Die Kontodatei besteht aus 5 Teilen: 1. „/etc/passwd“, der Systembenutzerkonfigurationsdatei, in der die grundlegenden Informationen aller Benutzer im System gespeichert sind. 2. „/etc/shadow“, in der die Passwörter gespeichert sind 3. „/ect/group“, die Benutzergruppenkonfigurationsdatei, speichert alle Informationen der Benutzergruppe usw.
Die Betriebsumgebung dieses Tutorials: Linux5.9.8-System, Dell G3-Computer.
Die Kontodatei des Linux -Systems enthält 5 Komponenten:
/etc/passwd -Datei
/etc/Shadow -Datei
/ect/Gruppendatei
/etc/ghadow Datei
/etc/login.defs-Datei
1, /etc/passwd-Datei
/etc/passwd-Datei ist eine Systembenutzerkonfigurationsdatei, in der die grundlegenden Informationen aller Benutzer gespeichert sind Das System und alle Benutzer können Lesevorgänge für diese Datei ausführen.
Öffnen wir zunächst diese Datei, um zu sehen, was sie enthält. Führen Sie den Befehl wie folgt aus:
[root@localhost ~]# vi /etc/passwd #查看一下文件内容 root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin ...省略部分输出...
Sie können sehen, dass der Inhalt der Datei /etc/passwd sehr regelmäßig ist und jede Datensatzzeile einem Benutzer entspricht.
Leser fragen sich vielleicht: Wie kommt es, dass es im Linux-System standardmäßig so viele Benutzer gibt? Bei der überwiegenden Mehrheit dieser Benutzer handelt es sich um Benutzer, die für den normalen Betrieb des Systems oder Dienstes erforderlich sind. Solche Benutzer werden häufig als Systembenutzer oder Pseudobenutzer bezeichnet. Systembenutzer können nicht zum Anmelden am System verwendet, aber nicht gelöscht werden, da Dienste oder Programme, die auf diese Benutzer angewiesen sind, nach dem Löschen nicht mehr normal ausgeführt werden können, was zu Systemproblemen führt.
Darüber hinaus ist jede Zeile mit Benutzerinformationen in 7 Felder mit „:“ als Trennzeichen unterteilt. Die Bedeutung jedes Feldes ist wie folgt:
用户名:密码:UID(用户ID):GID(组ID):描述性信息:主目录:默认Shell
Als nächstes werde ich diese Felder einzeln vorstellen.
Benutzername
Benutzername ist eine Zeichenfolge, die die Identität des Benutzers darstellt.
Wie bereits erwähnt, dient der Benutzername nur der Bequemlichkeit des Benutzerspeichers. Das Linux-System verwendet UID, um Benutzeridentitäten zu identifizieren und Benutzerberechtigungen zuzuweisen. Die entsprechende Beziehung zwischen Benutzername und UID ist in der Datei /etc/passwd definiert.
Passwort
„x“ bedeutet, dass dieser Benutzer ein Passwort hat, aber es ist kein echtes Passwort. Das echte Passwort wird in der Datei /etc/shadow gespeichert (detaillierte Einführung im nächsten Abschnitt).
In den frühen UNIX-Versionen wurde hier die echte verschlüsselte Passwortzeichenfolge gespeichert. Da jedoch alle Programme diese Datei lesen können, ist es sehr einfach, dass Benutzerdaten gestohlen werden.
Obwohl das Passwort verschlüsselt ist, kann es auch durch Brute-Force-Cracking geknackt werden.
Daher platziert das Linux-System jetzt die echte verschlüsselte Passwortzeichenfolge in der Datei /etc/shadow. Diese Datei kann nur vom Root-Benutzer durchsucht und bedient werden, wodurch die Sicherheit des Passworts weitestgehend gewährleistet ist.
Es ist zu beachten, dass „x“ zwar nicht das echte Passwort darstellt, es aber nicht gelöscht werden kann. Wenn „x“ gelöscht wird, geht das System davon aus, dass der Benutzer kein Passwort hat, was dazu führt, dass nur das eingegeben wird Sie können sich ohne Eingabe des Benutzernamens anmelden (Sie können sich nur ohne Passwort anmelden, nicht aus der Ferne), es sei denn, es liegen besondere Umstände vor (z. B. das Knacken des Benutzerkennworts), was natürlich nicht möglich ist.
UID
UID, das ist die Benutzer-ID. Jeder Benutzer verfügt über eine eindeutige UID, und das Linux-System verwendet die UID, um verschiedene Benutzer zu identifizieren.
