在Linux世界驰骋——Linux系统管理二

2.shadow文件

　　目前，在大多数Unix/Linux系统中，利用/etc/shadow文件存放用户账号的加密口令信息和口令的有效期信息。下面示例是shadow文件中的几条记录(与上面的passwd文件相对应)：

　　root:$1$Vfcp2rdI$R0bDID/CvD3FfTeTtnk7u.:12489:0:99999:7:::

　　bin:*:12489:0:99999:7:::

　　daemon:*:12489:0:99999:7:::

　　......

　　desktop:!!:12489:0:99999:7:::

　　mengqc:$1$pNPtXOsd$gk5mQEfx5hJfPzpmgQ78k/:12489:0:99999:7:::

　　在Linux系统的shadow文件中，为每个用户提供一条记录，各个字段用“：”隔开，这9个字段按先后顺序分别是：

　　◆注册名；

　　◆密文口令；

　　◆上次更改口令时间距1970年1月1日的天数；

　　◆口令更改后，不可以更改的天数；

　　◆口令更改后，必须再次更改的天数(即口令的有效期)；

　　◆口令失效前警告用户的天数；

　　◆口令失效后距账号被查封的天数；

　　◆账号被查封时间距1970年1月1日的天数；

　　◆保留字段。

　　Unix/Linux修改口令的机制很简单：用户修改口令时使用passwd命令，该命令通常位于/usr/bin。普通用户只能修改自己的口令，而且必须回答老的口令；root可以修改系统中任何用户的口令，并且此时系统不会询问老的用户口令。

　　建立和删除账号

　　对系统而言，创建一个用户账号需要完成以下几个步骤：

　　第一步，添加一个记录到/etc/passwd文件；第二步，创建用户的主目录；第三步，在用户的主目录中设置用户的默认配置文件(如.bashrc)。

　　在几乎所有的Linux系统中都提供了useradd或adduser命令，它们能完成以上这一系列工作。通常这两个命令没有区别。另外，root用户可以使用KDE桌面系统为新用户建立账号和口令。其过程是“控制面板”→“用户和组群”→“添加新用户”，按照屏幕上的提示要求输入相应的参数，包括用户名、描述信息（可选）、密码及确认，然后设置用户-组的关系。

　　要删除已经存在的用户账号，必须从/etc/passwd文件中删除此用户的记录项，从/etc/group文件中删除提及的此用户，并且删除用户的主目录及其它由该用户创建或属于此用户的文件。这些工作可以使用userdel命令来完成，也可以使用桌面系统“控制面板”→“用户和组群”，在“本地用户和组”的窗口中选定要删除的用户，然后单击“删除”小图标，并予以“确定”。

　　某些时候，需要临时使某个账号失效，例如用户没有付费，或者是系统管理员怀疑黑客得到了某个账户的口令，解除限制后，该账号仍旧可以登录，这就是所谓的查封账号。当需要查封某个账号时，可以将用户记录从/etc/passwd文件中去掉，但是保留该用户的主目录和其它文件；或者在/etc/passwd(或/etc/shadow)文件中，在相关用户记录的passwd字段的首字符前加上符号“*”，例如，希望查封前面提到过的用户账号mengqc，则在/etc/shadow文件中将该用户记录修改如下：

　　mengqc:*$1$pNPtXOsd$gk5mQEfx5hJfPzpmgQ78k/:12489:0:99999:7:::

　　这样，就限制了该用户账号的登录。

　　但是要注意，这样做会使得用户弄不清发生了什么事情。为了避免引起不必要的误会，管理员还可以使用另一种方法来查封用户：将用户账号的Shell设置成一个特定的、只打印出一条信息的程序。用这种方法，任何想登录此账号的人将无法登录，并能得知具体原因。该信息还可以告诉用户应与系统管理员联系，以处理相关问题。

　　下面就是这样一个用于取代用户Shell程序的“tail scripts”示例程序：

　　#!/usr/bin/tail +2

　　This account has been closed due to a security breach.

　　Please call 36 and wait for the men in black to arrive.

　　上面代码中前2个字符(#!)告诉核心，本行的其它部分是解释本文件要运行的命令。这样，tail命令将在屏幕上显示除第一行外的所有东西。通常这种tail scripts被存放在独立于用户目录的路径中，以免和用户命令产生混淆。

　　工作组管理

　　利用工作组可以方便地把相关用户账号逻辑地组织在一起。在组的支持下，允许用户在组内共享文件。Linux系统中每一个文件都有一个用户和一个组的属主，也就是说系统中任何一个文件都归属于某个组中的一个用户。使用“ls -l”的命令可以看到文件所属的用户和组，例如/home/mengqc目录下存在文件ex1，运行“ls -l”将输出如下结果：

　　$ ls -l

　　ex1

　　-rwxr-x---

　　1 mengqc

　　mengqc

　　31

　　3月27

　　09:18 ex1

　　每个用户至少属于一个组，这种从属关系对应于系统/etc/group文件中的GID字段，但是一个用户可以从属于多个组。类似于/etc/passwd文件，系统中的每个组都对应/etc/group文件中一行记录。记录的各字段属性依次定义如下：

　　组名：口令：组标识号：用户列表

　　其中，各个字段的含义如下：

　　◆组名(group_name)：顾名思义，组名就是工作组的名字。

　　◆口令(passwd)：组的口令，但口令字段不常用，允许不在这个组中的其它用户用newgrp命令来访问属于这个组的资源。

　　◆组标识号(GID)：GID是系统用来区分不同组的标识号，它在系统中是惟一的。在/etc/passwd文件中，用户的组标识号字段就是用这个数字来指定用户的缺省组。

　　◆用户列表(user_list)：用户列表是用“，”分隔的用户注册名集合，列出了这个组的所有成员。但是需要注意的是，这些被列出的用户在/etc/passwd文件中对应的GID字段(即用户的缺省组)与当前/etc/group文件中相应的GID字段是不同的。也就是说，组的默认用户不必列在该字段中。

　　下面是从一个/etc/group文件中摘录的部分记录项：

　　root:x:0:root

　　bin:x:1:root,bin,daemon

　　daemon:x:2:root,bin,daemon

　　......

　　desktop:x:80:

　　mengqc:x:500:

　　在Linux系统中，root和bin都是管理组。系统中很多文件都属于这两个组。mengqc是一个普通的用户组。