Rumah > Artikel > Operasi dan penyelenggaraan > Apakah kandungan fail akaun sistem Linux?
Fail akaun terdiri daripada 5 bahagian: 1. "/etc/passwd", fail konfigurasi pengguna sistem, yang menyimpan maklumat asas semua pengguna dalam sistem, 2. "/etc/shadow", yang menyimpan sistem Maklumat kata laluan pengguna 3. "/ect/group", fail konfigurasi kumpulan pengguna, menyimpan semua maklumat kumpulan pengguna, dsb.
Persekitaran pengendalian tutorial ini: sistem linux5.9.8, komputer Dell G3.
Fail akaun sistem Linux mempunyai 5 komponen:
/etc/passwd file
/etc/shadow file
/ect/group file
/etc/gshadow file
fail/etc/login.defs
1. Fail passwd ialah fail konfigurasi pengguna sistem yang menyimpan maklumat asas semua pengguna dalam sistem dan semua pengguna boleh melakukan operasi baca pada fail ini. Pertama sekali, mari buka fail ini untuk melihat apa yang terkandung di dalamnya Jalankan arahan seperti berikut:
Seperti yang anda lihat, kandungan fail /etc/passwd ialah. sangat teratur, setiap baris Rekod sepadan dengan pengguna. Pembaca mungkin bertanya, kenapa terdapat begitu ramai pengguna secara lalai dalam sistem Linux? Sebilangan besar pengguna ini adalah pengguna yang diperlukan untuk operasi biasa sistem atau perkhidmatan Pengguna sedemikian sering dipanggil pengguna sistem atau pengguna semu. Pengguna sistem tidak boleh digunakan untuk log masuk ke sistem, tetapi mereka tidak boleh dipadamkan, kerana sebaik sahaja dipadamkan, perkhidmatan atau program yang bergantung kepada pengguna ini tidak akan dapat melaksanakan secara normal, yang akan menyebabkan masalah sistem.[root@localhost ~]# vi /etc/passwd #查看一下文件内容 root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin ...省略部分输出...
Bukan itu sahaja, setiap baris maklumat pengguna dibahagikan kepada 7 medan dengan ":" sebagai pembatas maksud setiap medan adalah seperti berikut:
Seterusnya, berikan Jom. perkenalkan bidang ini satu persatu.用户名:密码:UID(用户ID):GID(组ID):描述性信息:主目录:默认ShellNama Pengguna
Nama pengguna ialah rentetan yang mewakili identiti pengguna. Seperti yang dinyatakan sebelum ini, nama pengguna hanya untuk kemudahan memori pengguna Sistem Linux menggunakan UID untuk mengenal pasti identiti pengguna dan memberikan kebenaran pengguna. Hubungan yang sepadan antara nama pengguna dan UID ditakrifkan dalam fail /etc/passwd.
Kata Laluan"x" bermaksud pengguna ini mempunyai kata laluan, tetapi ia bukan kata laluan sebenar Kata laluan sebenar disimpan dalam fail /etc/shadow (bahagian seterusnya memberikan pengenalan terperinci). Pada awal UNIX, apa yang disimpan di sini ialah rentetan kata laluan yang disulitkan tetapi, memandangkan semua program boleh membaca fail ini, adalah sangat mudah untuk data pengguna dicuri.
Walaupun kata laluan disulitkan, ia juga boleh dipecahkan menggunakan kekerasan.
Oleh itu, sistem Linux kini meletakkan rentetan kata laluan yang disulitkan sebenar dalam fail /etc/shadow Fail ini hanya boleh dilayari dan dikendalikan oleh pengguna root, dengan itu memastikan keselamatan kata laluan pada tahap yang terbaik. .
Perlu diambil perhatian bahawa walaupun "x" tidak mewakili kata laluan sebenar, ia tidak boleh dipadamkan, jika "x" dipadamkan, sistem akan menganggap bahawa pengguna tidak mempunyai kata laluan, mengakibatkan hanya memasukkan nama pengguna. Anda boleh log masuk tanpa memasukkan kata laluan (anda hanya boleh log masuk tanpa kata laluan, bukan dari jauh Melainkan terdapat keadaan khusus (seperti memecahkan kata laluan pengguna), ini sudah tentu tidak boleh dilaksanakan.
