利用root身分來管理群組:
(1) 建立新的群組:
groupadd 選項 群組名
其中,選項有:
※ -g N:表示將新群組的GID設為N。N為正整數。
※ -r:表示新群組為系統群組(系統帳號所使用的群組)。
(2) 修改已存在的群組:
groupmod 選項 群組名
其中,選項有:
※ -g N:表示將該群組的GID改設為N。N為正整數。
※ -n 新群組名:表示將該群組的名稱改為新群組名。
(3) 刪除已存在的群組:
groupdel 群組名
注意:這個指令並不能刪除初始群組。
(4) 建立與群組管理員與群組密碼:
gpasswd 選項 群組名
其中,選項有:
※ -A 帳號:指定該帳號的使用者,為該群組的管理員。
※ -M 帳號:指定該帳號的使用者,為該群組的成員。
※ -r:將群組管理員的密碼移除。
※ -R:將群組管理員的密碼給無效化。
(5) 群組管理員的指令:
gpasswd 選項 帳號 群組名
其中,選項有:
※ -a:將擁有該帳號的使用者,加為該群組的成員。
※ -d:將擁有該帳號的使用者,踢出該群組。
用root的身分管理使用者帳號:
(1) 用root的身分新增一般使用者帳號:
useradd [-u 整數] [-g 初始群組] [-G 支援群組] [-m|-M] [-c 註解] [-d 家目錄] [-s shell的路徑] 新增的使用者帳號名
這行命令會將新增的使用者帳號與其相關資訊,添寫在/etc/passwd內。其中,中括號[]內的資料可寫可不寫。說明如下:
※ -u 整數:將此新增使用者的UID設定為整數。若不寫,則預設將目前所有存在的UID中、大於等於500且編號最大者,將之加1,成為新增使用者的UID。
※ -g 初始群組:將此新增使用者的初始群組設定為初始群組。若不寫,則預設建立一個與新增的使用者帳號名同名的群組作為初始群組。
※ -G 支援群組:將此新增使用者的支援群組設定為支援群組。若不寫,則預設只有初始群組。寫法如:useradd -G grp1,grp2,ally lili,可以將lili這個新增使用者的支援群組設定為grp1、grp2和ally。
※ [-m|-M]:若為-m,表示要建立家目錄。若為-M,表示不要建立家目錄。預設上,一個新建的系統帳號不會建立家目錄,而一般使用者帳號就會。
※ -c 註解:設定該新增使用者在/etc/passwd內的註解,即是第五項相關資訊。若不寫,則預設為空字串。
※ -d 家目錄:設定該新增使用者的家目錄之絕對路徑為家目錄。若不寫,則預設為「/home/新增的使用者帳號名」。
※ -s shell的路徑:設定該新增使用者的shell之絕對路徑為shell的路徑。若不寫,則預設為「/bin/bash」。
上述所有的預設值,可用useradd -D 指令來觀察。其顯示例如:
GROUP=100 #新建帳號的初始群組之GID。但在ubuntu、fedora、centOS…等作業系統版本中,這一行是無用的,不需理會。
HOME=/home #家目錄放置的位置
INACTIVE=-1 #密碼過期後的寬限天數,即/etc/shadow 內的第7項。-1表示寬限天數為無限。
EXPIRE= #密碼失效日,即/etc/shadow 內的第8項
SHELL=/bin/bash #預設的 shell之絕對路徑
SKEL=/etc/skel #使用者家目錄內容,以此SKEL目錄為基準。
CREATE_MAIL_SPOOL=no #是否在增使用者時順便為使用者建立電子郵件信箱。Yes代表是,no代表否。
(2) 為新增的使用者設定登入密碼:
(2-1) 在用useradd新增使用者後,必須賦予此使用者一組的密碼,使用者才能夠登入系統。命令寫法如下:
passwd 使用者帳號
輸入此命令後,就可以幫使用者設定密碼。而使用者本身,也可以設定自己的密碼,只要打上passwd就好了。
(2-2) passwd命令,也可以讓root管理使用者的密碼。寫法如下:
passwd 選項 使用者帳號
其中,選項有:
※ -n N:N是整數,單位是日數。設定該使用者在/etc/shadow內資料的第四項:密碼連續變更時要等待的天數。
※ -x N:N是整數,單位是日數。設定該使用者在/etc/shadow內資料的第五項:強制密碼在幾天之內要重新設定。
※ -w N:N是整數,單位是日數。設定該使用者在/etc/shadow內資料的第六項:密碼到期前的警告天數。
※ -i N:N是整數,單位是日數。設定該使用者在/etc/shadow內資料的第七項:密碼過期後的寬限天數。
※ -S:僅列出在/etc/shadow內,該名使用者的密碼資料。此選項並不會幫使用者設定密碼。
※ -l:將該使用者的密碼給「上鎖(lock)」,禁止他登入。此時用passwd -S 使用者帳號來觀察其狀態,第二欄的資訊會是L或是LK。表示密碼被鎖。