Tatsächlich ist die UID eine Zahl zwischen 0 und 65535. Zahlen in verschiedenen Bereichen repräsentieren unterschiedliche Benutzeridentitäten.
GID
Der vollständige Name ist „Gruppen-ID“, auch „Gruppen-ID“ genannt, was die Gruppen-ID-Nummer der ursprünglichen Gruppe des Benutzers darstellt. Die Konzepte der Anfangsgruppe und der Zusatzgruppe müssen hier erläutert werden.
Anfängliche Gruppe bedeutet, dass der Benutzer beim Anmelden über die entsprechenden Berechtigungen dieser Benutzergruppe verfügt. Jeder Benutzer kann nur eine Anfangsgruppe haben. Normalerweise wird der Gruppenname, der mit dem Benutzernamen des Benutzers übereinstimmt, als Anfangsgruppe des Benutzers verwendet. Wenn wir beispielsweise die Benutzerlampe manuell hinzufügen, wird beim Erstellen der Benutzerlampe die Lampengruppe als anfängliche Gruppe des Lampenbenutzers erstellt.
Zusätzliche Gruppen bedeuten, dass Benutzer mehreren anderen Benutzergruppen beitreten können und über die Berechtigungen dieser Gruppen verfügen. Jeder Benutzer kann nur eine erste Gruppe haben. Zusätzlich zur ersten Gruppe können Benutzer anderen Benutzergruppen beitreten. Es kann mehrere zusätzliche Gruppen geben und Benutzer können Berechtigungen für diese zusätzlichen Gruppen haben.
Zum Beispiel habe ich zusätzlich zur anfänglichen Gruppe „Lampe“ den Lampenbenutzer zur Benutzergruppe hinzugefügt. Dann gehört der Lampenbenutzer sowohl zur Lampengruppe als auch zur Benutzergruppe, wobei „Lampe“ die anfängliche Gruppe und „Benutzer“ eine zusätzliche Gruppe ist .
Natürlich können die Identitäten der Anfangsgruppe und zusätzlicher Gruppen geändert werden, aber wir ändern in unserer Arbeit nicht die Anfangsgruppe, sondern nur die zusätzlichen Gruppen, da das Ändern der Anfangsgruppe manchmal die Logik des Administrators durcheinander bringt.
Es ist zu beachten, dass die im vierten Feld der Datei /etc/passwd angezeigte ID die ursprüngliche Gruppe dieses Benutzers ist.
Beschreibende Informationen
Dieses Feld hat keinen wichtigen Zweck, es wird lediglich verwendet, um die Bedeutung dieses Benutzers zu erklären.
Home-Verzeichnis
也就是用户登录后有操作权限的访问目录,通常称为用户的主目录。
例如,root 超级管理员账户的主目录为 /root,普通用户的主目录为 /home/yourIDname,即在 /home/ 目录下建立和用户名相同的目录作为主目录,如 lamp 用户的主目录就是 /home/lamp/ 目录。
默认的Shell
