linux和用户账户相关的系统文件

1./etc/passwd：用户基础信息

/etc/passwd文件是用户管理工作涉及的最重要的一个文件。Linux系统中的每个用户都在/etc/passwd文件中有一个对应的记录行，他记录了这个用户的一些基本属性。这个文件对所有用户都是可读的。

从上面的例子我们能看到，/etc/passwd中一行记录对应着一个用户，每行记录又被冒号分隔为7个字段，其格式和具体含义如下：

用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell

用户登录后，要启动一个进程，负责将用户的操作传给内核，这个进程是用户登录到系统后运行的命令解释器或某个特定的程式，即Shell。Shell是用户和Linux系统之间的接口。 Linux的Shell 有许多种，每种都有不同的特点。常用的有sh(Bourne Shell),csh(C Shell),ksh(Korn Shell),tcsh(TENEX/TOPS-20 type C Shell),bash(Bourne Again Shell)等。系统管理员能根据系统情况和用户习惯为用户指定某个Shell。如果不指定Shell，那么系统使用sh为默认的登录Shell，即这个 字段的值为/bin/sh。

用户的登录Shell也能指定为某个特定的程式（此程式不是个命令解释器）。利用这一特点，我们能限制用户只能运行指定的应用程式，在该应用程式运行结束 后，用户就自动退出了系统。有些Linux系统需求只有那些在系统中登记了的程式才能出目前这个字段中。系统中有一类用户称为伪用户（psuedo users），这些用户在/etc/passwd文件中也占有一条记录，不过不能登录，因为他们的登录Shell为空。他们的存在主要是方便系统管理，满 足相应的系统进程对文件属主的需求。常见的伪用户如下所示。

伪用户含义：

bin 拥有可执行的用户命令文件

sys 拥有系统文件

adm 拥有帐户文件

uucp UUCP使用

lp lp或lpd子系统使用

nobody NFS使用

除了上面列出的伪用户外，更有许多标准的伪用户，例如：audit,cron,mail,usenet等，他们也都各自为相关的进程和文件所需要。由于 /etc/passwd文件是所有用户都可读的，如果用户的密码太简单或规律比较明显的话，一台普通的计算机就能够非常容易地将他破解，因此对安全性需求较高的Linux系统都把加密后的口令字分离出来，独立存放在一个文件中，这个文件是/etc/shadow文件。只有终极用户才拥有该文件读权限，这就确保了用户密码的安全性。

2./etc/shadow：用户密码

/etc/shadow中的记录行和/etc/passwd中的一一对应，他由pwconv命令根据/etc/passwd中的数据自动产生。他的文件格式和/etc/passwd类似，由若干个字段组成，字段之间用“:”隔开。这些字段是：

登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志

（1）“登录名”是和/etc/passwd文件中的登录名相一致的用户账号

（2）“口令”字段存放的是加密后的用户口令字，长度为13个字符。如果为空，则对应用户没有口令，登录时不必口令；如果含有不属于集合{ ./0-9A-Za-z }中的字符，则对应的用户不能登录。

（3）“最后一次修改时间”表示的是从某个时刻起，到用户最后一次修改口令时的天数。时间起点对不同的系统可能不相同。例如在SCO Linux中，这个时间起点是1970年1月1日。

（4）“最小时间间隔”指的是两次修改口令之间所需的最小天数。

（5）“最大时间间隔”指的是口令保持有效的最大天数。

（6）“警告时间”字段表示的是从系统开始警告用户到用户密码正式失效之间的天数。

（7）“不活动时间”表示的是用户没有登录活动但账号仍能保持有效的最大天数。

（8）“失效时间”字段给出的是个绝对的天数，如果使用了这个字段，那么就给出相应账号的生存期。期满后，该账号就不再是个合法的账号，也就不能再用来登录了。

3./etc/group：用户组信息

用户组的所有信息都存放在/etc/group文件中

将用户分组是Linux系统中对用户进行管理及控制访问权限的一种手段。每个用户都属于某个用户组；一个组中能有多个用户，一个用户也能属于不同的组。当 一个用户同时是多个组中的成员时，在/etc/passwd文件中记录的是用户所属的主组，也就是登录时所属的默认组，而其他组称为附加组。用户要访问属 于附加组的文件时，必须首先使用newgrp命令使自己成为所要访问的组中的成员。用户组的所有信息都存放在/etc/group文件中。此文件的格式也 类似于/etc/passwd文件，由冒号隔开若干个字段，这些字段有：

组名:口令:组标识号:组内用户列表

（1）“组名”是用户组的名称，由字母或数字构成。和/etc/passwd中的登录名相同，组名不应重复。

（2）“口令”字段存放的是用户组加密后的口令字。一般Linux系统的用户组都没有口令，即这个字段一般为空，或是*。

（3）“组标识号”和用户标识号类似，也是个整数，被系统内部用来标识组。

（4）“组内用户列表”是属于这个组的所有用户的列表，不同用户之间用逗号“,”分隔。这个用户组可能是用户的主组，也可能是附加组。

4./etc/login.defs：新增用户默认设置

login.defs是设置用户帐号限制的文件，在这里我们可配置密码的最大过期天数，密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项，则以/etc/shadow里的设置为准，也就是说/etc/shadow的配置优先级高于/etc/login.defs。

[root@dba01 tmp]# cat /etc/login.defs | grep ^[^#] #显示文件中不为#开头的行
MAIL_DIR	/var/spool/mail   #用户的mail文件主目录
PASS_MAX_DAYS	99999         #用户密码不过期最多的天数
PASS_MIN_DAYS	0             #两次修改密码的最小时间间隔，单位是天
PASS_MIN_LEN	5             #密码最小长度，对root无效
PASS_WARN_AGE	7             #密码过期前多少天开始提醒
UID_MIN			  500         #普通用户的id最小值
UID_MAX			60000         #用户id能设置的最大值
GID_MIN			  500         #组id的最小值
GID_MAX			60000         #组id的最大值
#USERDEL_CMD    /usr/sbin/userdel_local  #在删除用户时执行的脚本，默认不设置
CREATE_HOME	yes               #使用useradd时迷人自动创建用户家目录
UMASK           077
USERGROUPS_ENAB yes           #在不指定的用户组时候，自动创建用户组
ENCRYPT_METHOD SHA512         #用md5加密密码

查看/var/spool/mail文件，可以看到，每个用户都有一个专属文件记录对应用户的邮件信息。