当前位置:操作系统 > Unix/Linux >>

在Linux世界驰骋——Linux系统管理二

2.shadow文件

  目前,在大多数Unix/Linux系统中,利用/etc/shadow文件存放用户账号的加密口令信息和口令的有效期信息。下面示例是shadow文件中的几条记录(与上面的passwd文件相对应):

  root:$1$Vfcp2rdI$R0bDID/CvD3FfTeTtnk7u.:12489:0:99999:7:::

  bin:*:12489:0:99999:7:::

  daemon:*:12489:0:99999:7:::

  ......

  desktop:!!:12489:0:99999:7:::

  mengqc:$1$pNPtXOsd$gk5mQEfx5hJfPzpmgQ78k/:12489:0:99999:7:::

  在Linux系统的shadow文件中,为每个用户提供一条记录,各个字段用“:”隔开,这9个字段按先后顺序分别是:

  ◆注册名;

  ◆密文口令;

  ◆上次更改口令时间距1970年1月1日的天数;

  ◆口令更改后,不可以更改的天数;

  ◆口令更改后,必须再次更改的天数(即口令的有效期);

  ◆口令失效前警告用户的天数;

  ◆口令失效后距账号被查封的天数;

  ◆账号被查封时间距1970年1月1日的天数;

  ◆保留字段。

  Unix/Linux修改口令的机制很简单:用户修改口令时使用passwd命令,该命令通常位于/usr/bin。普通用户只能修改自己的口令,而且必须回答老的口令;root可以修改系统中任何用户的口令,并且此时系统不会询问老的用户口令。

  建立和删除账号

  对系统而言,创建一个用户账号需要完成以下几个步骤:

  第一步,添加一个记录到/etc/passwd文件;第二步,创建用户的主目录;第三步,在用户的主目录中设置用户的默认配置文件(如.bashrc)。

  在几乎所有的Linux系统中都提供了useradd或adduser命令,它们能完成以上这一系列工作。通常这两个命令没有区别。另外,root用户可以使用KDE桌面系统为新用户建立账号和口令。其过程是“控制面板”→“用户和组群”→“添加新用户”,按照屏幕上的提示要求输入相应的参数,包括用户名、描述信息(可选)、密码及确认,然后设置用户-组的关系。

  要删除已经存在的用户账号,必须从/etc/passwd文件中删除此用户的记录项,从/etc/group文件中删除提及的此用户,并且删除用户的主目录及其它由该用户创建或属于此用户的文件。这些工作可以使用userdel命令来完成,也可以使用桌面系统“控制面板”→“用户和组群”,在“本地用户和组”的窗口中选定要删除的用户,然后单击“删除”小图标,并予以“确定”。

  某些时候,需要临时使某个账号失效,例如用户没有付费,或者是系统管理员怀疑黑客得到了某个账户的口令,解除限制后,该账号仍旧可以登录,这就是所谓的查封账号。当需要查封某个账号时,可以将用户记录从/etc/passwd文件中去掉,但是保留该用户的主目录和其它文件;或者在/etc/passwd(或/etc/shadow)文件中,在相关用户记录的passwd字段的首字符前加上符号“*”,例如,希望查封前面提到过的用户账号mengqc,则在/etc/shadow文件中将该用户记录修改如下:

  mengqc:*$1$pNPtXOsd$gk5mQEfx5hJfPzpmgQ78k/:12489:0:99999:7:::

  这样,就限制了该用户账号的登录。

  但是要注意,这样做会使得用户弄不清发生了什么事情。为了避免引起不必要的误会,管理员还可以使用另一种方法来查封用户:将用户账号的Shell设置成一个特定的、只打印出一条信息的程序。用这种方法,任何想登录此账号的人将无法登录,并能得知具体原因。该信息还可以告诉用户应与系统管理员联系,以处理相关问题。

  下面就是这样一个用于取代用户Shell程序的“tail scripts”示例程序:

  #!/usr/bin/tail +2

  This account has been closed due to a security breach.

  Please call 36 and wait for the men in black to arrive.

  上面代码中前2个字符(#!)告诉核心,本行的其它部分是解释本文件要运行的命令。这样,tail命令将在屏幕上显示除第一行外的所有东西。通常这种tail scripts被存放在独立于用户目录的路径中,以免和用户命令产生混淆。

  工作组管理

  利用工作组可以方便地把相关用户账号逻辑地组织在一起。在组的支持下,允许用户在组内共享文件。Linux系统中每一个文件都有一个用户和一个组的属主,也就是说系统中任何一个文件都归属于某个组中的一个用户。使用“ls -l”的命令可以看到文件所属的用户和组,例如/home/mengqc目录下存在文件ex1,运行“ls -l”将输出如下结果:

  $ ls -l

  ex1

  -rwxr-x---

  1 mengqc

  mengqc

  31

  3月27

  09:18 ex1

  每个用户至少属于一个组,这种从属关系对应于系统/etc/group文件中的GID字段,但是一个用户可以从属于多个组。类似于/etc/passwd文件,系统中的每个组都对应/etc/group文件中一行记录。记录的各字段属性依次定义如下:

  组名:口令:组标识号:用户列表

  其中,各个字段的含义如下:

  ◆组名(group_name):顾名思义,组名就是工作组的名字。

  ◆口令(passwd):组的口令,但口令字段不常用,允许不在这个组中的其它用户用newgrp命令来访问属于这个组的资源。

  ◆组标识号(GID):GID是系统用来区分不同组的标识号,它在系统中是惟一的。在/etc/passwd文件中,用户的组标识号字段就是用这个数字来指定用户的缺省组。

  ◆用户列表(user_list):用户列表是用“,”分隔的用户注册名集合,列出了这个组的所有成员。但是需要注意的是,这些被列出的用户在/etc/passwd文件中对应的GID字段(即用户的缺省组)与当前/etc/group文件中相应的GID字段是不同的。也就是说,组的默认用户不必列在该字段中。

  下面是从一个/etc/group文件中摘录的部分记录项:

  root:x:0:root

  bin:x:1:root,bin,daemon

  daemon:x:2:root,bin,daemon

  ......

  desktop:x:80:

  mengqc:x:500:

  在Linux系统中,root和bin都是管理组。系统中很多文件都属于这两个组。mengqc是一个普通的用户组。

  

上一个:在Linux世界驰骋——Linux系统管理三
下一个:在Linux世界驰骋——Linux系统管理一

更多Unix/Linux疑问解答:
路由原理介绍
子网掩码快速算法
改变网络接口的速度和协商方式的工具miitool和ethtool
Loopback口的作用汇总
OSPF的童话
增强的ACL修改功能
三层交换机和路由器的比较
用三层交换机组建校园网
4到7层交换识别内容
SPARC中如何安装Linux系统(2)
SPARC中如何安装Linux系统(1)
用Swatch做Linux日志分析
实战多种Linux操作系统共存
浅析Linux系统帐户的管理和审计
Linux2.6对新型CPU的支持(2)
电脑通通透
玩转网络
IE/注册表
DOS/Win9x
Windows Xp
Windows 2000
Windows 2003
Windows Vista
Windows 2008
Windows7
Unix/Linux
苹果机Mac OS
windows8
安卓/Android
Windows10
如果你遇到操作系统难题:
访问www.zzzyk.com 试试
CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,