Shell 就是 Linux 的命令解释器,是用户和 Linux 内核之间沟通的桥梁。
我们知道,用户登陆 Linux 系统后,通过使用 Linux 命令完成操作任务,但系统只认识类似 0101 的机器语言,这里就需要使用命令解释器。也就是说,Shell 命令解释器的功能就是将用户输入的命令转换成系统可以识别的机器语言。
通常情况下,Linux 系统默认使用的命令解释器是 bash(/bin/bash),当然还有其他命令解释器,例如 sh、csh 等。
2、/etc/shadow 文件
/etc/shadow 文件,用于存储 Linux 系统中用户的密码信息,又称为“影子文件”。
前面介绍了 /etc/passwd 文件,由于该文件允许所有用户读取,易导致用户密码泄露,因此 Linux 系统将用户的密码信息从 /etc/passwd 文件中分离出来,并单独放到了此文件中。
/etc/shadow 文件只有 root 用户拥有读权限,其他用户没有任何权限,这样就保证了用户密码的安全性。
注意,如果这个文件的权限发生了改变,则需要注意是否是恶意攻击。
介绍此文件之前,我们先打开看看,执行如下命令:
[root@localhost ~]#vim /etc/shadow root: $6$9w5Td6lg $bgpsy3olsq9WwWvS5Sst2W3ZiJpuCGDY.4w4MRk3ob/i85fl38RH15wzVoom ff9isV1 PzdcXmixzhnMVhMxbvO:15775:0:99999:7::: bin:*:15513:0:99999:7::: daemon:*:15513:0:99999:7::: …省略部分输出…
同 /etc/passwd 文件一样,文件中每行代表一个用户,同样使用 ":" 作为分隔符,不同之处在于,每行用户信息被划分为 9 个字段。每个字段的含义如下:
用户名:加密密码:最后一次修改时间:最小修改时间间隔:密码有效期:密码需要变更前的警告天数:密码过期后的宽限时间:账号失效时间:保留字段
接下来,给大家分别介绍这 9 个字段。
用户名
同 /etc/passwd 文件的用户名有相同的含义。
加密密码
这里保存的是真正加密的密码。目前 Linux 的密码采用的是 SHA512 散列加密算法,原来采用的是 MD5 或 DES 加密算法。SHA512 散列加密算法的加密等级更高,也更加安全。
注意,这串密码产生的乱码不能手工修改,如果手工修改,系统将无法识别密码,导致密码失效。很多软件透过这个功能,在密码串前加上 "!"、"*" 或 "x" 使密码暂时失效。
所有伪用户的密码都是 "!!" 或 "*",代表没有密码是不能登录的。当然,新创建的用户如果不设定密码,那么它的密码项也是 "!!",代表这个用户没有密码,不能登录。
最后一次修改时间
此字段表示最后一次修改密码的时间,可是,为什么 root 用户显示的是 15775 呢?
这是因为,Linux 计算日期的时间是以 1970 年 1 月 1 日作为 1 不断累加得到的时间,到 1971 年 1 月 1 日,则为 366 天。这里显示 15775 天,也就是说,此 root 账号在 1970 年 1 月 1 日之后的第 15775 天修改的 root 用户密码。
那么,到底 15775 代表的是哪一天呢?可以使用如下命令进行换算:
[root@localhost ~]# date -d "1970-01-01 15775 days" 2013年03月11日 星期一 00:00:00 CST
可以看到,通过以上命令,即可将其换算为我们习惯的系统日期。
最小修改时间间隔
最小修改间隔时间,也就是说,该字段规定了从第 3 字段(最后一次修改密码的日期)起,多长时间之内不能修改密码。如果是 0,则密码可以随时修改;如果是 10,则代表密码修改后 10 天之内不能再次修改密码。
此字段是为了针对某些人频繁更改账户密码而设计的。
密码有效期
经常变更密码是个好习惯,为了强制要求用户变更密码,这个字段可以指定距离第 3 字段(最后一次更改密码)多长时间内需要再次变更密码,否则该账户密码进行过期阶段。
该字段的默认值为 99999,也就是 273 年,可认为是永久生效。如果改为 90,则表示密码被修改 90 天之后必须再次修改,否则该用户即将过期。管理服务器时,通过这个字段强制用户定期修改密码。
密码需要变更前的警告天数
与第 5 字段相比较,当账户密码有效期快到时,系统会发出警告信息给此账户,提醒用户 "再过 n 天你的密码就要过期了,请尽快重新设置你的密码!"。
该字段的默认值是 7,也就是说,距离密码有效期的第 7 天开始,每次登录系统都会向该账户发出 "修改密码" 的警告信息。
密码过期后的宽限天数
也称为“口令失效日”,简单理解就是,在密码过期后,用户如果还是没有修改密码,则在此字段规定的宽限天数内,用户还是可以登录系统的;如果过了宽限天数,系统将不再让此账户登陆,也不会提示账户过期,是完全禁用。
比如说,此字段规定的宽限天数是 10,则代表密码过期 10 天后失效;如果是 0,则代表密码过期后立即失效;如果是 -1,则代表密码永远不会失效。
账号失效时间
同第 3 个字段一样,使用自 1970 年 1 月 1 日以来的总天数作为账户的失效时间。该字段表示,账号在此字段规定的时间之外,不论你的密码是否过期,都将无法使用!