UIDUID, iaitu ID pengguna. Setiap pengguna mempunyai UID yang unik, dan sistem Linux menggunakan UID untuk mengenal pasti pengguna yang berbeza. Sebenarnya, UID ialah nombor antara 0 dan 65535. Nombor dalam julat berbeza mewakili identiti pengguna yang berbeza.
GIDNama penuh ialah "ID Kumpulan", dirujuk sebagai "ID Kumpulan", yang mewakili nombor ID kumpulan kumpulan awal pengguna. Konsep kumpulan awal dan kumpulan tambahan perlu dijelaskan di sini. Kumpulan awal bermakna pengguna mempunyai kebenaran berkaitan kumpulan pengguna ini semasa log masuk. Setiap pengguna hanya boleh mempunyai satu kumpulan awal Biasanya, nama kumpulan yang sama dengan nama pengguna pengguna digunakan sebagai kumpulan awal pengguna. Sebagai contoh, jika kita menambah lampu pengguna secara manual, apabila mencipta lampu pengguna, kumpulan lampu akan dibuat sebagai kumpulan awal pengguna lampu.
Kumpulan tambahan bermakna pengguna boleh menyertai berbilang kumpulan pengguna lain dan mendapat kebenaran kumpulan ini. Setiap pengguna hanya boleh mempunyai satu kumpulan awal Selain kumpulan awal, pengguna boleh menyertai kumpulan pengguna lain ini adalah kumpulan tambahan untuk pengguna ini. Terdapat beberapa kumpulan tambahan dan pengguna boleh mempunyai kebenaran untuk kumpulan tambahan ini.
Sebagai contoh, sebagai tambahan kepada lampu kumpulan awal, saya menambah pengguna lampu tadi ke kumpulan pengguna Kemudian pengguna lampu tergolong dalam kumpulan lampu dan kumpulan pengguna, di mana lampu adalah kumpulan awal dan pengguna adalah kumpulan tambahan.
Sudah tentu identiti kumpulan awal dan kumpulan tambahan boleh diubah suai, tetapi kami tidak mengubah suai kumpulan awal dalam kerja kami, hanya kumpulan tambahan, kerana mengubah suai kumpulan awal kadangkala mengelirukan logik pentadbir.
Perlu diambil perhatian bahawa ID yang dilihat dalam medan keempat fail /etc/passwd ialah kumpulan awal pengguna ini.
Maklumat deskriptifMedan ini tidak mempunyai tujuan penting, ia hanya digunakan untuk menerangkan maksud pengguna ini.
Direktori Laman Utama也就是用户登录后有操作权限的访问目录,通常称为用户的主目录。
例如,root 超级管理员账户的主目录为 /root,普通用户的主目录为 /home/yourIDname,即在 /home/ 目录下建立和用户名相同的目录作为主目录,如 lamp 用户的主目录就是 /home/lamp/ 目录。
默认的Shell
Shell 就是 Linux 的命令解释器,是用户和 Linux 内核之间沟通的桥梁。
