解析LINUX的passwd文件

通常在Linux系統中，用戶(hù)的關(guān)鍵信息被存放在系統的/etc/passwd文件中，系統的每一個(gè)合法用戶(hù)賬號對應于該文件中的一行記錄。這行記錄定義了每個(gè)用戶(hù)賬號的屬性。下面是一個(gè)passwd文件的示例(部分摘錄)：

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin

mengqc:x:500:500:mengqc:/home/mengqc:/bin/bash

在該文件中，每一行用戶(hù)記錄的各個(gè)數據段用“：”分隔，分別定義了用戶(hù)的各方面屬性。各個(gè)字段的順序和含義如下：

注冊名：口令：用戶(hù)標識號：組標識號：用戶(hù)名：用戶(hù)主目錄：命令解釋程序

(1)注冊名(login_nAME)：用于區分不同的用戶(hù)。在同一系統中注冊名是惟一的。在很多系統上，該字段被限制在8個(gè)字符(字母或數字)的長(cháng)度之內;并且要注意，通常在Linux系統中對字母大小寫(xiě)是敏感的。這與MSDOS/Windows是不一樣的。

(2)口令(passwd)：系統用口令來(lái)驗證用戶(hù)的合法性。超級用戶(hù)root或某些高級用戶(hù)可以使用系統命令passwd來(lái)更改系統中所有用戶(hù)的口令，普通用戶(hù)也可以在登錄系統后使用passwd命令來(lái)更改自己的口令。

現在的Unix/Linux系統中，口令不再直接保存在passwd文件中，通常將passwd文件中的口令字段使用一個(gè)“x”來(lái)代替，將/etc /shadow作為真正的口令文件，用于保存包括個(gè)人口令在內的數據。當然shadow文件是不能被普通用戶(hù)讀取的，只有超級用戶(hù)才有權讀取。

此外，需要注意的是，如果passwd字段中的第一個(gè)字符是“*”的話(huà)，那么，就表示該賬號被查封了，系統不允許持有該賬號的用戶(hù)登錄。

(3)用戶(hù)標識號(UID)：UID是一個(gè)數值，是Linux系統中惟一的用戶(hù)標識，用于區別不同的用戶(hù)。在系統內部管理進(jìn)程和文件保護時(shí)使用 UID字段。在Linux系統中，注冊名和UID都可以用于標識用戶(hù)，只不過(guò)對于系統來(lái)說(shuō)UID更為重要;而對于用戶(hù)來(lái)說(shuō)注冊名使用起來(lái)更方便。在某些特 定目的下，系統中可以存在多個(gè)擁有不同注冊名、但UID相同的用戶(hù)，事實(shí)上，這些使用不同注冊名的用戶(hù)實(shí)際上是同一個(gè)用戶(hù)。

(4)組標識號(GID)：這是當前用戶(hù)的缺省工作組標識。具有相似屬性的多個(gè)用戶(hù)可以被分配到同一個(gè)組內，每個(gè)組都有自己的組名，且以自己的組標 識號相區分。像UID一樣，用戶(hù)的組標識號也存放在passwd文件中。在現代的Unix/Linux中，每個(gè)用戶(hù)可以同時(shí)屬于多個(gè)組。除了在 passwd文件中指定其歸屬的基本組之外，還在/etc/group文件中指明一個(gè)組所包含用戶(hù)。

(5)用戶(hù)名(uSER_name)：包含有關(guān)用戶(hù)的一些信息，如用戶(hù)的真實(shí)姓名、辦公室地址、聯(lián)系電話(huà)等。在Linux系統中，mail和finger等程序利用這些信息來(lái)標識系統的用戶(hù)。

(6)用戶(hù)主目錄(home_directory)：該字段定義了個(gè)人用戶(hù)的主目錄，當用戶(hù)登錄后，他的Shell將把該目錄作為用戶(hù)的工作目錄。 在Unix/Linux系統中，超級用戶(hù)root的工作目錄為/root;而其它個(gè)人用戶(hù)在/home目錄下均有自己獨立的工作環(huán)境，系統在該目錄下為每 個(gè)用戶(hù)配置了自己的主目錄。個(gè)人用戶(hù)的文件都放置在各自的

主目錄下。

(7)命令解釋程序(Shell)：Shell是當用戶(hù)登錄系統時(shí)運行的程序名稱(chēng)，通常是一個(gè)Shell程序的全路徑名，

如/bin/bash。

需要注意的是，系統管理員通常沒(méi)有必要直接修改passwd文件，Linux提供一些賬號管理工具幫助系統管理員來(lái)創(chuàng )建和維護用戶(hù)賬號。

Linux口令管理之/etc/passwd文件

/etc/passwd文件是Linux/UNIX安全的關(guān)鍵文件之一.該文件用于用戶(hù)登錄時(shí)校驗 用戶(hù)的口令,當然應當僅對root可寫(xiě).文件中每行的一般格式為:

LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL

每行的頭兩項是登錄名和加密后的口令,后面的兩個(gè)數是UID和GID,接著(zhù)的 一項是系統管理員想寫(xiě)入的有關(guān)該用戶(hù)的任何信息,最后兩項是兩個(gè)路徑名: 一個(gè)是分配給用戶(hù)的HOME目錄,第二個(gè)是用戶(hù)登錄后將執行的shell(若為空格則 缺省為/bin/sh).

