读鸟哥私房菜之Linux账号与身份管理(转载/整理)
首先,Linux是如何辨别每一个使用者的呢?
使用者身份的辨别是通过UID和GID实现的,虽然我们在登入Linux主机的时候是以账号的形式,但对于Linux主机来说,他并不会直接认识你的账号,他仅认识ID,其实账号只是为方便用户记忆。而你的ID与账号的对应就在/etc/passwd中。
每个登入的使用者至少都会获得两个ID,一个是使用者ID(User ID),一个是群组ID(Group ID)。
如何登入Linux取得UID和GID?
当我们在Linux的登入界面输入账号和密码后,Linux会执行下列动作:
1. 先找寻 /etc/passwd 里面是否有这个账号?如果没有则跳出,如果有的话则将该账号对应的 UID ( User ID )与 GID ( Group ID )读出来,另外,该账号的家目录与 shell 设定也一并读出;
2. 再来则是核对密码表啦!这时 Linux 会进入 /etc/shadow 里面找出对应的账号与 UID,然后核对一下你刚刚输入的密码与里头的密码是否相符?
3. 如果一切都 OK 的话,就进入 Shell 控管的阶段啰!
如果你要备份 Linux 的系统的账号的话, 那么这两个档案/etc/passwd和/etc/shadow就一定需要一起备份才行呦!
针对/etc/passwd档案
这个档案构造是这样的,每一行都代表一个账号, 有几行就代表有几个账号在你的系统中!不过需要特别留意的是, 里头很多账号本来就是系统中必须要的,我们可以简称他为系统账号, 例如 bin, daemon, adm, nobody 等等,这些账号是系统正常运作时所需要的,请不要随意的杀掉他呢!
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
每个 Linux 系统都会有的第一行,就是 root 这个系统管理员那一行好了, 你可以明显的看出来,每一行使用『:』分隔开,共有七个咚咚,分别是:
1. 账号名称:就是账号名称啦!对应 UID 用的!例如 root 就是预设的系统管理员的账号名称;
2. 密码:早期的 Unix 系统的密码是放在这个档案中的, 但是因为这个档案的特性是所有的程序都能够读取,所以,这样一来很容易造成数据的被窃取, 因此后来就将这个字段的密码数据给他改放到 /etc/shadow 中了,关于 /etc/shadow 这一部份等一下再说。而这里你会看到一个 x ,呵呵!别担心,这表示密码已经被移动到 shadow 这个加密过后的档案啰;
3. UID:这个就是使用者识别码 (ID) 啰!通常 Linux 对于 UID 有几个限制需要说给您了解一下:
0,当 UID 是 0 时,代表这个账号是系统管理员!所以当你要作另一个系统管理员账号时, 你可以将该账号的 UID 改成 0 即可,这也就是说,一部系统上面的系统管理员不见得只有 root , 不过,不很建议有多个账号的 UID 是 0 ;
1~499,保留给系统使用的 ID,其实 1~65534 之间的账号并没有不同, 也就是除了 0 之外,其它的 UID 并没有不一样,预设 500 以下给系统作为保留账号只是一个习惯。这样的好处是,以有名的 DNS 服务器的启动服务 named 为例,这个程序的预设所有人 named 的账号 UID 是 25 ,当有其它的账号同样是 25 时,很可能会造成系统的一些小问题!为了杜绝这样的问题,建议保留 500 以前的 UID 给系统。 不过,一般来说, 1~99 会保留给系统预设的账号,另外 100~499 则保留给一些服务来使用。
500~65535,给一般使用者用的。事实上,目前的 linux 核心 (2.6.x 版)已经可以支持到 4294967295 (2^32-1) 这么大的 UID 号码喔!
4. GID:这个与 /etc/group 有关!其实 /etc/group 的观念与 /etc/passwd 差不多,只是他是用来规范 group 的而已!
5. 使用者信息说明栏:这个字段基本上并没有什么重要用途, 只是用来解释这个账号的意义而已!不过,如果您提供使用 finger 的功能时, 这个字段可以提供很多的讯息呢!底下的 chfn 可以解释一下啰!
