2. 帳號資訊、群組資訊的紀錄檔案:
檔案路徑與名稱: |
用途簡介: |
/etc/passwd |
用來記錄使用者帳號的資料。 |
/etc/shadow |
用來記錄使用者密碼的資料。 |
/etc/group |
用來記錄群組的資料。 |
/etc/gshadow |
用來記錄群組管理員的資料。 |
/etc/login.defs |
這個檔案紀錄了在新建立使用者的時候,該給使用者預設怎樣的設定。 |
說明如下:
(1) /etc/passwd:用來記錄使用者帳號資料的檔案,通常,一般使用者可以查看。每一行紀錄一位使用者的資料,其格式為:
使用者帳號:x:使用者UID:使用者之初始群組的GID:註解:家目錄:使用者的shell
※ 註一:第二項的x,原本是顯示使用者密碼,但因為安全因素而將密碼改放在etc/shadow,這個項目已經失效,就改為x。
※ 註二:「有效群組(effective group)」與第四項的「初始群組(initial group)」:一個使用者,可以申請多個群組支援、而成為多個群組的成員,這些群組稱為「支援群組」。在對檔案進行「讀」這個動作的時候,可以讀取支援群組中的檔案,但在建立檔案的時候,建立完的檔案不可能同時屬於所有支援群組(檔案只能屬於單一群組),而是屬於使用者目前的「有效群組」。而「初始群組」,就是使用者在登入後會自動取得的第一個有效群組。
有效群組和初始群組,必須都被包含在支援群組內。
如,某個使用者kkk的使用者資料為:
kkk:x:1000:1000::/home/kkk:/bin/shell
(2) /etc/shadow:用來記錄使用者之密碼的檔案。通常只有root才能查看。每一行紀錄一位使用者的資料,其格式為:
帳號:密碼:上一次變更密碼的日期:密碼連續變更時要等待的天數:強制密碼在幾天之內要重新設定:密碼到期前的警告天數:密碼過期後的寬限天數:密碼失效日:備錄
說明如下:
(2-1) 帳號:使用者帳號。
(2-2) 密碼:使用者密碼。通常已經加密過(用DES或MD5加密),就算看到也猜不出原密碼為何。若此項為*,表示該帳號不需要有密碼,通常系統帳號是不需要有密碼的。若此項為!,表示該密碼還沒設定。
(2-3) 上一次變更密碼的日期:單位是天數,從1970年1月1日算起。若此項為15000,就表示上一次變更密碼的日期是1970年1月1日後的15000天,大概是2011年左右。為何要用這種不易查看的方式記錄,我也不知道。
(2-4) 密碼連續變更時要等待的天數:單位是天數。用來限制使用者,不能頻繁的連續變更密碼。
(2-5) 強制密碼在幾天之內要重新設定:單位是天數。用來強制要求使用者在一段時間之內變更密碼,否則不讓登入。
(2-6) 密碼到期前的警告天數:單位是天數。若此項為6,則密碼到期前6天會發訊息通知使用者密碼快到期了。
(2-7) 密碼過期後的寬限天數:單位是天數。密碼過期後若有寬限期,則仍能登入。但一登入就會被要求重設密碼,否則無法做其他事。若不重設密碼,直到寬限期一過,密碼就失效,無法再使用了。
(2-8) 密碼失效日:單位是天數,從1970年1月1日算起。若過了此日,無論密碼到期與否,都強制其失效。密碼失效也就是帳號失效,使用者無法再登入了。若此項為99999,表示密碼絕不失效。
(2-9) 備錄:通常不使用。常被稱為「保留的項目」。
(3) /etc/group:用來記錄群組資料的檔案。通常,一般使用者可以查看。每一行紀錄一個群組的資料,其格式為:
群組名:x:群組的GID:群組成員
其中,第二項的x,原本是顯示群組密碼,但因為安全因素而將密碼改放在etc/gshadow,這個項目已經失效,就改為x。第四項的群組成員,則是記錄著有哪些成員可以獲得該群組的支援。若想將某使用者加入群組,只要將使用者帳號添寫在這一項即可。
如:某個群組ddd的資料為:
ddd:x:1003:kkk,jack,mary
(4) /etc/gshadow:用來記錄群組管理員之資料的檔案。通常只有root才能查看。每一行紀錄一個群組的資料,其格式為:
群組名:群組密碼:群組管理員:群組成員
群組管理員的功用,是用來替root管理該群組,一個群組管理員擁有為群組加入新成員、踢出既有成員…等權力。
而群組密碼的用途較少,通常不需設定。若群組密碼為*,表示該群組不需要有群組密碼。若此項為!,表示群組密碼還沒設定。
(5) /etc/login.defs:這個檔案紀錄了在新建立使用者的時候,該給使用者預設怎樣的設定。#符號開頭的那些行是註解。以下說明其檔案中,較基本的幾個設定:
MAIL_DIR:表示使用者郵件信箱目錄的所在。
UID_MIN:通常是500。新建使用者之UID不能小於此值。
UID_MAX:新建使用者之UID不能大於此值。
GID_MIN:通常是500。新建群組之GID不能小於此值。
GID_MAX:新建群組之GID不能大於此值。
UMASK:使用者家目錄的權限遮罩。通常是077(也就是說,使用者家目錄的預設權限會是700)。
USERGROUPS_ENAB:刪除使用者時,是否自動刪除其同名群組。yes表示「是」,no表示「否」。
MD5_CRYPT_ENAB:使用者密碼是否需經過MD5來加密。yes表示「是」,no表示「否」。
※ 後註:系統是以/etc/passwd中的UID來辨別使用者權限(而非使用者帳號),以/etc/group中的GID來辨其權限(而非使用群組名)。譬如若在/etc/passwd中將某使用者kkk的UID改成0,則kkk可以獲得root的權限!故,UID和GID最好不要手動更改,以免造成權限錯亂!不得不慎!
留言列表