(1)口令時(shí)效

/etc/passwd文件的格式使系統管理員能要求用戶(hù)定期地改變他們的口令. 在口令文件中可以看到,有些加密后的口令有逗號,逗號后有幾個(gè)字符和一個(gè) 冒號.如:

steve:xyDfccTrt180x,M.y8:0:0:admin:/:/bin/sh

restrict:pomJk109Jky41,.1:0:0:admin:/:/bin/sh

pat:xmotTVoyumjls:0:0:admin:/:/bin/sh

可以看到,steve的口令逗號后有4個(gè)字符,restrict有2個(gè),pat沒(méi)有逗號.

逗號后第一個(gè)字符是口令有效期的最大周數,第二個(gè)字符決定了用戶(hù)再次 修改口信之前,原口令應使用的最小周數(這就防止了用戶(hù)改了新口令后立刻 又改回成老口令).其余字符表明口令最新修改時(shí)間.

要能讀懂口令中逗號后的信息,必須首先知道如何用passwd_esc計數,計 數的方法是:

.=0 /=1 0-9=2-11 A-Z=12-37 a-z=38-63

系統管理員必須將前兩個(gè)字符放進(jìn)/etc/passwd文件,以要求用戶(hù)定期的 修改口令,另外兩個(gè)字符當用戶(hù)修改口令時(shí),由passwd命令填入.

注意:若想讓用戶(hù)修改口令,可在最后一次口令被修改時(shí),放兩個(gè).,則下 一次用戶(hù)登錄時(shí)將被要求修改自己的口令.

有兩種特殊情況:

. 最大周數(第一個(gè)字符)小于最小周數(第二個(gè)字符),則不允許用戶(hù)修改 口令,僅超級用戶(hù)可以修改用戶(hù)的口令.

. 第一個(gè)字符和第二個(gè)字符都是.,這時(shí)用戶(hù)下次登錄時(shí)被要求修改口 令,修改口令后,passwd命令將.刪除,此后再不會(huì )要求用戶(hù)修改口令.

(2)UID和GID

/etc/passwd中UID信息很重要,系統使用UID而不是登錄名區別用戶(hù).一般 來(lái)說(shuō),用戶(hù)的UID應當是獨一無(wú)二的,其他用戶(hù)不應當有相同的UID數值.根據慣 例,從0到99的UID保留用作系統用戶(hù)的UID(root,bin,uucp等).

如果在/etc/passwd文件中有兩個(gè)不同的入口項有相同的UID,則這兩個(gè)用 戶(hù)對相互的文件具有相同的存取權限.

/etc /group文件含有關(guān)于小組的信息,/etc/passwd中的每個(gè)GID在本文件中 應當有相應的入口項,入口項中列出了小組名和小組中的用戶(hù).這樣可方便地了 解每個(gè)小組的用戶(hù),否則必須根據GID在/etc/passwd文件中從頭至尾地尋找同組 用戶(hù).

/etc/group文件對小組的許可權限的控制并不是必要的,因為系統用UID,GID (取自/etc/passwd)決定文件存取權限,即使/etc/group文件不存在于系統中,具 有相同的GID用戶(hù)也可以小組的存取許可權限共享文件.

小組就像登錄用戶(hù)一樣可以有口令.如果/etc/group文件入口項的第二個(gè)域 為非空,則將被認為是加密口令,newgrp命令將要求用戶(hù)給出口令,然后將口令加 密,再與該域的加密口令比較.

給 小組建立口令一般不是個(gè)好作法.第一,如果小組內共享文件,若有某人猜 著(zhù)小組口令,則該組的所有用戶(hù)的文件就可能泄漏;其次,管理小組口令很費事, 因為對于小組沒(méi)有類(lèi)似的passwd命令.可用/usr/lib/makekey生成一個(gè)口令寫(xiě)入 /etc/group.

以下情況必須建立新組:

(1)可能要增加新用戶(hù),該用戶(hù)不屬于任何一個(gè)現有的小組.

(2)有的用戶(hù)可能時(shí)常需要獨自為一個(gè)小組.

(3)有的用戶(hù)可能有一個(gè)SGID程序,需要獨自為一個(gè)小組.

(4)有時(shí)可能要安裝運行SGID的軟件系統,該軟件系統需要建立一個(gè)新組.

要 增加一個(gè)新組,必須編輯該文件,為新組加一個(gè)入口項. 由于用戶(hù)登錄時(shí),系統從/etc/passwd文件中取GID,而不是從/etc/group中 取GID,所以group文件和口令文件應當具有一致性.對于一個(gè)用戶(hù)的小組,UID和 GID應當是相同的.多用戶(hù)小組的GID應當不同于任何用戶(hù)的UID,一般為5位數,這 樣在查看/etc/passwd文件時(shí),就可根據5位數據的GID識別多用戶(hù)小組,這將減少 增加新組,新用戶(hù)時(shí)可能產(chǎn)生的混淆.