来源:不详
我将以介绍 /etc/passwd 文件开始,该文件定义了 Linux 系统上存在的所有用户。您可以通过输入“less /etc/passwd”来查看您自己的 /etc/passwd 文件。/etc/passwd 中的每一行定义一个用户帐户。这里有一个来自于我的 /etc/passwd 文件的示例行:
drobbins:x:1000:1000:Daniel Robbins:/home/drobbins:/bin/bash
您可以看到,这一行中有相当多的信息。实际上,每个 /etc/passwd 行由多个字段组成,每个字段用 : 隔开。
第一个字段:定义了用户名(drobbins)。
第二个字段:包含一个 x。在旧式的 Linux 系统上,该字段将包含一个用来认证的加密密码,但是事实上现在所有的 Linux 系统将这个密码信息存储在另一个文件中。
第三个字段:(1000)定义了与该特殊用户相关联的数字用户标识。
第四个字段:(1000)将用户与一个特殊组关联起来;在下面几屏中,我们将看到定义组 1000 的地方。
第五个字段:包含该帐户的文本描述 ― 在本例中,是用户的名称。
第六个字段:定义该用户的主目录。
第七个字段:指定用户缺省的 shell ― 当用户登录时,将自动启动的 shell。
/etc/passwd 技巧和窍门
您可能已经注意到,/etc/passwd 中定义的用户帐户比实际登录您系统的用户帐户多得多。
这是因为不同的 Linux 组件使用用户帐户来加强安全性。通常,这些系统帐户有一个小于 100 的用户标识(“uid”),这其中的很多系统帐户将像 /bin/false 这样的程序列为缺省的 shell。因为 /bin/false 程序什么也不做,而是返回一个错误码退出,这有效地阻止这些帐户被用作登录帐户 ― 他们只供内部使用。
/etc/shadow
这样,用户帐户本身在 /etc/passwd 中定义。Linux 系统包含一个 /etc/passwd 的同伴文件,叫做 /etc/shadow。该文件不像 /etc/passwd,只有对于 root 用户来说是可读的,并且包含加密的密码信息。我们来看一看 /etc/shadow 的一个样本行:
drobbins:34567890123456789012345678901:11664:0:-1:-1:-1:-1:0
每一行给一个特殊帐户定义密码信息,同样的,每个字段用 : 隔开
第一个字段:定义与这个 shadow 条目相关联的特殊用户帐户。
第二个字段:包含一个加密的密码。
第三个字段:自 1/1/1970 起,密码被修改的天数。
第四个字段:密码将被允许修改之前的天数(0 表示“可在任何时间修改”)。
第五个字段:系统将强制用户修改为新密码之前的天数(1 表示“永远都不能修改”)。
第六个字段:密码过期之前,用户将被警告过期的天数(-1 表示“没有警告”)。
第七个字段:密码过期之后,系统自动禁用帐户的天数(-1 表示“永远不会禁用”)。
第八个字段:该帐户被禁用的天数(-1 表示“该帐户被启用”)。
第九个字段:保留供将来使用 。
/etc/group
接下来,我们来看一看 /etc/group 文件,它定义了 Linux 系统上所有的组。这里有一个样本行:
drobbins:x:1000:
/etc/group 字段格式如下:
第一个字段:定义组名称。
第二个字段:是不再使用的密码字段(现在只是保留为 x)。
第三个字段:定义了这个特殊组的数字组标识。
第四个字段:定义是该组成员的所有用户。(上面的示例为空)
您将回想起样本 /etc/passwd 行引用的组标识为 1000。即使 /etc/group
组提示
关于用户和组相关联的一点提示:
在一些系统上,您将发现每个新的登录帐户与同名组(通常是标识号一样)相关联。
在其它系统上,所有登录帐户将属于单个用户组。在您管理的系统上,您使用的方法取决于您自己。为每个用户创建匹配组的好处是,通过将可信的朋友放在自己的个人组中,使用户能够更容易地控制对自己文件的访问权。
手工地添加用户和组
现在,我将为您展示怎样创建您自己的用户和组帐户。学习怎样完成这些工作的最好方法是,手工地将用户新添加到系统中。
为了开始学习,首先确保您的 EDITOR 环境变量设置为您喜欢的文本编辑器:
# echo $EDITOR
vim
如果不是,您可以通过输入这样的命令来设置 EDITOR:
# export EDITOR=/usr/bin/emacs
现在,输入:
# vipw
现在您应该发现自己在所喜欢的文本编辑器中,编辑器内 /etc/passwd 文件被装入,显示在屏幕上。
当修改系统 passwd 和 group 文件时,使用 vipw 和 vigr
命令非常重要。它们采用了额外的预防措施来确保您关键的 passwd 和 group 文件被恰当地锁定,使它们不会破坏。
