目錄

l  用戶

l  組賬號

l  UID和GID號

l  /etc/passwd分析

l  /etc/shadow分析

l  /etc/group分析

l  /etc/gshadow分析

l  通過用戶和用戶組配置文件來查詢或管理用戶

l  總結

1、用戶（User）

在Linux系統中，根據系統管理的需要將用戶賬號分為不同的類型，其擁有的權限、擔任的角色也各不相同。主要包括超級用戶、普通用戶和程序用戶。

1．【超級用戶】：root用戶是Linux系統中默認的超級用戶賬號，對本主機擁有至高無上的完全權限，類似于Windows系統中的Administrator用戶。只有當進行系統管理、維護任務時，才建議使用root用戶登錄系統，日常事務處理建議使用普通用戶賬號進行。

2．【普通用戶】：普通用戶賬號需要由root用戶或其他管理員用戶創建，擁有的權限受到一定限制，一般只在用戶自己的宿主目錄中有完全權限。

3.【程序用戶】：在安裝Linux系統及部分應用程序時，會添加一些特定的低權限用戶賬號，這些用戶一般不允許登錄到系統，而僅用于維持系統或某個程序的正常運行。例如：bin、daemon、ftp、mail等。

2、組賬號（Group）

基于某種特定聯系將多個用戶集合在一起，即構成一個用戶組，用于表示該組內所有用戶的賬號稱為組賬號。每一個用戶賬號至少屬于一個組，這個組稱為該用戶的基本組（或私有組）；如果該用戶同時還包括在其他的組中，則這些組稱為該用戶的附加組（或公共組）。

例如，用戶gaoke是總經辦的員工，與部門內的其他同事同屬于基本組zongjingban，后來因工作安排需要，公司將gaoke加入到信息中心組mis。則此時用戶gaoke同時屬于zongjingban、mis組，zongjingban組是其基本組賬號，而mis組是其附加組賬號。

最組賬號設置的權限，將適用于組內的每一個用戶賬號。

3、UID和GID號

Linux系統中的每一個用戶賬號都有一個數字形式的身份標記，稱為UID，對于系統核心來說，UID作為區分用戶的基本依據，原則上每個用戶的UID號應該是唯一的。root用戶賬號的UID號為固定值0.而程序用戶賬號的UID號默認在1-499之間，500-60000的UID號默認分配給普通用戶賬號使用。

與UID相類似，每一個組賬號也有一個數字形式的身份標記，稱為GID。root組賬號的GID號為固定值0，而程序組賬號的GID號默認在1-499之間，普通組賬號使用的UID號默認為500-60000.

4、/etc/passwd分析：

[root@tex ~]# ll /etc/passwd

-rw-r–r–. 1 root root 2477 Oct 23 05:24 /etc/passwd

/etc/shadow 文件的內容包括7個段位，每個段位之間用:號分割

mutu:x:500:500::/home/mutu:/bin/bash

第一字段：用戶賬號的名稱。

第二字段：經過加密的用戶密碼字串，或者密碼占位符“x”。

第三字段：用戶賬號的UID號。

第四字段：所屬基本組賬號的GID號。

第五字段：用戶全名，可填寫與用戶相關的說明信息。

第六字段：宿主目錄，即該用戶登錄后所在的默認工作目錄。

第七字段：登錄Shell等信息，用戶完成登錄后使用的Shell。

基于系統運行和管理需要，所有用戶都可以訪問passwd文件中的內容，但是只有root用戶才能進行更改。在早期的UNIX操作系統中，用戶賬號的密碼信息也是保存在passwd文件中的，不法用戶可以獲取密碼字串進行暴力破解，這樣一來賬號安全就存在一定的隱患。因此后來將密碼轉存入專門的shadow文件中，而passwd文件中僅保留密碼占位符“x”。

5、/etc/shadow分析：

/etc/shadow文件是/etc/passwd 的影子文件，這個文件并不由/etc/passwd 而產生的，這兩個文件是應該是對應互補的；shadow內容包括用戶及被加密的密碼以及其它/etc/passwd 不能包括的信息，比如用戶的有效期限等；這個文件只有root權限可以讀取和操作，權限如下：

