用户信息文件管理

用户管理是维持系统正常运行的基础。出于安全的考虑，管理权限应该只分配给需要对账户进行管理的少数账户用户。在Linux系统中有三个主要的用户信息文件，分别是：

1）/etc/passwd为系统识别已经授权的用户。

2）/etc/shadow保存相应用户加密后的口令。

3）/etc/group存放组账户的信息。

1.文件/etc/passwd

该文件保存了Linux系统上与用户相关的大部分信息，主要包括所有用户的登录名的清单、为所有用户指定的工作主目录的具体位置、登录时使用的shell的名称、用户的登录口令、用户的系统识别号等。该文件只有根用户能修改。从系统文件夹/etc中可以找到该文件，直接打开，就可以看到相关的信息。passwd文件中的内容如图2-4所示。

图2-4 passwd文件中的内容

由图2-4可以看出，passwd文件中第一行是根用户root的信息，最后一行是当前登录用户eda的信息。观察其中的任意一行，可以看到每一行都由冒号分成了7个独立的部分（每个部分称为字段）。虽然有些字段可以为空，但是文件中的每个条目都必须具备全部的7个字段。

1）Login ID（用户名）：用户登录系统时输入的用户名，用户名应该是唯一的。用户名通常由管理员分配。

2）加密的口令或x：如果使用隐式口令，该字段只有一个x，否则是一串加密的字符。在Linux系统中一般只允许特定的用户查看修改该文件。用户自己可以修改口令，一般初始口令由管理员提供。

3）UID（用户ID号）：系统通过ID号识别用户。用户一般只能通过用户名与系统进行交互，但是Linux系统用一个用户号码（UID）来代表用户。每个用户分配一个UID，UID的范围一般很大（0～65535，有的系统更大），其中0～99保留为系统UID（根用户的UID为0，而且总为0）。

4）默认GID（组ID）：用户所属的首要的或默认的组，这不会限制一个用户所能从属的组，只能说明识别用户登录后通常属于的组。这个号码不需要是唯一的，因为许多用户可以共享一个组而不会对系统产生不良的影响。

5）COMMENT（注释）：这个字段保存账户的相关信息，如用户全名、电话及其他一些可读的信息。大多数公司的Linux系统都利用它为用户添加一些联系信息。系统上的任何用户都可以能够查看该文件中的内容，因此不能提供一些个人的机密信息。

6）用户的主目录（或登录时的位置）：可以是任何有效的目录（通常在/home下），用户所有者拥有该目录的所有权限（读写）。不要将/tmp分配给任何用户作为主目录，这样可能会产生严重的安全隐患。

7）用户登录的shell：它必须是一个有效的shell（通常列在/etc/shells文件中），否则用户将不能交互式登录。

2.文件/etc/shadow

该文件保存了已经加密的本地用户的口令记录以及所有口令的期限（说明口令过期的时间）或限制。该文件中一般都包括9个字段（不同的Linux可能会有所差别）。该文件一般只能由根用户或系统管理用户打开。以根用户登录后打开shadow文件的内容如图2-5所示。(www.xing528.com)

1）登录用户名：登录的用户名，该信息与/etc/passwd文件中的第一个字段对应。

2）加密后的口令：一般包括13个或更多个字符，由于只有根用户能够读取这个文件，相对于将口令放在任何用户都能读取的/etc/passwd文件中，口令获得了更多的保护。

3）自1970年1月1日以来直到口令被修改时为止的天数。这个天数与其他字段一起使用以决定用户和口令是否依然有效，以及口令是否需要更新（人们将1970年1月1日称为新纪元）。

4）用户能够再次修改其口令之前所必须经过的最小天数。这个天数使得系统管理员能够阻止用户自从上次修改口令以后过快地再次修改口令。如果你的口令不幸被黑客破解，可以防止黑客修改你的口令（减少修改的可能性）。

5）口令需要修改之前保持有效的最大天数。管理员使用这个字段来执行口令修改策略，以降低恶意实体使用暴力破解（不断地尝试口令）破译口令的可能性。

6）口令到期前警告用户的天数。给每个用户发警告，通知其口令将到期，使其有机会在口令过期之前选一个合适的时间修改口令。

7）密码过期后系统自动禁用账户的天数，天数大小随各种Linux系统的不同而不同，但是通常表示在用户不能登录之前该账户持续有效的天数，或者是从口令到期到用户不能用之间的天数。

图2-5 shadow文件的内容

8）从1970年1月1日开始，到用户口令到期之间的天数。

9）保留字段，以备将来使用。

3.文件/etc/group

用户组是逻辑地组织用户账户集合的方便途径，它允许用户在组内共享文件。文件系统中的每一个文件都有一个用户和一个组的属主。同时每一个用户必须至少属于一个组，但又可以属于多个组。group文件的部分内容如图2-6所示。

该文件包含每个用户的组信息，一般包括组名、使用该组的口令、组ID和属于组的用户列表。

图2-6 group文件的部分内容