6. 家目录:这是使用者的家目录,以上面为例, root 的家目录在 /root ,所以当 root 登入之后,就会立刻跑到 /root 里头啦!呵呵! 如果你有个账号的使用空间特别的大,你想要将该账号的家目录移动到其它的硬盘去, 没有错!可以在这里进行修改呦!预设的使用者家目录在 /home/yourIDname
7. Shell:所谓的 shell 是用来沟通人类下达的指令与硬件之间真正动作的界面!我们通常使用 /bin/bash 这个 shell 来进行指令的下达!登入 Linux 时为何预设是 bash 呢?就是这里设定的啦~ 这里比较需要注意的是,有一个 shell 可以用来替代成让账号无法登入的指令!那就是 /sbin/nologin 这个东西!这也可以用来制作纯 pop 邮件账号者的数据呢。
针对/etc/shadow档案
/etc/passwd 的权限必须要设定成为 -rw-r--r-- 这样的权限,在这样的情况下, 使用者的密码不就任何人都可以看到吗?即使这个档案内的密码栏是加密的, 坏心肠的朋友也可能利用暴力破解法去 try and error 找出您的密码数据... 因为这样的关系,所以后来发展出将密码移动到 /etc/shadow 这个档案分隔开来的技术, 而且还加入很多的密码限制参数在 /etc/shadow 里头呢!
root:$1$i9Ejldjfjio389u9sjl$jljsoi45QE/:12959:0:99999:7:::
bin:*:12959:0:99999:7:::
xhj:$1$gEA88VYG$dwK.vy2lUfDbQF2LuDmYQ.:15789:0:99999:7:::
基本上, shadow 同样以『:』作为分隔符,如果数一数,会发现共有九个字段啊, 这九个字段的用途是这样的:
1. 账号名称:由于密码也需要与账号对应啊~因此, 这个档案的第一栏就是账号,必须要与 /etc/passwd 相同才行!
2. 密码:这个才是真正的密码,而且是 经过编码过的密码啦! 你只会看到有一些特殊符号的字母就是了!需要特别留意的是, 虽然这些加密过的密码很难被解出来,但是『很难』不等于『不会』,所以, 这个档案的预设属性是『-rw-------』或者是『-r--------』,亦即只有 root 才可以读写就是了!你得随时注意,不要不小心更动了这个档案的属性呢!另外, 如果是在密码栏的第一个字符为『 * 』或者是『 ! 』,表示这个账号并不会被用来登入的意思。 所以万一哪一天你的某个使用者不乖时,可以先在这个档案中,将他的密码字段的最前面多加一个 * !嘿嘿!他就无法使用该账号啰!直到他变乖了,再给他启用啊!
3. 最近更动密码的日期:这个字段记录了『更动密码的那一天』的日期, 不过,很奇怪呀!在我的例子中怎么会是 12959 呢?呵呵,这个是因为计算 Linux 日期的时间是以 1970 年 1 月 1 日作为 1 ,而 1971 年 1 月 1 日则为 366 啦! 所以这个日期是累加的呢!得注意一下这个资料呦!那么最近的 2005 年 1 月 1 日就是 12784 啦,了解了吗?
4. 密码不可被更动的天数: 第四个字段记录了这个账号的密码需要经过几天才可以被变更!如果是 0 的话, 表示密码随时可以更动的意思。这的限制是为了怕密码被某些人一改再改而设计的!如果设定为 20 天的话,那么当你设定了密码之后, 20 天之内都无法改变这个密码呦!
5. 密码需要重新变更的天数: 由于害怕密码被某些『有心人士』窃取而危害到整个系统的安全,所以有了这个字段的设计。 你必须要在这个时间之内重新设定你的密码,否则这个账号将会暂时失效。 而如果像上面的 99999 的话,那就表示,呵呵,密码不需要重新输入啦! 不过,如果是为了安全性,最好可以设定一段时间之后,严格要求使用者变更密码呢!