[root@tex ~]# ll /etc/shadow

-r——–. 1 root root 1485 Oct 23 18:54 /etc/shadow

/etc/shadow 文件的內容包括9個段位，每個段位之間用:號分割

mutu:$6$RgPboQPDThDGwG62$aGcXa5aEx1mHCTHwOe5lyVAzT6SqdmeczRrkiKQDM4S/qu.Dl3GTqKXLLOxUnYbuj/J0rW5Rim5s5NxskkrxV0:17094:0:99999:7:::

第一字段：用戶賬號名稱。

第二字段：使用MD5加密的密碼字串信息，當為“*”或“!!”時表示此用戶不能登錄到系統。若該字段內容為空，則該用戶無需密碼即可登錄系統。

第三字段：上次修改密碼的時間，表示從1970年01月01日算起到最近一次修改密碼時間隔的天數。

第四字段：密碼的最短有效天數，自本次修改密碼后，必須至少經過該天數才能再次修改密碼。默認值為0，表示不進行限制。

第五字段：密碼的最長有效天數，自本次修改密碼后，經過該天數以后必須再次修改密碼。默認值為99999，表示不進行限制。

第六字段：提前多少天警告用戶口令將過期，默認值為7.

第七字段：在密碼過期之后多少天內禁用此用戶。

第八字段：賬號失效時間，此字段指定了用戶作廢的天數（從1970年1月1日起計算），默認值為空，表示賬號永久可用。

第九字段：保留字段，目前沒有特定用途。

6、/etc/group分析：

/etc/group 文件是用戶組的配置文件，內容包括用戶和用戶組，并且能顯示出用戶是歸屬哪個用戶組或哪幾個用戶組，因為一個用戶可以歸屬一個或多個不同的用戶組；同一用戶組的用戶之間具有相似的特征。 

在/etc/group 中的每條記錄分四個字段：

mutu:x:500:

第一字段：用戶組名稱；

第二字段：用戶組密碼；

第三字段：GID

第四字段：用戶列表，每個用戶之間用,號分割；本字段可以為空；如果字段為空表示用戶組為GID的用戶名；

7、/etc/gshadow 分析：

etc/gshadow是/etc/group的加密資訊文件，比如用戶組（Group）管理密碼就是存放在這個文 件。/etc/gshadow和/etc/group是互補的兩個文件；對于大型服務器，針對很多用戶和組，定制一些關系結構 比較復雜的權限模型，設置用戶組密碼是極有必要的。

mutu:!!::

第一字段：用戶組

第二字段：用戶組密碼，這個段可以是空的或!，如果是空的或有!，表示沒有密碼；

第三字段：用戶組管理者，這個字段也可為空，如果有多個用戶組管理者，用,號分割；

第四字段：組成員，如果有多個成員，用,號分割；

8、通過用戶和用戶組配置文件來查詢或管理用戶：

1、id工具測重用戶、用戶所歸屬的用戶組、UID 和GID 的查看，

[root@tex ~]# id

uid=0(root) gid=0(root) groups=0(root)

注：root的UID 是0,默認用戶組是root ，默認用戶組的GID 是0，歸屬于root（GID為0）

2、useradd、userdel、usermod、passwd

[root@tex ~]# useradd mutu1

[root@tex ~]# ll -d /home/mutu1

drwx——. 4 mutu1 mutu1 4096 Oct 24 01:29 /home/mutu1

[root@tex ~]# usermod -c "mutu test" mutu1

[root@tex ~]# grep mutu /etc/passwd

mutu1:x:500:500:mutu test:/home/mutu1:/bin/bash

[root@tex ~]# passwd -S mutu

mutu PS 2016-10-20 0 99999 7 -1 (Password set, SHA512 crypt.)

[root@tex ~]# userdel -r mutu1

9、總結：

用戶（User）和用戶組（Group）的配置文件，是系統管理員最應該了解和掌握的系統基礎文件之一，從另   一 方面來說，了解這些文件也是系統安全管理的重要組成部份；做為一個合格的系統管理員應該對用戶和   用戶 組配置文件透徹了解才行。