我们知道,用户登陆 Linux 系统后,通过使用 Linux 命令完成操作任务,但系统只认识类似 0101 的机器语言,这里就需要使用命令解释器。也就是说,Shell 命令解释器的功能就是将用户输入的命令转换成系统可以识别的机器语言。
通常情况下,Linux 系统默认使用的命令解释器是 bash(/bin/bash),当然还有其他命令解释器,例如 sh、csh 等。
2、/etc/shadow 文件
/etc/shadow 文件,用于存储 Linux 系统中用户的密码信息,又称为“影子文件”。
前面介绍了 /etc/passwd 文件,由于该文件允许所有用户读取,易导致用户密码泄露,因此 Linux 系统将用户的密码信息从 /etc/passwd 文件中分离出来,并单独放到了此文件中。
/etc/shadow 文件只有 root 用户拥有读权限,其他用户没有任何权限,这样就保证了用户密码的安全性。
注意,如果这个文件的权限发生了改变,则需要注意是否是恶意攻击。
介绍此文件之前,我们先打开看看,执行如下命令:
[root@localhost ~]#vim /etc/shadow root: $6$9w5Td6lg $bgpsy3olsq9WwWvS5Sst2W3ZiJpuCGDY.4w4MRk3ob/i85fl38RH15wzVoom ff9isV1 PzdcXmixzhnMVhMxbvO:15775:0:99999:7::: bin:*:15513:0:99999:7::: daemon:*:15513:0:99999:7::: …省略部分输出…
同 /etc/passwd 文件一样,文件中每行代表一个用户,同样使用 ":" 作为分隔符,不同之处在于,每行用户信息被划分为 9 个字段。每个字段的含义如下:
用户名:加密密码:最后一次修改时间:最小修改时间间隔:密码有效期:密码需要变更前的警告天数:密码过期后的宽限时间:账号失效时间:保留字段
接下来,给大家分别介绍这 9 个字段。
用户名
同 /etc/passwd 文件的用户名有相同的含义。
加密密码
这里保存的是真正加密的密码。目前 Linux 的密码采用的是 SHA512 散列加密算法,原来采用的是 MD5 或 DES 加密算法。SHA512 散列加密算法的加密等级更高,也更加安全。
注意,这串密码产生的乱码不能手工修改,如果手工修改,系统将无法识别密码,导致密码失效。很多软件透过这个功能,在密码串前加上 "!"、"*" 或 "x" 使密码暂时失效。
所有伪用户的密码都是 "!!" 或 "*",代表没有密码是不能登录的。当然,新创建的用户如果不设定密码,那么它的密码项也是 "!!",代表这个用户没有密码,不能登录。
最后一次修改时间
此字段表示最后一次修改密码的时间,可是,为什么 root 用户显示的是 15775 呢?
这是因为,Linux 计算日期的时间是以 1970 年 1 月 1 日作为 1 不断累加得到的时间,到 1971 年 1 月 1 日,则为 366 天。这里显示 15775 天,也就是说,此 root 账号在 1970 年 1 月 1 日之后的第 15775 天修改的 root 用户密码。
那么,到底 15775 代表的是哪一天呢?可以使用如下命令进行换算:
[root@localhost ~]# date -d "1970-01-01 15775 days" 2013年03月11日 星期一 00:00:00 CST
可以看到,通过以上命令,即可将其换算为我们习惯的系统日期。
最小修改时间间隔
最小修改间隔时间,也就是说,该字段规定了从第 3 字段(最后一次修改密码的日期)起,多长时间之内不能修改密码。如果是 0,则密码可以随时修改;如果是 10,则代表密码修改后 10 天之内不能再次修改密码。
此字段是为了针对某些人频繁更改账户密码而设计的。
密码有效期
经常变更密码是个好习惯,为了强制要求用户变更密码,这个字段可以指定距离第 3 字段(最后一次更改密码)多长时间内需要再次变更密码,否则该账户密码进行过期阶段。
该字段的默认值为 99999,也就是 273 年,可认为是永久生效。如果改为 90,则表示密码被修改 90 天之后必须再次修改,否则该用户即将过期。管理服务器时,通过这个字段强制用户定期修改密码。
密码需要变更前的警告天数
与第 5 字段相比较,当账户密码有效期快到时,系统会发出警告信息给此账户,提醒用户 "再过 n 天你的密码就要过期了,请尽快重新设置你的密码!"。
该字段的默认值是 7,也就是说,距离密码有效期的第 7 天开始,每次登录系统都会向该账户发出 "修改密码" 的警告信息。
密码过期后的宽限天数
也称为“口令失效日”,简单理解就是,在密码过期后,用户如果还是没有修改密码,则在此字段规定的宽限天数内,用户还是可以登录系统的;如果过了宽限天数,系统将不再让此账户登陆,也不会提示账户过期,是完全禁用。
比如说,此字段规定的宽限天数是 10,则代表密码过期 10 天后失效;如果是 0,则代表密码过期后立即失效;如果是 -1,则代表密码永远不会失效。
账号失效时间
同第 3 个字段一样,使用自 1970 年 1 月 1 日以来的总天数作为账户的失效时间。该字段表示,账号在此字段规定的时间之外,不论你的密码是否过期,都将无法使用!
