只能修改自己的口令,而且必须回答老的口令;root可以修改系统中任何用户的口令,并且此时系统不会询问老的用户口令。
建立和删除账号 对系统而言,创建一个用户账号需要完成以下几个步骤:
第一步,添加一个记录到/etc/passwd文件;第二步,创建用户的主目录;第三步,在用户的主目录中设置用户的默认配置文件(如.bashrc)。
在几乎所有的Linux系统中都提供了useradd或adduser命令,它们能完成以上这一系列工作。通常这两个命令没有区别。另外,root用户可以使用KDE桌面系统为新用户建立账号和口令。其过程是“控制面板”→“用户和组群”→“添加新用户”,按照屏幕上的提示要求输入相应的参数,包括用户名、描述信息(可选)、密码及确认,然后设置用户-组的关系。
要删除已经存在的用户账号,必须从/etc/passwd文件中删除此用户的记录项,从/etc/group文件中删除提及的此用户,并且删除用户的主目录及其它由该用户创建或属于此用户的文件。这些工作可以使用userdel命令来完成,也可以使用桌面系统“控制面板”→“用户和组群”,在“本地用户和组”的窗口中选定要删除的用户,然后单击“删除”小图标,并予以“确定”。
某些时候,需要临时使某个账号失效,例如用户没有付费,或者是系统管理员怀疑黑客得到了某个账户的口令,解除限制后,该账号仍旧可以登录,这就是所谓的查封账号。当需要查封某个账号时,可以将用户记录从/etc/passwd文件中去掉,但是保留该用户的主目录和其它文件;或者在/etc/passwd(或/etc/shadow)文件中,在相关用户记录的passwd字段的首字符前加上符号“*”,例如,希望查封前面提到过的用户账号mengqc,则在/etc/shadow文件中将该用户记录修改如下:
mengqc:*$1$pNPtXOsd$gk5mQEfx5hJfPzpmgQ78k/:12489:0:99999:7:::
这样,就限制了该用户账号的登录。
但是要注意,这样做会使得用户弄不清发生了什么事情。为了避免引起不必要的误会,管理员还可以使用另一种方法来查封用户:将用户账号的Shell设置成一个特定的、只打印出一条信息的程序。用这种方法,任何想登录此账号的人将无法登录,并能得知具体原因。该信息还可以告诉用户应与系统管理员联系,以处理相关问题。
下面就是这样一个用于取代用户Shell程序的“tail scripts”示例程序:
#!/usr/bin/tail +2
This account has been closed due to a security breach.
Please call 36 and wait for the men in black to arrive.
上面代码中前2个字符(#!)告诉核心,本行的其它部分是解释本文件要运行的命令。这样,tail命令将在屏幕上显示除第一行外的所有东西。通常这种tail scripts被存放在独立于用户目录的路径中,以免和用户命令产生混淆。
工作组管理 利用工作组可以方便地把相关用户账号逻辑地组织在一起。在组的支持下,允许用户在组内共享文件。Linux系统中每一个文件都有一个用户和一个组的属主,也就是说系统中任何一个文件都归属于某个组中的一个用户。使用“ls -l”的命令可以看到文件所属的用户和组,例如/home/mengqc目录下存在文件ex1,运行“ls -l”将输出如下结果:
$ ls -l ex1
-rwxr-x--- 1 mengqc mengqc 31 3月27 09:18 ex1
每个用户至少属于一个组,这种从属关系对应于系统/etc/group文件中的GID字段,但是一个用户可以从属于多个组。类似于/etc/passwd文件,系统中的每个组都对应/etc/group文件中一行记录。记录的各字段属性依次定义如下:
组名:口令:组标识号:用户列表
其中,各个字段的含义如下:
◆组名(group_name):顾名思义,组名就是工作组的名字。
◆口令(passwd):组的口令,但口令字段不常用,允许不在这个组中的其它用户用newgrp命令来访问属于这个组的资源。
◆组标识号(GID):GID是系统用来区分不同组的标识号,它在系统中是惟一的。在/etc/passwd文件中,用户的组标识号字段就是用这个数字来指定用户的缺省组。
◆用户列表(user_list):用户列表是用“,”分隔的用户注册名集合,列出了这个组的所有成员。但是需要注意的是,这些被列出的用户在/etc/passwd文件中对应的GID字段(即用户的缺省组)与当前/etc/group文件中相应的GID字段是不同的。也就是说,组的默认用户不必列在该字段中。
下面是从一个/etc/group文件中摘录的部分记录项:
root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
......
desktop:x:80:
mengqc:x:500:
在Linux系统中,root和bin都是管理组。系统中很多文件都属于这两个组。mengqc是一个普通的用户组。