用戶和用戶組相關的配置文件

一、與用戶相關的配置文件

一般來說，與用戶配置相關的幾個文件如下:

l  /etc/passwd: 最重要的文件，存儲著用戶的用戶名，UID，Shell等信息

l  /etc/shadow: 用戶密碼文件，使用sha-1算法加密存儲(注意該文件的權限)

l  /etc/skel/: 用戶的模板文件，新建用戶如果創建家目錄，會默認將改目錄下文件拷貝至用戶家目錄

l  /etc/login.defs: 登錄用戶的相關配置(部分環境變量)，通常無需改動

    1、/etc/passwd：

    每個用戶對應一個UID，該文件將存儲用戶的UID,GID,Shell等配置信息。

    查看/ect/passwd:  

    使用man 5 passwd可查看該文件的配置語法。

    /ect/passwd的文件格式：

    name:password:UID:GID:GECOS:directory:shell

    此文件的對應的字段意義如下:

     name:用戶名

    password：用戶密碼，可以是加密的密碼，也可以是占位符“X”

    UID:用戶的ID號

    GID：用戶所屬主組的ID號

    GECOS:注釋信息

    Directory：用戶的家目錄

    Shell：用戶登錄時默認shell程序

   2、/etc/shadow

    影子文件，通常是現代Linux系統用戶密碼存儲的文件。此文件由shadow工具集使用。并非所有的用 

  戶密碼管理工具都會使用。

    查看/etc/shadow:

      該文件格式和/etc/passwd文件相同，一樣使用:分割幾個有意義的字段。使用man [5] shadow即可查

    看該文件的幫助。

    此文件的對應的字段意義如下:

         ·         登錄名：

     必須是有效的賬戶名，且已經存在于系統中。

        ·         加密的密碼:

     該字段存儲單向加密后的密碼，現代Linux通常是使用sha-512算法加密的字符串，一般有以下幾個特

    點:

  (1）、如果密碼字段包含一些不是 crypt(3) 合法結果的字符，比如 ! 或 *，用戶將無法使用 Linux     密碼登錄(但是可以通過其它方法登錄系統)。

 （2）、此字段可以為空，此時認證為特定的登錄名時，不要求密碼。然而，一些讀取 /etc/shadow 文

    件的應用程序，在密碼字段為空時，可能決定禁止任何訪問。

 （3）、以嘆號開始的密碼字段意味著密碼被鎖定。該行的剩余字符表示鎖定之前的密碼。

         ·        最后一次更改密碼的日期:

    最近一次更改密碼的時間，表示從1970年1月1日開始的天數。

     0有特殊含義，表示用戶應該在下次登錄系統時更改密碼。

   空字段表示密碼最長使用期限功能被禁用。

        ·         密碼的最短使用期限:

    最短使用期限是指，用戶一次更改密碼之后，要等多長時間才再次被允許更改密碼。空字段或0 表示

  沒有最短使用期限。

        ·         密碼的最長使用期限:

    最大密碼年齡是指，這些天之后，用戶必須更改密碼。

    這些天之后，密碼仍然可用。用戶將會在下次登錄的時候被要求更改密碼。

    空字段表示沒有最大密碼年齡，沒有密碼警告時間段，沒有密碼禁用時間段

    如果最大密碼年齡小于最小密碼年齡，用戶將會不能更改密碼。

         ·         密碼警告時間段:

    密碼過期之前，提前警告用戶的的天數(請參考上邊的密碼最長使用期限)。

    空字段或者 0 表示沒有密碼警告期。

        ·         密碼禁用期:

    密碼過期(查看上邊的密碼最長使用期限)后，仍然接受此密碼的天數(在此期間，用戶應該在下次登錄

    時修改密碼)。

    密碼到期并且過了這個寬限期之后，使用用戶的當前的密碼將會不能登錄。用戶需要聯系系統管理員。

    空字段表示沒有強制密碼過期。

        ·         賬戶過期日期:

    賬戶過期的日期，表示從1970年1月1日開始的天數。

    注意，賬戶過期不同于密碼過期。賬戶過期時，用戶將不被允許登錄；密碼過期時，用戶將不被允許使用

    其密碼登錄。

    空字段表示賬戶永不過期。

    應該避免使用 0，因為它既能理解成永不過期也能理解成在1970年1月1日過期。

        ·         保留字段: 此字段保留作將來使用。

二、用戶組相關配置文件

    與用戶組相關的幾個配置文件:

l  /etc/group: 用戶組主配置文件

l  /etc/gshadow: 用戶組密碼配置

1、/etc/group

    該文件存儲用戶組名，GID，以及用戶對應關系等信息。

    字段也比/etc/passwd少。

    /etc/group格式：

    group_name:password:GID:user_list

    此文件的對應的字段意義如下:

    group_name:用戶組名

    password：用戶組密碼，可以是加密的密碼，也可以是占位符“X”。

    GID：用戶組ID號

    user_list：該用戶組的用戶成員，以此組為附加組的用戶列表

 2、/etc/gshadow

    和/etc/shadow類似，組密碼的影子文件。

    如果用戶組有密碼時，此文件用于保存用戶組密碼。但比/etc/shadow內容少的多。

    /etc/gshadow的格式：

    Group_name:encrypted_password: administrators: members

    此文件的對應的字段意義如下:

    Group_name:群組名

        必須是系統中已經存在的有效組

    encrypted_password:加了密的密碼

        此密碼用于不是此組成員的用戶獲取此組的權限

        此字段可以為空，此時只有組成員可以獲取組權限

        以嘆號開始的密碼字段意味著密碼被鎖定，該行的聲譽字符表示鎖定之前的密碼

        此密碼取代/etc/group指定的的任何密碼

    administrators：組管理員的列表

        必須是一個逗號分隔的用戶名表

        管理員可以更改組密碼和成員

        管理員也有和成員一樣的權限

        members：以當前組為附加組的用戶列表

        必須是一個逗號分隔的用戶名表

        成員可以免密碼訪問組

總結：

    用戶（User）和用戶組（Group）的配置文件，是系統管理員最應該了解和掌握的系統基礎文件之一，從另一方面來說，了解這些文件也是系統安全管理的重要組成部份；做為一個合格的系統管理員應該對用戶和用戶組配置文件透徹了解才行；