6. 密码需要变更期限前的警告期限:当账号的密码失效期限快要到的时候, 就是上面那个『必须变更密码』的那个时间时, 系统会依据这个字段的设定,发出『警告』言论给这个账号,提醒他『再过 n 天你的密码就要失效了,请尽快重新设定你的密码呦!』,如上面的例子,则是密码到期之前的 7 天之内,系统会警告该用户。
7. 密码过期的恕限时间:如果用户过了警告期限没有重新输入密码, 使得密码失效了,也就是说,你在『必须变更密码的期限前,并没有变更你的密码!』 那么该组密码就称为『失效的密码』啰~怎么办?没关系,还有这个字段的天数设计啊~ 意思就是说,当密码失效后,你还可以用这个密码在 n 天内进行登入的意思。 而如果在这个天数后还是没有变更密码,呵呵!那么您的账号就失效了!无法登入!
8. 账号失效日期:这个日期跟第三个字段一样,都是使用 1970 年以来的总日数设定。这个字段表示: 这个账号在此字段规定的日期之后,将无法再使用。 这个字段会被使用通常应该是在『收费服务』的系统中, 你可以规定一个日期让该账号不能再使用啦!
9. 保留:最后一个字段是保留的,看以后有没有新功能加入。
关于/etc/group档案
这个档案就是在记录 GID 与群组名称的对应,
root:x:0:root
bin:x:1:root,bin,daemon
1. 群组名称:就是群组名称啦。
2. 群组密码:通常不需要设定,因为我们很少使用到群组登入, 不过,同样的,密码也是被纪录在 /etc/gshadow 当中。
3. GID:就是群组的 ID 。
4. 支持的账号名称:加入这个群组里面的所有的账号, 我们知道,一个使用者是可以加入多个群组的。举例来说,如果我想要让 dmtsai 也加入 root 这个群组,那么在第一行的最后面加上,dmtsai,注意不要有空格, 使成为 root:x:0:root,dmtsai 就可以啰。
有效群组(effective group)与初始群组(initial group)
每个使用者在他的 /etc/passwd 里面的第四栏有 GID ,那个 GID 就是所谓的初始群组 ( initial group ) 了!也就是说,当使用者一登入系统,立刻就拥有这个群组的相关权限的意思。使用者一登入就会主动取得,不需要在 /etc/group 的第四个字段写入该账号的!如果我以 dmtsai 这个使用者的身份登入后,该如何知道我所有支持的群组呢? 很简单啊,直接输入 groups 就可以了!注意喔,是 groups 有加 s 呢!
[dmtsai@linux ~]$ groups
dmtsai users
在这个输出的讯息中,我知道我同时属于 dmtsai 及 users 这个两个群组,而且, 第一个输出的群组即为有效群组 (effective group) 了。如果我以 touch 去建立一个新档,例如: touch test ,那么这个档案的拥有者为 dmtsai ,而且群组也是 dmtsai 的。 这样是否可以了解什么是有效群组了? 那么如何变更有效群组呢?以上面这个例子来说,因为我的 dmtsai 使用者同时拥有 dmtsai 与 users 两个群组,因此, dmtsai 当然可以随时切换 dmtsai/users 成为有效群组
[dmtsai@linux ~]$ newgrp users
[dmtsai@linux ~]$ groups
users dmtsai
当直接执行 newgrp groupname 时,使用者的有效群组会成为 groupname , 此时虽然使用者的环境设定(例如环境变量等等其它数据)不会有影响,但是使用者的权限将会重新被计算。 举例来说, dmtsai 此时建立的新档案群组是 users 了
/etc/gshadow
root:::root
bin:::root,bin,daemon
事实上,这个 /etc/gshadow 的密码提供,最大的功能是在于 让那些不在群组中的成员,临时加入该群组用的。
1. 群组名称
2. 密码栏,同样的,开头为 ! 表示无法登入;
3. 群组管理员的账号 (相关信息在后续介绍)
4. 该群组的所属账号 (与 /etc/group 内容相同!)