※ -u:將該使用者的密碼給「解鎖(unlock)」,恢復他登入的能力。
(2-3) 對使用者之密碼進行詳細的檢查或設定:
chage 選項 使用者帳號
其中,選項有:
※ -l:顯示該使用者的詳細密碼資料。
※ -d 日期:日期的寫法是YYYY-MM-DD。設定該使用者在/etc/shadow內資料的第三項:
※ -m N:N是整數,單位是日數。設定該使用者在/etc/shadow內資料的第四項:密碼連續變更時要等待的天數。
※ -M N:N是整數,單位是日數。設定該使用者在/etc/shadow內資料的第五項:強制密碼在幾天之內要重新設定。
※ -W N:N是整數,單位是日數。設定該使用者在/etc/shadow內資料的第六項:密碼到期前的警告天數。
※ -I N:N是整數,單位是日數。設定該使用者在/etc/shadow內資料的第七項:密碼過期後的寬限天數。
※ -E 日期:日期的寫法是YYYY-MM-DD。設定該使用者在/etc/shadow內資料的第八項:密碼失效日。
(3) 用root的身分新增系統帳號:
useradd -r 系統帳號名
就可以直接新增系統帳號。
(4) 移除使用者:
利用userdel [-r] 使用者帳號可以移除當前使用者。其中中括號[]內的-r可寫可不寫。若有寫,表示連同使用者的家目錄一起移除。
要注意的是,這個命令並不會把系統中所有屬於該使用者的檔案或目錄一併移除。是故,最好在移除前檢查一下,系統中是否有屬於該使用者的檔案或目錄。以免這些檔案或目錄在使用者被刪除後還一直佔據者空間。
(5) usermod指令:此指令可以設定使用者相關資訊,以及其密碼相關資訊。不過其功能與useradd和chage是重疊的。故在此不詳述。
(6) 查看所有在線使用者的上線情況:
直接輸入finger 可以查看所有在線使用者的上線情況,輸入finger -m 使用者名稱可以查看該名使用者的上線情況。其顯示的資訊,常見的項目說明如下(不同版本的Linux,顯示的項目不盡相同):
Login:使用者帳號名。
Name:使用者名稱。這個名稱和帳號名無關,事實上是/etc/passwd中第五項資料,也就是「註解」。有時系統會將使用者的身分或稱謂寫在這個「註解」項目中。
Tty:使用者所使用的終端機名稱。
Office Phone:使用者辦公室電話。這一項目是使用者自行填寫的。
Office:使用者辦公室位置。這一項目是使用者自行填寫的。
※ 註:這個指令,一般使用者也可以使用,來查詢在線的其他使用者。
(7) 設定使用者在finger指令中所顯示的資料,使用:chfn 使用者帳號。接著便便出現輸入列,可逐項輸入資料。chfn其實是「change finger」的縮寫。
※ 註:這個指令,一般使用者也可以使用,設定自己在finger指令中所顯示的資料,直接輸入chfn即可。
群組的觀察與切換:
(1) 利用groups指令,可顯示目前的支援群組。支援群組中第一個顯示的,就是當前的有效群組。
(2) 利用newgrp 群組名稱 指令,可以切換當前有效群組為 群組名稱。
以指令 檢查帳號紀錄檔、群組記錄檔是否有問題:
(1) pwck:這個指令,可以檢查/etc/passwd檔案的紀錄是否有令人疑慮的地方,並且將問題回報。要注意的是,這個指令的回報內容,常將「系統帳號沒有家目錄」一事列為疑點,這本是正常的事,可不必理會。
(2) pwconv:以/etc/passwd為參考標準,來更新/etc/shadow檔案。
(3) pwunconv:以/etc/shadow為參考標準,來更新/etc/passwd檔案。
2. 帳號資訊、群組資訊的紀錄檔案:
|
檔案路徑與名稱: |
用途簡介: |
|
/etc/passwd |
用來記錄使用者帳號的資料。 |
|
/etc/shadow |
用來記錄使用者密碼的資料。 |
|
/etc/group |
用來記錄群組的資料。 |
|
/etc/gshadow |
用來記錄群組管理員的資料。 |
|
/etc/login.defs |
這個檔案紀錄了在新建立使用者的時候,該給使用者預設怎樣的設定。 |
說明如下:
(1) /etc/passwd:用來記錄使用者帳號資料的檔案,通常,一般使用者可以查看。每一行紀錄一位使用者的資料,其格式為:
使用者帳號:x:使用者UID:使用者之初始群組的GID:註解:家目錄:使用者的shell
※ 註一:第二項的x,原本是顯示使用者密碼,但因為安全因素而將密碼改放在etc/shadow,這個項目已經失效,就改為x。