该字段通常被使用在具有收费服务的系统中。
保留
这个字段目前没有使用,等待新功能的加入。
3、/ect/group 文件
/ect/group 文件是用户组配置文件,即用户组的所有信息都存放在此文件中。
此文件是记录组 ID(GID)和组名相对应的文件。前面讲过,etc/passwd 文件中每行用户信息的第四个字段记录的是用户的初始组 ID,那么,此 GID 的组名到底是什么呢?就要从 /etc/group 文件中查找。
/etc/group 文件的内容可以通过 Vim 看到:
[root@localhost ~]#vim /etc/group root:x:0: bin:x:1:bin,daemon daemon:x:2:bin,daemon …省略部分输出… lamp:x:502:
可以看到,此文件中每一行各代表一个用户组。在前面章节中,我们曾创建 lamp 用户,系统默认生成一个 lamp 用户组,在此可以看到,此用户组的 GID 为 502,目前它仅作为 lamp 用户的初始组。
各用户组中,还是以 ":" 作为字段之间的分隔符,分为 4 个字段,每个字段对应的含义为:
组名:密码:GID:该用户组中的用户列表
接下来,分别介绍各个字段具体的含义。
组名
也就是是用户组的名称,有字母或数字构成。同 /etc/passwd 中的用户名一样,组名也不能重复。
组密码
和 /etc/passwd 文件一样,这里的 "x" 仅仅是密码标识,真正加密后的组密码默认保存在 /etc/gshadow 文件中。
不过,用户设置密码是为了验证用户的身份,那用户组设置密码是用来做什么的呢?用户组密码主要是用来指定组管理员的,由于系统中的账号可能会非常多,root 用户可能没有时间进行用户的组调整,这时可以给用户组指定组管理员,如果有用户需要加入或退出某用户组,可以由该组的组管理员替代 root 进行管理。但是这项功能目前很少使用,我们也很少设置组密码。如果需要赋予某用户调整某个用户组的权限,则可以使用 sudo 命令代替。
组ID (GID)
就是群组的 ID 号,Linux 系统就是通过 GID 来区分用户组的,同用户名一样,组名也只是为了便于管理员记忆。
这里的组 GID 与 /etc/passwd 文件中第 4 个字段的 GID 相对应,实际上,/etc/passwd 文件中使用 GID 对应的群组名,就是通过此文件对应得到的。
组中的用户
此字段列出每个群组包含的所有用户。需要注意的是,如果该用户组是这个用户的初始组,则该用户不会写入这个字段,可以这么理解,该字段显示的用户都是这个用户组的附加用户。
举个例子,lamp 组的组信息为 "lamp:x:502:",可以看到,第四个字段没有写入 lamp 用户,因为 lamp 组是 lamp 用户的初始组。如果要查询这些用户的初始组,则需要先到 /etc/passwd 文件中查看 GID(第四个字段),然后到 /etc/group 文件中比对组名。
每个用户都可以加入多个附加组,但是只能属于一个初始组。所以我们在实际工作中,如果需要把用户加入其他组,则需要以附加组的形式添加。例如,我们想让 lamp 也加入 root 这个群组,那么只需要在第一行的最后一个字段加入 lamp,即 root:x:0:lamp 就可以了。
一般情况下,用户的初始组就是在建立用户的同时建立的和用户名相同的组。
4、/etc/gshadow文件
组用户信息存储在 /etc/group 文件中,而将组用户的密码信息存储在 /etc/gshadow 文件中。
首先,我们借助 Vim 命令查看一下此文件中的内容:
[root@localhost ~]#vim /etc/gshadow root::: bin:::bin, daemon daemon:::bin, daemon ...省略部分输出... lamp:!::
文件中,每行代表一个组用户的密码信息,各行信息用 ":" 作为分隔符分为 4 个字段,每个字段的含义如下:
组名:加密密码:组管理员:组附加用户列表
组名
同 /etc/group 文件中的组名相对应。
组密码
Bei den meisten Benutzern ist das Gruppenpasswort normalerweise nicht festgelegt, daher ist dieses Feld oft leer, aber manchmal ist es „!“, was bedeutet, dass die Gruppe kein Gruppenpasswort hat und keinen Gruppenadministrator hat.
Gruppenadministrator
Aus Sicht eines Systemadministrators besteht die größte Funktion dieser Datei darin, einen Gruppenadministrator zu erstellen. Was ist also ein Gruppenadministrator?
Angesichts der Tatsache, dass es zu viele Konten im Linux-System gibt und der Superadministrator Root möglicherweise beschäftigt ist, kann Root möglicherweise nicht rechtzeitig reagieren, wenn ein Benutzer einer Gruppe beitreten möchte. Wenn es in diesem Fall einen Gruppenadministrator gibt, kann dieser den Benutzer zu der von ihm verwalteten Gruppe hinzufügen und sich so die Mühe eines Root-Vorgangs ersparen.
Allerdings wird diese Funktion von Gruppenadministratoren aufgrund der aktuellen Tools wie sudo nur selten genutzt.
