ID:ChinaUnix2013
1、使用者和使用者群組檔案
在linux中,使用者帳號,使用者密碼,使用者群組資訊和使用者群組密碼均是儲存在不同的設定檔中的。
在linux系統中,所建立的使用者帳號和其相關資訊(密碼除外)都是儲存在/etc/passwd設定檔中。因為所有使用者對passwd檔案都有讀取的權限,因而密碼資訊並未保存在該檔案中,而是保存在了/etc/shadow的設定檔中。
在passwd檔案中,一行定義一個使用者帳號,每行由多個不同的陣列構成,各數組值間以":」分隔,每位陣列均代表該帳號某方面的資訊。
在剛安裝完成的linux系統中,passwd設定檔已有好多帳號資訊了,這種帳號是由系統手動建立的,她們是linux流程或部份服務程式正常運作所須要使用的帳號linux課程,這種帳戶的最後一個陣列的值通常為/sbin/nologin,表示該帳號不能拿來登陸linux系統。
在passwd設定檔中,由左至右各數組的對應關係及其涵義:
因為passwd不再保存密碼訊息,所以用x佔位代表。
若要讓某個使用者帳號無法登入linux,只要設定該使用者所使用的shell為/sbin/nologin即可。例如,對於FTP帳戶,通常只容許登陸和存取FTP伺服器,不容許登陸linux作業系統。若要讓某用戶沒有telnet權限,即不容許該用戶借助telnet遠端登陸和存取linux作業系統,則設定該用戶所使用的shell為/bin/true即可。若要讓使用者沒有telnet和ftp登陸權限,則可設定該使用者的shell為/bin/false。
在/etc/shells檔案中,若沒有/bin/true或/bin/false,則須要自動新增:
[root@localhost~]#echo"/bin/false">>/etc/shells
[root@localhost~]#echo"/bin/true">>/etc/shells
2、使用者密碼檔
為安全起見,用戶真實的密碼採用MD5加密演算法加密後,保存在/etc/shadow設定檔中,該檔案只有root用戶可以讀取。
與passwd檔案類似,shadow檔案也是每行定義和保存一個帳戶的相關資訊。第一個陣列為使用者帳戶名,第二個陣列為帳戶的密碼。
3、用戶群組帳號檔案
用戶群組帳號資訊保存在/etc/group設定檔中linux系統使用者設定檔是什麼?,任何用畝均可以讀取。使用者群組的真實密碼保存在/etc/gshadow設定檔中。
在group中,第一個陣列代表使用者群組的名稱,第二個陣列為x,第三個為使用者群組的ID號,第四個為該使用者群組的使用者成員列表,各使用者名稱間用冒號分隔。
4、新增使用者
建立或新增使用者使用useradd指令來實現,其指令用法為:
useradd[option]username
#此指令的option選項較多,常用的主要有:
-c註釋使用者設定對帳戶的註釋說明文字
-d主目錄指定拿來取代預設的/home/username的主目錄
#-m若主目錄不存在,則建立它。 -r與-m結合,可為系統帳戶建立主目錄
-M不建立主目錄
-edate指定帳戶過期的日期。日期格式為MM/DD/YY
-fdays帳號過期幾天後永久停權。若指定為-,則立刻被停權,若為-1,則關掉此功能
-g使用者群組指定將使用者加入到那個使用者群組,該使用者群組必須存在
-G用戶群組列表指定用戶同時加入的用戶群組列表,各組以逗分分隔
-n不為使用者建立私有使用者群組
-sshell指定使用者登入時使用的shell,預設為/bin/bash
#-r建立一個使用者ID大於500的系統帳戶,預設不建立對應的主目錄
-u用戶ID自動指定新用戶的ID值,該值必須惟一,且小於499
-ppassword為新建使用者指定登陸密碼。此處的password是對應登陸密碼經MD5加密後所得到的密碼值,不真實真實密碼原文,因而在實際應用中,此參數選項使用較少,一般單獨使用passwd指令來為使用者設定登陸密碼。
範例:
若要建立一個名為nisj的用戶,並作為babyfish用戶群組的成員,則操作指令為:
[root@localhost~]#useradd-gbabyfishnisj
#[root@localhost~]#idnisj
uid=502(nisj)gid=500(babyfish)groups=500(babyfish)
[root@localhost~]#tail-1/etc/passwd
##nisj:x:502:500::/home/nisj:/bin/bash
新增使用者時,若未使用-g參數指定使用者群組,則系統預設會手動建立與使用者帳號同名的私有使用者群組。若不須要建立該私有用戶群組,則可選用-n參數。
例如,新增一個名為nsj820的帳戶,但不指定使用者群組,其操作結果為:
[root@localhost~]#useraddnsj820
[root@localhost~]#idnsj820
uid=503(nsj820)gid=503(nsj820)groups=503(nsj820)
[root@localhost~]#tail-1/etc/passwd########
###nsj820:x:503:503::/home/nsj820:/bin/bash###
[root@localhost~]#tail-2/etc/passwd
##nisj:x:502:500::/home/nisj:/bin/bash
nsj820:x:503:503::/home/nsj820:/bin/bash#系統手動建立了名為nsj820的使用者群組,ID號碼為503
建立使用者帳戶時,系統會手動建立該使用者對應的主目錄,該目錄預設會置於/home目錄下,若要改變位置,可以藉助-d參數指定;對於使用者登入時使用的shell,預設為/bin/bash,若要修改,則使用-s參數指定
例如,若要建立一個名為vodup的帳戶,主目錄置於/var目錄下,並指定登陸shell為/sbin/nologin,則操作指令為:
[root@localhost~]#useradd-d/var/vodup-s/sbin/nologinvodup
[root@localhost~]#idvodup
uid=504(vodup)gid=504(vodup)groups=504(vodup)
[root@localhost~]#tail-1/etc/passwd
##vodup:x:504:504::/var/vodup:/sbin/nologin
[root@localhost~]#tail-1/etc/group
##vodup:x:504:
5、設定帳號屬性
對於已建立好的用戶,可使用usermod指令來變更和設定帳戶的各項屬性,包括登陸名,主目錄,用戶群組,登陸shell等,該指令用法為:
usermod[option]username
部份option選項
(1)改變使用者帳號名稱
使用-l參數來實現,指令用法為:
usermod-l新使用者名稱原始使用者名稱
例如,若要將使用者nsj820改名為nsj0820,則操作指令為:
[root@localhost~]#usermod-lnsj0820nsj820
[root@localhost~]#idnsj0820
uid=503(nsj0820)gid=503(nsj820)groups=503(nsj820)
[root@localhost~]#tail-1/etc/passwd
##nsj0820:x:503:503::/home/nsj820:/bin/bash
從輸出結果可見,使用者名稱已修改為nsj0820。主目錄仍為原先的/home/nsj820,若也要修改為/home/nsj0820
linux系統使用者設定檔是什麼?
