Linux 的賬號與群組
管理員的工作中,相當重要的一環就是『管理賬號』啦!因為整個系統都是你在管理的, 並且所有一般用戶的賬號申請,都必須要透過你的協助才行!所以你就必須要了解一下如何管理好一個服務器主機的賬號啦! 在管理 Linux 主機的賬號時,我們必須先來了解一下 Linux 到底是如何辨別每一個使用者的!
使用者標識符: UID 與 GID
雖然我們登陸 Linux 主機的時候,輸入的是我們的賬號,但是其實 Linux 主機並不會直接認識你的『賬號名稱』的,他僅認識 ID 啊 (ID 就是一組號碼啦)。 由於計算機僅認識 0 與 1,所以主機對於數字比較有概念的;至於賬號只是為了讓人們容易記憶而已。 而你的 ID 與賬號的對應就在 /etc/passwd 當中哩。
# 1. 先察看一下,系統里面有沒有一個名為 dmtsai 的用戶? [root@www ~]# grep 'dmtsai' /etc/passwd dmtsai:x:503:504::/home/dmtsai:/bin/bash <==是有這個賬號喔! [root@www ~]# ll -d /home/dmtsai drwx------ 4 dmtsai dmtsai 4096 Feb 6 18:25 /home/dmtsai # 瞧一瞧,使用者的字段正是 dmtsai 本身喔! # 2. 修改一下,將剛剛我們的 dmtsai 的 503 UID 改為 2000 看看: [root@www ~]# vi /etc/passwd ....(前面省略).... dmtsai:x:2000:504::/home/dmtsai:/bin/bash <==修改一下特殊字體部分,由 503 改過來 [root@www ~]# ll -d /home/dmtsai drwx------ 4 503 dmtsai 4096 Feb 6 18:25 /home/dmtsai # 很害怕吧!怎么變成 503 了?因為文件只會記錄數字而已! # 因為我們亂改,所以導致 503 找不到對應的賬號,因此顯示數字! # 3. 記得將剛剛的 2000 改回來! [root@www ~]# vi /etc/passwd ....(前面省略).... dmtsai:x:503:504::/home/dmtsai:/bin/bash <==趕緊改回來!
你一定要了解的是,上面的例子僅是在說明 UID 與賬號的對應性,在一部正常運行的 Linux 主機環境下,上面的動作不可隨便進行, 這是因為系統上已經有很多的數據被創建存在了,隨意修改系統上某些賬號的 UID 很可能會導致某些程序無法進行,這將導致系統無法順利運行的結果。 因為權限的問題啊!所以,了解了之后,請趕快回到 /etc/passwd 里面,將數字改回來喔!
使用者賬號
Linux 系統上面的用戶如果需要登陸主機以取得 shell 的環境來工作時,他需要如何進行呢? 首先,他必須要在計算機前面利用 tty1~tty7 的終端機提供的 login 接口,並輸入賬號與口令后才能夠登陸。 如果是透過網絡的話,那至少使用者就得要學習 ssh 這個功能了 (服務器篇再來談)。 那么你輸入賬號口令后,系統幫你處理了什么呢?
- 先找尋 /etc/passwd 里面是否有你輸入的賬號?如果沒有則跳出,如果有的話則將該賬號對應的 UID 與 GID (在 /etc/group 中) 讀出來,另外,該賬號的家目錄與 shell 配置也一並讀出;
- 再來則是核對口令表啦!這時 Linux 會進入 /etc/shadow 里面找出對應的賬號與 UID,然后核對一下你剛剛輸入的口令與里頭的口令是否相符?
- 如果一切都 OK 的話,就進入 Shell 控管的階段啰!
大致上的情況就像這樣,所以當你要登陸你的 Linux 主機的時候,那個 /etc/passwd 與 /etc/shadow 就必須要讓系統讀取啦 (這也是很多攻擊者會將特殊賬號寫到 /etc/passwd 里頭去的緣故),所以呢,如果你要備份 Linux 的系統的賬號的話,那么這兩個文件就一定需要備份才行呦!