※ 註二:「有效群組(effective group)」與第四項的「初始群組(initial group)」:一個使用者,可以申請多個群組支援、而成為多個群組的成員,這些群組稱為「支援群組」。在對檔案進行「讀」這個動作的時候,可以讀取支援群組中的檔案,但在建立檔案的時候,建立完的檔案不可能同時屬於所有支援群組(檔案只能屬於單一群組),而是屬於使用者目前的「有效群組」。而「初始群組」,就是使用者在登入後會自動取得的第一個有效群組。
有效群組和初始群組,必須都被包含在支援群組內。
如,某個使用者kkk的使用者資料為:
kkk:x:1000:1000::/home/kkk:/bin/shell
(2) /etc/shadow:用來記錄使用者之密碼的檔案。通常只有root才能查看。每一行紀錄一位使用者的資料,其格式為:
帳號:密碼:上一次變更密碼的日期:密碼連續變更時要等待的天數:強制密碼在幾天之內要重新設定:密碼到期前的警告天數:密碼過期後的寬限天數:密碼失效日:備錄
說明如下:
(2-1) 帳號:使用者帳號。
(2-2) 密碼:使用者密碼。通常已經加密過(用DES或MD5加密),就算看到也猜不出原密碼為何。若此項為*,表示該帳號不需要有密碼,通常系統帳號是不需要有密碼的。若此項為!,表示該密碼還沒設定。
(2-3) 上一次變更密碼的日期:單位是天數,從1970年1月1日算起。若此項為15000,就表示上一次變更密碼的日期是1970年1月1日後的15000天,大概是2011年左右。為何要用這種不易查看的方式記錄,我也不知道。
(2-4) 密碼連續變更時要等待的天數:單位是天數。用來限制使用者,不能頻繁的連續變更密碼。
(2-5) 強制密碼在幾天之內要重新設定:單位是天數。用來強制要求使用者在一段時間之內變更密碼,否則不讓登入。
(2-6) 密碼到期前的警告天數:單位是天數。若此項為6,則密碼到期前6天會發訊息通知使用者密碼快到期了。
(2-7) 密碼過期後的寬限天數:單位是天數。密碼過期後若有寬限期,則仍能登入。但一登入就會被要求重設密碼,否則無法做其他事。若不重設密碼,直到寬限期一過,密碼就失效,無法再使用了。
(2-8) 密碼失效日:單位是天數,從1970年1月1日算起。若過了此日,無論密碼到期與否,都強制其失效。密碼失效也就是帳號失效,使用者無法再登入了。若此項為99999,表示密碼絕不失效。
(2-9) 備錄:通常不使用。常被稱為「保留的項目」。
(3) /etc/group:用來記錄群組資料的檔案。通常,一般使用者可以查看。每一行紀錄一個群組的資料,其格式為:
群組名:x:群組的GID:群組成員
其中,第二項的x,原本是顯示群組密碼,但因為安全因素而將密碼改放在etc/gshadow,這個項目已經失效,就改為x。第四項的群組成員,則是記錄著有哪些成員可以獲得該群組的支援。若想將某使用者加入群組,只要將使用者帳號添寫在這一項即可。
如:某個群組ddd的資料為:
ddd:x:1003:kkk,jack,mary
(4) /etc/gshadow:用來記錄群組管理員之資料的檔案。通常只有root才能查看。每一行紀錄一個群組的資料,其格式為:
群組名:群組密碼:群組管理員:群組成員
群組管理員的功用,是用來替root管理該群組,一個群組管理員擁有為群組加入新成員、踢出既有成員…等權力。
而群組密碼的用途較少,通常不需設定。若群組密碼為*,表示該群組不需要有群組密碼。若此項為!,表示群組密碼還沒設定。
(5) /etc/login.defs:這個檔案紀錄了在新建立使用者的時候,該給使用者預設怎樣的設定。#符號開頭的那些行是註解。以下說明其檔案中,較基本的幾個設定:
MAIL_DIR:表示使用者郵件信箱目錄的所在。
UID_MIN:通常是500。新建使用者之UID不能小於此值。
UID_MAX:新建使用者之UID不能大於此值。
GID_MIN:通常是500。新建群組之GID不能小於此值。
GID_MAX:新建群組之GID不能大於此值。
UMASK:使用者家目錄的權限遮罩。通常是077(也就是說,使用者家目錄的預設權限會是700)。
USERGROUPS_ENAB:刪除使用者時,是否自動刪除其同名群組。yes表示「是」,no表示「否」。
MD5_CRYPT_ENAB:使用者密碼是否需經過MD5來加密。yes表示「是」,no表示「否」。
※ 後註:系統是以/etc/passwd中的UID來辨別使用者權限(而非使用者帳號),以/etc/group中的GID來辨其權限(而非使用群組名)。譬如若在/etc/passwd中將某使用者kkk的UID改成0,則kkk可以獲得root的權限!故,UID和GID最好不要手動更改,以免造成權限錯亂!不得不慎!
javascript 教學 (1) C# (1) Linux 教學 (1) C++ (1) Mysql (1) 網路連結 (1) linux shell script (1) 高中英文單字 (26)