该字段通常被使用在具有收费服务的系统中。
保留
这个字段目前没有使用,等待新功能的加入。
3、/ect/group 文件
/ect/group 文件是用户组配置文件,即用户组的所有信息都存放在此文件中。
此文件是记录组 ID(GID)和组名相对应的文件。前面讲过,etc/passwd 文件中每行用户信息的第四个字段记录的是用户的初始组 ID,那么,此 GID 的组名到底是什么呢?就要从 /etc/group 文件中查找。
/etc/group 文件的内容可以通过 Vim 看到:
[root@localhost ~]#vim /etc/group root:x:0: bin:x:1:bin,daemon daemon:x:2:bin,daemon …省略部分输出… lamp:x:502:
可以看到,此文件中每一行各代表一个用户组。在前面章节中,我们曾创建 lamp 用户,系统默认生成一个 lamp 用户组,在此可以看到,此用户组的 GID 为 502,目前它仅作为 lamp 用户的初始组。
各用户组中,还是以 ":" 作为字段之间的分隔符,分为 4 个字段,每个字段对应的含义为:
组名:密码:GID:该用户组中的用户列表
接下来,分别介绍各个字段具体的含义。
组名
也就是是用户组的名称,有字母或数字构成。同 /etc/passwd 中的用户名一样,组名也不能重复。
组密码
和 /etc/passwd 文件一样,这里的 "x" 仅仅是密码标识,真正加密后的组密码默认保存在 /etc/gshadow 文件中。
不过,用户设置密码是为了验证用户的身份,那用户组设置密码是用来做什么的呢?用户组密码主要是用来指定组管理员的,由于系统中的账号可能会非常多,root 用户可能没有时间进行用户的组调整,这时可以给用户组指定组管理员,如果有用户需要加入或退出某用户组,可以由该组的组管理员替代 root 进行管理。但是这项功能目前很少使用,我们也很少设置组密码。如果需要赋予某用户调整某个用户组的权限,则可以使用 sudo 命令代替。
组ID (GID)
就是群组的 ID 号,Linux 系统就是通过 GID 来区分用户组的,同用户名一样,组名也只是为了便于管理员记忆。
这里的组 GID 与 /etc/passwd 文件中第 4 个字段的 GID 相对应,实际上,/etc/passwd 文件中使用 GID 对应的群组名,就是通过此文件对应得到的。
组中的用户
此字段列出每个群组包含的所有用户。需要注意的是,如果该用户组是这个用户的初始组,则该用户不会写入这个字段,可以这么理解,该字段显示的用户都是这个用户组的附加用户。
举个例子,lamp 组的组信息为 "lamp:x:502:",可以看到,第四个字段没有写入 lamp 用户,因为 lamp 组是 lamp 用户的初始组。如果要查询这些用户的初始组,则需要先到 /etc/passwd 文件中查看 GID(第四个字段),然后到 /etc/group 文件中比对组名。
每个用户都可以加入多个附加组,但是只能属于一个初始组。所以我们在实际工作中,如果需要把用户加入其他组,则需要以附加组的形式添加。例如,我们想让 lamp 也加入 root 这个群组,那么只需要在第一行的最后一个字段加入 lamp,即 root:x:0:lamp 就可以了。
一般情况下,用户的初始组就是在建立用户的同时建立的和用户名相同的组。
4、/etc/gshadow文件
组用户信息存储在 /etc/group 文件中,而将组用户的密码信息存储在 /etc/gshadow 文件中。
首先,我们借助 Vim 命令查看一下此文件中的内容:
[root@localhost ~]#vim /etc/gshadow root::: bin:::bin, daemon daemon:::bin, daemon ...省略部分输出... lamp:!::
文件中,每行代表一个组用户的密码信息,各行信息用 ":" 作为分隔符分为 4 个字段,每个字段的含义如下:
组名:加密密码:组管理员:组附加用户列表
组名
同 /etc/group 文件中的组名相对应。
组密码
Bagi kebanyakan pengguna, kata laluan kumpulan biasanya tidak ditetapkan, jadi medan ini selalunya kosong, tetapi kadangkala ia adalah "!", yang bermaksud bahawa kumpulan itu tidak mempunyai kata laluan kumpulan dan tidak mempunyai pentadbir kumpulan.