由上面的流程我們也知道,跟使用者賬號有關的有兩個非常重要的文件,一個是管理使用者 UID/GID 重要參數的 /etc/passwd ,一個則是專門管理口令相關數據的 /etc/shadow 啰!那這兩個文件的內容就非常值得進行研究啦! 底下我們會簡單的介紹這兩個文件,詳細的說明可以參考 man 5 passwd 及 man 5 shadow
/etc/passwd 文件結構
這個文件的構造是這樣的:每一行都代表一個賬號,有幾行就代表有幾個賬號在你的系統中! 不過需要特別留意的是,里頭很多賬號本來就是系統正常運行所必須要的,我們可以簡稱他為系統賬號, 例如 bin, daemon, adm, nobody 等等,這些賬號請不要隨意的殺掉他呢! 這個文件的內容有點像這樣:
[root@www ~]# head -n 4 /etc/passwd root:x:0:0:root:/root:/bin/bash <==等一下做為底下說明用 bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin
我們先來看一下每個 Linux 系統都會有的第一行,就是 root 這個系統管理員那一行好了, 你可以明顯的看出來,每一行使用『:』分隔開,共有七個咚咚,
共有七個咚咚,分別是:
- 賬號名稱:
就是賬號啦!用來對應 UID 的。例如 root 的 UID 對應就是 0 (第三字段); - 口令:
早期 Unix 系統的口令就是放在這字段上!但是因為這個文件的特性是所有的程序都能夠讀取,這樣一來很容易造成口令數據被竊取, 因此后來就將這個字段的口令數據給他改放到 /etc/shadow 中了。所以這里你會看到一個『 x 』,呵呵! - UID:
這個就是使用者標識符啰!通常 Linux 對於 UID 有幾個限制需要說給您了解一下:
id 范圍 該 ID 使用者特性 0
(系統管理員)當 UID 是 0 時,代表這個賬號是『系統管理員』! 所以當你要讓其他的賬號名稱也具有 root 的權限時,將該賬號的 UID 改為 0 即可。 這也就是說,一部系統上面的系統管理員不見得只有 root 喔! 不過,很不建議有多個賬號的 UID 是 0 啦~ 1~499
(系統賬號)保留給系統使用的 ID,其實除了 0 之外,其他的 UID 權限與特性並沒有不一樣。默認 500 以下的數字讓給系統作為保留賬號只是一個習慣。
由於系統上面啟動的服務希望使用較小的權限去運行,因此不希望使用 root 的身份去運行這些服務, 所以我們就得要提供這些運行中程序的擁有者賬號才行。這些系統賬號通常是不可登陸的。
根據系統賬號的由來,通常系統賬號又約略被區分為兩種:
1~99:由 distributions 自行創建的系統賬號;
100~499:若用戶有系統賬號需求時,可以使用的賬號 UID。500~65535
(可登陸賬號)給一般使用者用的。事實上,目前的 linux 核心 (2.6.x 版)已經可以支持到 4294967295 (2^32-1) 這么大的 UID 號碼喔!
上面這樣說明可以了解了嗎?是的, UID 為 0 的時候,就是 root 呦!所以請特別留意一下你的 /etc/passwd 文件! - GID:
這個與 /etc/group 有關!其實 /etc/group 的觀念與 /etc/passwd 差不多,只是他是用來規范組名與 GID 的對應而已! - 用戶信息說明欄:
這個字段基本上並沒有什么重要用途,只是用來解釋這個賬號的意義而已!不過,如果您提供使用 finger 的功能時, 這個字段可以提供很多的信息呢!本章后面的 chfn 命令會來解釋這里的說明。 - 家目錄:
這是用戶的家目錄,以上面為例, root 的家目錄在 /root ,所以當 root 登陸之后,就會立刻跑到 /root 目錄里頭啦!呵呵! 如果你有個賬號的使用空間特別的大,你想要將該賬號的家目錄移動到其他的硬盤去該怎么作? 沒有錯!可以在這個字段進行修改呦!默認的用戶家目錄在 /home/yourIDname - Shell:
我們在第十一章 BASH 提到很多次,當用戶登陸系統后就會取得一個 Shell 來與系統的核心溝通以進行用戶的操作任務。那為何默認 shell 會使用 bash 呢?就是在這個字段指定的啰! 這里比較需要注意的是,有一個 shell 可以用來替代成讓賬號無法取得 shell 環境的登陸動作!那就是 /sbin/nologin 這個東西!這也可以用來制作純 pop 郵件賬號者的數據呢!
/etc/shadow 文件結構
我們知道很多程序的運行都與權限有關,而權限與 UID/GID 有關!因此各程序當然需要讀取 /etc/passwd 來了解不同賬號的權限。 因此 /etc/passwd 的權限需配置為 -rw-r--r-- 這樣的情況, 雖然早期的口令也有加密過,但卻放置到 /etc/passwd 的第二個字段上!這樣一來很容易被有心人士所竊取的, 加密過的口令也能夠透過暴力破解法去 try and error (試誤) 找出來!