Zusätzliche Benutzer in der Gruppe
In diesem Feld wird angezeigt, welche zusätzlichen Benutzer sich in dieser Benutzergruppe befinden. Dies entspricht der Anzeige zusätzlicher Gruppen in der Datei /etc/group.
5./etc/login.defs-Datei
/etc/login.defs-Datei wird verwendet, um beim Erstellen eines Benutzers Standardeinstellungen für einige grundlegende Attribute des Benutzers vorzunehmen, z. B. die Angabe des Benutzerbereichs UID und GID. Ablaufzeit des Benutzers, maximale Passwortlänge usw.
Es ist zu beachten, dass die Benutzer-Standardkonfiguration dieser Datei für den Root-Benutzer nicht gültig ist. Und wenn die Konfiguration in dieser Datei mit den Benutzerinformationen in den Dateien /etc/passwd und /etc/shadow in Konflikt steht, wird das System in /etc/passwd und /etc/shadow wirksam.
Leser können den Befehl vim /etc/login.defs verwenden, um den Inhalt der Datei anzuzeigen. Tabelle 1 enthält eine detaillierte Erläuterung jeder Option in der Datei.
| Einstellungselemente | Bedeutung |
|---|---|
| MAIL_DIR /var/spool/mail | Beim Erstellen eines Benutzers erstellt das System ein Benutzerpostfach im Verzeichnis /var/spool/mail. Das Postfach des Lampenbenutzers ist beispielsweise /var/spool/mail/lamp. |
| PASS_MAX_DAYS 99999 | Die Gültigkeitsdauer des Passworts, 99999, ist die Anzahl der Tage, die das Passwort seit dem 1. Januar 1970 gültig ist, was 273 Jahren entspricht. Es versteht sich, dass das Passwort immer gültig ist. |
| PASS_MIN_DAYS 0 | Gibt die Mindestanzahl an Tagen an, nach denen der Benutzer das Passwort seit der letzten Passwortänderung erneut ändern kann. Der Standardwert ist 0. |
| PASS_MIN_LEN 5 | Geben Sie die Mindestlänge des Passworts an, die standardmäßig mindestens 5 Zeichen beträgt. Da die Benutzerauthentifizierung beim Anmelden jedoch durch das PAM-Modul ersetzt wurde, ist diese Option nicht wirksam. |
| PASS_WARN_AGE 7 | Gibt die Anzahl der Tage an, bevor das System mit der Weitergabe von Benutzerkennwörtern beginnt, die bald ablaufen. Der Standardwert ist 7 Tage. |
| UID_MIN 500 | Geben Sie eine Mindest-UID von 500 an, was bedeutet, dass beim Hinzufügen eines Benutzers die Standard-UID bei 500 beginnt. Beachten Sie, dass, wenn Sie manuell einen Benutzer mit einer UID von 550 angeben, der nächste erstellte Benutzer eine UID ab 551 haben wird, auch wenn die UIDs zwischen 500 und 549 nicht verwendet werden. |
| UID_MAX 60000 | Die maximale UID für einen bestimmten Benutzer beträgt 60000. |
| GID_MIN 500 | Geben Sie eine Mindest-GID von 500 an, was bedeutet, dass beim Hinzufügen einer Gruppe die GID der Gruppe bei 500 beginnt. |
| GID_MAX 60000 | Die maximale Benutzer-GID beträgt 60000. |
| CREATE_HOME ja | Geben Sie beim Erstellen eines Benutzers an, ob das Home-Verzeichnis des Benutzers erstellt werden soll, und „Nein“ bedeutet, dass es nicht erstellt werden soll. |
| UMASK 077 | Die Berechtigungen für das Home-Verzeichnis des Benutzers sind standardmäßig auf 077 eingestellt. |
| USERGROUPS_ENAB ja | Geben Sie an, ob die Benutzergruppe gleichzeitig mit dem Löschen des Benutzers gelöscht werden soll. Zur Vorbereitung bezieht sich dies auf das Löschen der ursprünglichen Gruppe des Benutzers. Der Standardwert dieses Elements ist „Ja“. |
| ENCRYPT_METHOD SHA512 | Geben Sie die Verschlüsselungsregel an, die standardmäßig für Benutzerkennwörter verwendet wird. Dies ist der neue Kennwortverschlüsselungsmodus. Das ursprüngliche Linux konnte nur DES- oder MD5-Verschlüsselung verwenden. |
Verwandte Empfehlungen: „Linux-Video-Tutorial“
Das obige ist der detaillierte Inhalt vonWoraus besteht die Kontodatei des Linux-Systems?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
