第六节 etc/passwd 、etc/shadow 、 useradd 、 groupadd

时间:2024-07-30 19:37:44

调优方法
原理:禁用atime的修改来节省cpu和内存资源。
命令:mount noatime disk

1、配置文件
1. /etc/passwd
文档结构:由":" 分隔成7个字段"username":"x":"uid":"gid":"remark":"homedirectory":"shell environment"
默认权限:-rw-r--r--
(1) username,用户名称
命名规则:大小写字母、数字、减号(不能出现在首位)、点以及下划线,其他字符不合法。
(2) x,密码空位键
安全起见放到 /etc/shadow。
(3) uid,用户ID
可用ID,0-4294967294=2^32-2;
root的uid=0;1-499系统保留;普通账户是从500开始。
普通用户的uid可以改成0,此时系统就将其识别成root用户。
(4) gid,主组id
组配置文件/etc/group。
(5) remark,注释说明
该字段没有实际意义,通常记录用户的一些属性,例如姓名、电话、地址等等 用 chfn 更改;
(6) home directory,用户家目录
(7) shell environment,shell环境
/bin/bash;/bin/false; /sbin/nologin(禁止该用户登录)。

2. /etc/shadow
文档结构:使用":"分隔成9个字段,“用户名:密码(密文):此密码设置日期:密码不可更改的天数:
密码需要重置的天数:密码到期提前提醒天数:帐号失效后宽限天数:帐号失效日期:保留位”
默认权限:----------(除了root用户,其他所有普通用户包括root组成员都没有任何权限呦)
(1) 用户名
是与/etc/passwd文件中的登录名相一致的用户账号。
(2) 密码
已加密显示密文,不可逆,但可被破解;
!!表示密码为空
(3)当前密码的设置日期
此日期用设置当前密码的日期和1970年1月1日的差值来表示
(例如上次更改密码的日期为2012年1月1日,则这个值就是 '365 x (2012-1970) + 10 + 1= 15341')
******************************************************************************************
至於想要知道某個日期的累積日數,可使用如下的程式計算:

[root@www ~]# echo $(($(date --date="2008/09/04" +%s)/86400+1))
14126

上述指令中,2008/09/04 為你想要計算的日期,86400 為每一天的秒數, %s 為 1970/01/01 以來的累積總秒數。 由於 bash 僅支援整數,因此最終需要加上 1 補齊 1970/01/01 當天。

来自 <http://linux.vbird.org/linux_basic/0410accountmanager.php#shadow_file>
*******************************************************************************************
(4)密码不可被更改的天数(与第三段日期比较)
值为0时,意为不限制,随时可更改。
如果设置为20,则20天内用户不可更改密码。
(5)密码需要重置的天数(与第三段日期比较)
默认值是99999,远远超出电脑寿命,基本可以认为永不过期。
(6)密码到期前提前提醒天数(与第五段日期比较)
例:设置为7既为密码到期日提前7天提醒用户修改密码,“您的密码还有n天就要过期,请及时修改密码”。
(7)帐号失效后宽限天数
到期后过多少天锁定帐号
(8)帐号失效日期
计算方式同第三段;
应该可以用到收费服务上。
(9)保留位

2、用户及用户组相关命令
id
作用:查看用户的uid、gid和所属组信息
语法:id username
例如:

[root@web01 ~]# id essence

uid=500(essence) gid=500(essence) groups=500(essence)

groupadd
作用:增加用户组
配置文件:/etc/group & /etc/gshadow
语法:groupadd 参数 groupname
参数:-g 指定gid
例如:

[root@web01 ~]# groupadd -g 505 tst1

[root@web01 ~]# grep "tst1" /etc/group

tst1:x:505: 《----gid为505

groupdel
作用:删除用户组
语法:groupdel groupname
PS:单纯作为附属组的时候是可以直接删除的,但如果作为用户的主组,就不能随意删除了,需要提前把用户清空
例如:

[root@web01 ~]# id essence

uid=500(essence) gid=500(essence) groups=500(essence) 《——gid代表主组

[root@web01 ~]# groupdel essence

groupdel: cannot remove the primary group of user 'essence' 《——提示不可删除

[root@web01 ~]# cat /etc/group |grep "tst01"

tst01:x:504:essence 《——tst01是essence的附属组

[root@web01 ~]# groupdel tst01 《——可直接删除

[root@web01 ~]# cat /etc/group |sort -t ":" -k 3 -n |tail -3

oracle:x:502:

webapp:x:503:

nfsnobody:x:65534: 《——查询结果显示tst01组被删除

useradd
作用:增加用户
语法:useradd 参数 username
参数:
-u 指定uid
-g 指定gid或组名(但指定的组名必须存在)
-d 指定家目录
-M 不建立家目录,但依然会创建用户的mail目录
-s 自定义shell环境,可控制普通用户不能登录,通过设置“/sbin/nologin”
PS:多个用户可以共享一个主组
PS:uid和gid分配的时候,以该id的最大数字+1

useradd -g参数可指定一个其他用户的主组为新增用户的主组

[root@web01 ~]# id essence

uid=500(essence) gid=500(essence) groups=500(essence)