,則可透過執行下列指令來實作
[root@localhost~]#usermod-d/home/nsj0820nsj0820
[root@localhost~]#idnsj0820
uid=503(nsj0820)gid=503(nsj820)groups=503(nsj820)
[root@localhost~]#tail-1/etc/passwd
#####
###nsj0820:x:503:503::/home/nsj0820:/bin/bash###
###[root@localhosthome]#mv/home/nsj820/home/nsj0820###
(2)鎖定帳號
若要暫時嚴禁用戶登入,可將該用戶帳號鎖定。鎖定帳戶可藉助-L參數來實現,其指令用法為:
usermod-L要鎖定的帳號
linux鎖定用戶,是透過在密碼檔案shadow的密碼陣列前加上「!」來標示該用戶被鎖定。
[root@localhosthome]#usermod-Lnsj0820
[root@localhosthome]#tail-1/etc/shadow
##nsj0820:!$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK30:16910:0:99999:7:::
但透過root用戶進去,之後su到被鎖定的用戶,是可以進去的。
(3)解鎖帳號
要解鎖帳戶,可以使用帶有-U參數的usermod指令來實現。
[root@localhost~]#usermod-Unsj0820
[root@localhost~]#tail-1/etc/shadow
nsj0820:$1$JEW25RtU$X9kIdwJi/HPzSKMVe3EK30:16910:0:99999:7:::
6、刪除帳戶
要刪掉帳戶,可以使用userdel指令來實現,其用法為:
userdel[-r]帳號名稱
-r為可選項,若帶上該參數,則在刪掉該帳戶的同時,一併刪掉該帳戶對應的主目錄。
[root@localhost~]#userdel-rnsj0820
若要設定所有使用者帳戶密碼過期的時間,則可透過變更/etc/login.defs設定檔中的PASS_MAX_DAYS設定項的值來實現,其預設值為99999,代表使用者帳戶密碼永不過期。其中PASS_MIN_LEN配置項目用於指定帳戶密碼的最小寬度,預設為5個字元。
7、設定使用者登錄密碼
使用passwd指令來設置,其指令用法為:
passwd[帳號名稱]
若指定了帳號名稱,則設定指定帳號的登陸密碼,原密碼手動被覆寫。只有root使用者才有權設定指定帳號的密碼。通常使用者只能設定或更改自己帳戶的密碼(不含參數)。
例如,若要設定nisj帳號的登入密碼,則操作指令為:
#[root@localhosthome]#passwdnisj
Changingpasswordforusernisj.
Newpassword:
BADPASSWORD:itistooshort
#####
###BADPASSWORD:istoosimple###
Retypenewpassword:
passwd:allauthenticationtokensupdatedsuccessfully.
帳號登入密碼設定後,該帳號就可以登入系統了。
8、鎖定/解鎖帳號密碼及查詢密碼狀態、刪除帳號密碼
在linux中LINUX 刪除目錄,不僅使用者帳號可被鎖定外,帳號密碼也可被鎖定,任何一方被鎖定後,都將未能登入系統。只有root使用者才有權執行該指令,鎖定帳號密碼使用帶有-l選項的passwd指令,其用法為:
passwd-l帳號名稱
passwd-u帳號名稱#解鎖帳號密碼
[root@localhosthome]#passwd-lnisj
Lockingpasswordforusernisj.
passwd:Success
[root@localhosthome]#passwd-unisj
Unlockingpasswordforusernisj.
passwd:Success
要查詢目前帳戶的密碼是否被鎖定,可以使用帶有-S參數的passwd指令來實現,其用法為:
passwd-S帳號名稱
比如
[root@localhosthome]#passwd-Snisj
以上是用戶和用戶群組檔案在linux中的應用系統設置的詳細內容。更多資訊請關注PHP中文網其他相關文章!