编辑 /etc/passwd
既然您已经打开了 /etc/passwd 文件,则接着添加下面的代码行:
testuser:x:3000:3000:LPI tutorial test user:/home/testuser:/bin/false
我们刚刚添加了一个 UID 为 3000 的“testuser”用户。我们将他添加到 GID 为 3000 的组中,该组还未创建。
另一种做法是,如果愿意,我们还可以给这个用户分配 users 组的 GID。
这个新用户有一条注释为:LPI tutorial test user;该用户的主目录设置为 /home/testuser,出于安全的目的,该用户的 shell 设置为 /bin/false。如果我们正创建一个非测试帐户,那么我们可以将 shell 设置为 /bin/bash。OK,接着保存您所做的更改,然后退出。
编辑 /etc/shadow
现在,我们需要在 /etc/shadow 中给这个特殊用户添加一个条目。要这样做,输入:
vipw -s
您将会看到您喜欢的编辑器,它现在包含 /etc/shadow 文件。现在,接着复制一个现有用户帐户行(也就是有一个密码,并且长于标准系统帐户条目):
drobbins:34567890123456789012345678901:11664:0:-1:-1:-1:-1:0
现在,将所复制的代码行中的用户名改为您的新用户的名称,确保所有的字段(特别是密码的期限设置)设置为您喜欢的模式:
testuser:34567890123456789012345678901:11664:0:-1:-1:-1:-1:0
保存,然后退出。
设置密码
您将回到提示符。现在,是给您的新用户设置密码的时候了:
# passwd testuser
Enter new UNIX password: (enter a password for testuser)
Retype new UNIX password: (enter testuser’s new password again)
编辑/etc/group
既然 /etc/passwd 和 /etc/shadow 设置好了,现在该恰当配置 /etc/group 了。要这么做,输入:
# vigr
您的 /etc/group 文件将出现在您面前,准备好进行编辑。
现在,如果您选择给您的特殊的测试用户分配 users 缺省组,那么您不需要将任何组添加到 /etc/groups 中。但是,如果您选择给该用户创建新的组,接着添加下面的行:
testuser:x:3000:
保存,然后退出。
创建主目录
我们基本上已经完工。输入下面的命令来创建 testuser 的主目录。
# cd /home
# mkdir testuser
# chown testuser.testuser testuser
# chmod o-rwx testuser
我们用户的主目录现在已经到位,并且帐户已准备好可用。好的,基本就绪。
如果您想使用该帐户,您将需要使用 vipw 来将 testuser 的缺省 shell 改为 /bin/bash,使用户可以登录。
帐户管理实用程序
既然您知道怎样手工添加新帐户和组,我将要评论一下 Linux 下可用的各种省时的帐户管理实用程序。由于版面的限制,我将不深究描述这些命令的众多细节。请记住,通过查看命令的手册页,您总能够获得关于命令的更多信息。
我建议您花些时间来让您自己熟悉一下下面每一条命令。
newgrp
缺省情况下,用户创建的任何文件都被分配到 /etc/passwd 中所指定的用户的组。
如果用户属于其他组,他或她可以输入 newgrp thisgroup 来将当前缺省组的成员资格设置为组 thisgroup。然后,所创建的任何新文件将继承该组的成员资格。
chage
chage 命令用来查看和改变存储在 /etc/shadow 中的密码期限设置。
gpasswd
一个一般目的的组管理工具
groupadd/groupdel/groupmod
用来在 /etc/group 中添加/删除/修改组
更多的命令
useradd/userdel/usermod
用来在 /etc/passwd 中添加/删除/修改用户。这些命令还完成其它各种便利功能。要获取更多的信息,请参阅手册页。
pwconv/grpconv
用来将 passwd 和 group 文件转换为“新式”的 shadow 密码。事实上,所有 Linux 系统已经使用 shadow 密码,因此您应该不会需要使用这些命令。
pwunconv/grpunconv
用来将 passwd、shadow 和 group 文件转换成“旧式”的非 shadow 密码。您应该不会需要使用这些命令。