[root@web01 ~]# useradd -g essence zpw02 《——制定zpw02的主组为essence

[root@web01 ~]# id zpw02

uid=505(zpw02) gid=500(essence) groups=500(essence) 《——zpw02的gid为500

==================================================

useradd 家目录下的隐藏文件可从/etc/skel下拷贝过来

[root@web01 zpw02]# ls -ail /home/zpw02

total 28

17 drwx------ 4 505 500 4096 Nov 23 19:33 . 《——因为zpw02和essence都被删除,

2 drwxr-xr-x. 10 root root 4096 Nov 23 19:33 .. 所以uid和gid没有用户名和组名。

19 -rw-r--r-- 1 505 500 18 Jul 18 2013 .bash_logout

18 -rw-r--r-- 1 505 500 176 Jul 18 2013 .bash_profile

24 -rw-r--r-- 1 505 500 124 Jul 18 2013 .bashrc

20 drwxr-xr-x 2 505 500 4096 Nov 12 2010 .gnome2

21 drwxr-xr-x 4 505 500 4096 Nov 12 21:19 .mozilla

[root@web01 zpw02]# ls -ail /etc/skel

total 28

129852 drwxr-xr-x. 4 root root 4096 Nov 12 21:19 . 《——和用户家目录下隐藏文件相同,所以

129797 drwxr-xr-x. 90 root root 4096 Nov 23 19:39 .. 如果创建用户时用-M属性,之后想增

129885 -rw-r--r--. 1 root root 18 Jul 18 2013 .bash_logout 加家目录,就可以从此目录下拷贝隐藏

129886 -rw-r--r--. 1 root root 176 Jul 18 2013 .bash_profile 文件。

129887 -rw-r--r--. 1 root root 124 Jul 18 2013 .bashrc

130807 drwxr-xr-x. 2 root root 4096 Nov 12 2010 .gnome2

129872 drwxr-xr-x. 4 root root 4096 Nov 12 21:19 .mozilla

userdel
作用:删除用户,无参数时默认不删除家目录
语法:userdel 参数 username
参数:-r 删除用户的家目录和邮件目录(/var/spool/mail/username)
例如:

[root@web01 ~]# userdel -r zpw01 《——同时删除家目录和邮件目录

[root@web01 ~]# ls /home

essence lost+found oracle user3 webapp zpw zpw02

[root@web01 ~]# ls /var/spool/mail

essence lisi oracle root rpc webapp zpw zpw02

[root@web01 ~]# userdel zpw02 《——不加-r属性,家目录和邮件目录还在

[root@web01 ~]# ls /home

essence lost+found oracle user3 webapp zpw zpw02

[root@web01 ~]# ls /var/spool/mail

essence lisi oracle root rpc webapp zpw zpw02

usermod
作用:修改用户uid、gid、家目录、附属组等信息
语法:usermod 参数 参数内容 username
参数
-u 修改用户uid
-s 修改用户shell环境
-d 修改目录家目录
-L 锁定用户密码,使之不能用密码登录
-U 解锁用户密码
-g 指定用户主组gid
-G 指定用户附属组(1个用户可以有多个附属组)
PS:usermod -G "" user 把附属组清空

[root@web01 ~]# usermod -L essence

[root@web01 ~]# cat /etc/shadow|grep "essence"

essence:!$6$lBhElHM$UHKJjTGrCyo2upw1OlIG6F8SE09VYGTLHlBw0/MBVgIu5ZZh1e1koc7tHWDBHk4obu

33CEe/FrSEn4bpnDpdo1:16397:0:99999:7::: 《——在原密码前增加"!"使密码失效

[root@web01 ~]# su - essence

[essence@web01 ~]$ exit 《——root用户可使用su命令无密码登录该用户

logout

[root@web01 ~]# su - zpw

[zpw@web01 ~]$ su - essence

Password:

su: incorrect password 《——普通用户su登录essence时候,提示错误密码

用另外的终端登录essence

essence@192.168.0.80's password:

Access denied 《——开单独终端登录时提示拒绝登录

chfn finger

passwd
作用:修改用户密码
语法:passwd 用户名
创建密码的规则:
长度大于10;含大小写字母数字以及特殊字符 ;不规则性;不要带有自己名字、公司名字、自己电话、自己生日等。
扩展内容:mkpasswd 生成密码的工具,安装 expect包

su
作用:切换effective用户
语法:su 用户名(改变$HOME,不改变$PATH)
语法: su - 用户名 (改变$HOME和$PATH)
扩展资料:http://www.aminglinux.com/bbs/thread-6912-1-1.html

sudo
作用:临时获得root权限(su到root需要输入root的密码不安全,所以sudo是一个好选择)
修改配置文件命令:visudo
安装方法: yum install -y sudo
语法:su 正常命令输入
配置文件:/etc/sudoers

格式:

user

host=(as_user)

commands

内容:

aming

ALL=(root)

/bin/ls

意义是,让aming这个普通用户,拥有root的权限,针对ls这个命令。
PS:su - -c "touch /tmp/123.txt"user 相当于用user去创建这个123文件
PS:/etc/ssh/sshd_config 禁止root远程登录

PS:先禁止root远程登录,用普通用户登录后,在用”sudo su -“登录root

扩展资料:
Keepass,管理密码软件
Keepass官网地址: http://www.keepass.info