Pentadbir Kumpulan
Dari perspektif pentadbir sistem, fungsi terbesar fail ini adalah untuk mencipta pentadbir kumpulan. Jadi, apakah itu pentadbir kumpulan?
Memandangkan terdapat terlalu banyak akaun dalam sistem Linux dan akar pentadbir super mungkin sibuk, apabila pengguna ingin menyertai kumpulan, root mungkin tidak dapat bertindak balas tepat pada masanya. Dalam kes ini, jika terdapat pentadbir kumpulan, maka dia boleh menambah pengguna ke kumpulan yang diurusnya, menyelamatkan masalah root.
Namun, disebabkan alatan semasa seperti sudo, fungsi pentadbir kumpulan ini jarang digunakan.
Pengguna tambahan dalam kumpulan
Medan ini memaparkan pengguna tambahan mana yang berada dalam kumpulan pengguna ini dan adalah sama dengan paparan kumpulan tambahan dalam /etc/group fail.
5. Fail /etc/login.defs
/etc/login.defs fail digunakan untuk mengkonfigurasi pengguna semasa membuat pengguna . Buat tetapan lalai untuk beberapa sifat asas, seperti menentukan julat UID dan GID pengguna, masa tamat tempoh pengguna, panjang kata laluan maksimum, dsb.
Perlu diambil perhatian bahawa konfigurasi lalai pengguna bagi fail ini tidak sah untuk pengguna root. Dan, apabila konfigurasi dalam fail ini bercanggah dengan maklumat pengguna dalam fail /etc/passwd dan /etc/shadow, sistem akan berkuat kuasa dalam /etc/passwd dan /etc/shadow.
Pembaca boleh menggunakan perintah vim /etc/login.defs
untuk melihat kandungan fail Jadual 1 memberikan penjelasan terperinci bagi setiap pilihan dalam fail.
设置项 | 含义 |
---|---|
MAIL_DIR /var/spool/mail | 创建用户时,系统会在目录 /var/spool/mail 中创建一个用户邮箱,比如 lamp 用户的邮箱是 /var/spool/mail/lamp。 |
PASS_MAX_DAYS 99999 | 密码有效期,99999 是自 1970 年 1 月 1 日起密码有效的天数,相当于 273 年,可理解为密码始终有效。 |
PASS_MIN_DAYS 0 | 表示自上次修改密码以来,最少隔多少天后用户才能再次修改密码,默认值是 0。 |
PASS_MIN_LEN 5 | 指定密码的最小长度,默认不小于 5 位,但是现在用户登录时验证已经被 PAM 模块取代,所以这个选项并不生效。 |
PASS_WARN_AGE 7 | 指定在密码到期前多少天,系统就开始通过用户密码即将到期,默认为 7 天。 |
UID_MIN 500 | 指定最小 UID 为 500,也就是说,添加用户时,默认 UID 从 500 开始。注意,如果手工指定了一个用户的 UID 是 550,那么下一个创建的用户的 UID 就会从 551 开始,哪怕 500~549 之间的 UID 没有使用。 |
UID_MAX 60000 | 指定用户最大的 UID 为 60000。 |
GID_MIN 500 | 指定最小 GID 为 500,也就是在添加组时,组的 GID 从 500 开始。 |
GID_MAX 60000 | 用户 GID 最大为 60000。 |
CREATE_HOME yes | 指定在创建用户时,是否同时创建用户主目录,yes 表示创建,no 则不创建,默认是 yes。 |
UMASK 077 | 用户主目录的权限默认设置为 077。 |
USERGROUPS_ENAB yes | 指定删除用户的时候是否同时删除用户组,准备地说,这里指的是删除用户的初始组,此项的默认值为 yes。 |
ENCRYPT_METHOD SHA512 | 指定用户密码采用的加密规则,默认采用 SHA512,这是新的密码加密模式,原先的 Linux 只能用 DES 或 MD5 加密。 |
Cadangan berkaitan: "Tutorial Video Linux"
Atas ialah kandungan terperinci Apakah kandungan fail akaun sistem Linux?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!