用户管理是Linux的优良特点之一,通过本节读者可以了解Linux中的用户类型和用户的登陆过程。
3.2.1Linux的用户类型
Linux的用户类型分为3类:超级用户、系统用户和普通用户。举一个简单的事例,机房管理员可以出入机房的任意一个地方,而普通用户就没有这个权限。
(1)超级用户:用户名为root或USERID(UID)为0的帐号,具有一切权限,可以操作系统中的所有资源。root可以进行基础的文件操作及特殊的系统管理,还可进行网路管理,可以更改系统中的任何文件。日常工作中应防止使用这种帐号,错误的操作可能带来不可估量的损失,只有必要时才用root登入系统。
(2)系统用户:正常运行系统时使用的帐户。每位进程运行在系统里都有一个相应的属主,例如某个进程以何种身分运行,这种身分就是系统里对应的用户帐号。注意,系统帐号是不能拿来登陆的,例如bin、daemon、mail等。
(3)普通用户:普通使用者能使用Linux的大部份资源,一些特定的权限遭到控制。用户只对自己的目录有写权限,读写权限受一定的限制,因而有效保证了Linux的系统安全,大部份用户属于这种。
注意:出于安全考虑,用户的密码起码有8个字符,但是包含字母、数字和其他特殊符号。假如忘掉密码,很容易解决,root用户可以修改任何用户的密码。
3.2.2用户管理机制
Linux中的用户管理涉及用户帐号文件/etc/passwd、用户密码文件/etc/shadow、用户组文件/etc/group。本小节将简略介绍这种文件的作用及格式。
1.用户帐号文件/etc/passwd
该文件为纯文本文件,可以使用cat、head等命令查看。该文件记录了每位用户的必要信息,文件中的每一行对应一个用户的信息,每行的数组之间使用“:”分隔,共7个数组:
用户名称:用户密码:USERID:GROUPID:相关注释:主目录:使用的Shell
按照以下示例进行剖析:
root:x:0:0:root:/root:/bin/bash
(1)用户名称:在Linux系统中用惟一的字符串分辨不同的用户,用户名可以由字母、数字和顿号组成,注意Linux系统对字母大小写是敏感的,例如USERNAME1和username1分别属于不同的用户。
(2)用户密码:在用户校准时验证用户的合法性。超级用户root可以修改系统中所有用户的密码,普通用户登陆后可以使用passwd命令来修改自己的密码。在/etc/passwd文件中该数组通常为x,这是由于出于安全考虑该数组加密后的密码数据早已移至/etc/shadow中。注意/etc/shadow文件是不能被普通用户读取的,只有超级用户root才有权限读取。
(3)用户标示号(USERID,UID):是一个数值红联linux论坛,用于惟一标示Linux系统中的用户来区别不同的用户。在Linux系统中最多可以使用65535个用户名,用户名和UID都可以用于标示用户。相同UID的用户可以觉得是同一用户,同时它们也具有相同的权限linux登录其它用户,其实对于用户而言用户名更容易记忆和使用。
(4)组标示号(GROUPID,GID):当前用户所属的默认用户组标示。当添加用户时,系统默认会构建一个和用户名一样的用户组,多个用户可以属于相同的用户组。用户的组标示号储存在/etc/passwd文件中。用户可以同时属于多个组,每位组也可以有多个用户,不仅在/etc/passwd文件手指定其归属的基本组之外,在/etc/group文件中也指明一个组所包含的用户。
(5)相关注释:用于储存用户的一些其他信息,例如用户涵义说明、用户地址等信息。
(6)主目录:该数组定义了用户的主目录,登陆后Shell将把该目录作为用户的工作目录。登陆系统后可以使用pwd命令查看。超级用户root的工作目录为/root。每位用户都有自己的主目录,通常默认在/home下构建与用户名一致的目录,同时完善用户时可以指定其他目录作为用户的主目录。
(7)使用的Shell:Shell是当用户登入系统时运行的程序名称,一般是/bin/bash。同时系统中可能存在其他的Shell,例如tsh。用户可以自己指定Shell,也可以随时修改,比较流行的是/bin/bash。
2.用户密码文件/etc/shadow
该文件为文本文件,但这个文件只有超级用户能够读取,普通用户没有权限读取。任何用户对/etc/passwd文件都有读的权限,即使密码经过加密,而且可能还是有人会获取加密后的密码。通过把加密后的密码联通到shadow文件中并限制只有超级用户root才才能读取,有效保证了Linux用户密码的安全性。
和/etc/passwd文件类似,shadow文件由9个数组组成:
用户名:密码:先前更改密码的时间:两次更改密码间隔的最少天数:两次更改密码间隔的最多天数:提早多少天警告用户密码将过期:在密码过期多少天后禁用此用户:用户过期时间:保留数组
按照以下示例进行剖析:
root:$1$qb1cQvv/$ku20Uld75KAOx.4WK6d/t/:15649:0:99999::::
(1)用户名:俗称为登陆名,/etc/shadow中的用户名和/etc/passwd中的相同,每一行是一一对应的,这样就把passwd和shadow中的用户记录联系在了一起。
(2)密码:该数组是经过加密的,假如有些用户在这段的开头是“!”,就表示这个用户早已被严禁使用,不能登入系统。
(3)先前更改密码的时间:该列表示从1970年1月1日起到近来一次更改密码的时间间隔,以天数为单位。
(4)两次更改密码间隔的最少天数:该数组倘若为0,就表示此功能被禁用;假如是不为0的整数,就表示用户必须经过多少天才能更改其密码。
(5)两次更改密码间隔的最多天数:主要作用是管理用户密码的有效期linux登录其它用户,提高系统的安全性,该示例中为99999,表示密码基本不须要更改。
(6)提早多少天警告用户密码将过期:在快超出有效期时,当用户登入系统后,系统程序会提醒用户密码即将作废,便于及时修改。
(7)在密码过期多少天后禁用此用户:此数组表示用户密码作废多少天后系统会禁用此用户。
(8)用户过期时间:此数组指定了用户作废的天数,从1970年1月1日开始算起的天数,假如这个数组的值为空,就表示该帐号永久可用,注意与第7个数组的区别。
(9)保留数组:目前为空,将来可能会用。
3.用户组文件/etc/group
该文件用于保存用户组的所有信息,通过它可以更好地对系统中的用户进行管理。它对用户分组来说是一种有效的手段,用户组和用户之间属于多对多的关系如何安装linux,一个用户可以属于多个组,一个组也可以包含多个用户。用户登入时默认的组储存在/etc/passwd中。
此文件的格式也类似于/etc/passwd文件,数组如下:
用户组名:用户组密码:用户组标示号:组内用户列表
按照以下示例进行剖析:
root:x:0:
(1)用户组名:可以由字母、数字和顿号组成,用户组名是惟一的,和用户名一样,不可重复。
(2)用户组密码:该数组储存的是用户组加密后的密码数组。这个数组通常极少使用,Linux系统的用户组都没有密码,即这个数组通常为空。
(3)用户组标示号:GROUPID,简称GID,和用户标示号UID类似,也是一个整数,用于惟一标示一个用户组。
(4)组内用户列表:属于这个组的所有用户的列表,不同用户之间用冒号分隔,不能有空格。这个用户组可能是用户的主组,也可能是附加组。
——————————————-
本文节选自《RedHatEnterpriseLinux9系统管理实战》
本次内容发布,获得作者和出版社授权,供读者个人非商业目的使用。