因為這樣的關系,所以后來發展出將口令移動到 /etc/shadow 這個文件分隔開來的技術, 而且還加入很多的口令限制參數在 /etc/shadow 里頭呢!在這里,我們先來了解一下這個文件的構造吧! 鳥哥的 /etc/shadow 文件有點像這樣:
[root@www ~]# head -n 4 /etc/shadow root:$1$/30QpE5e$y9N/D0bh6rAACBEz.hqo00:14126:0:99999:7::: <==底下說明用 bin:*:14126:0:99999:7::: daemon:*:14126:0:99999:7::: adm:*:14126:0:99999:7:::
基本上, shadow 同樣以『:』作為分隔符,如果數一數,會發現共有九個字段啊,這九個字段的用途是這樣的:
- 賬號名稱:
由於口令也需要與賬號對應啊~因此,這個文件的第一欄就是賬號,必須要與 /etc/passwd 相同才行! - 口令:
這個字段內的數據才是真正的口令,而且是經過編碼的口令 (加密) 啦! 你只會看到有一些特殊符號的字母就是了!需要特別留意的是,雖然這些加密過的口令很難被解出來, 但是『很難』不等於『不會』,所以,這個文件的默認權限是『-rw-------』或者是『-r--------』,亦即只有 root 才可以讀寫就是了!你得隨時注意,不要不小心更動了這個文件的權限呢!
另外,由於各種口令編碼的技術不一樣,因此不同的編碼系統會造成這個字段的長度不相同。 舉例來說,舊式的 DES 編碼系統產生的口令長度就與目前慣用的 MD5 不同(注2)!MD5 的口令長度明顯的比較長些。由於固定的編碼系統產生的口令長度必須一致,因此『當你讓這個字段的長度改變后,該口令就會失效(算不出來)』。 很多軟件透過這個功能,在此字段前加上 ! 或 * 改變口令字段長度,就會讓口令『暫時失效』了。 - 最近更動口令的日期:
這個字段記錄了『更動口令那一天』的日期,不過,很奇怪呀!在我的例子中怎么會是 14126 呢?呵呵,這個是因為計算 Linux 日期的時間是以 1970 年 1 月 1 日作為 1 而累加的日期,1971 年 1 月 1 日則為 366 啦! 得注意一下這個數據呦!上述的 14126 指的就是 2008-09-04 那一天啦!了解乎? 而想要了解該日期可以使用本章后面 chage 命令的幫忙!至於想要知道某個日期的累積日數, 可使用如下的程序計算: -
[root@www ~]# echo $(($(date --date="2008/09/04" +%s)/86400+1)) 14126
上述命令中,2008/09/04 為你想要計算的日期,86400 為每一天的秒數, %s 為 1970/01/01 以來的累積總秒數。 由於 bash 僅支持整數,因此最終需要加上 1 補齊 1970/01/01 當天。
- 口令不可被更動的天數:(與第 3 字段相比)
第四個字段記錄了:這個賬號的口令在最近一次被更改后需要經過幾天才可以再被變更!如果是 0 的話, 表示口令隨時可以更動的意思。這的限制是為了怕口令被某些人一改再改而設計的!如果配置為 20 天的話,那么當你配置了口令之后, 20 天之內都無法改變這個口令呦! - 口令需要重新變更的天數:(與第 3 字段相比)
經常變更口令是個好習慣!為了強制要求用戶變更口令,這個字段可以指定在最近一次更改口令后, 在多少天數內需要再次的變更口令才行。你必須要在這個天數內重新配置你的口令,否則這個賬號的口令將會『變為過期特性』。 而如果像上面的 99999 (計算為 273 年) 的話,那就表示,呵呵,口令的變更沒有強制性之意。 - 口令需要變更期限前的警告天數:(與第 5 字段相比)
當賬號的口令有效期限快要到的時候 (第 5 字段),系統會依據這個字段的配置,發出『警告』言論給這個賬號,提醒他『再過 n 天你的口令就要過期了,請盡快重新配置你的口令呦!』,如上面的例子,則是口令到期之前的 7 天之內,系統會警告該用戶。 - 口令過期后的賬號寬限時間(口令失效日):(與第 5 字段相比)
口令有效日期為『升級日期(第3字段)』+『重新變更日期(第5字段)』,過了該期限后用戶依舊沒有升級口令,那該口令就算過期了。 雖然口令過期但是該賬號還是可以用來進行其他工作的,包括登陸系統取得 bash 。不過如果口令過期了, 那當你登陸系統時,系統會強制要求你必須要重新配置口令才能登陸繼續使用喔,這就是口令過期特性。
那這個字段的功能是什么呢?是在口令過期幾天后,如果使用者還是沒有登陸更改口令,那么這個賬號的口令將會『失效』, 亦即該賬號再也無法使用該口令登陸了。要注意口令過期與口令失效並不相同。 - 賬號失效日期:
這個日期跟第三個字段一樣,都是使用 1970 年以來的總日數配置。這個字段表示: 這個賬號在此字段規定的日期之后,將無法再使用。 就是所謂的『賬號失效』,此時不論你的口令是否有過期,這個『賬號』都不能再被使用! 這個字段會被使用通常應該是在『收費服務』的系統中,你可以規定一個日期讓該賬號不能再使用啦! - 保留:
最后一個字段是保留的,看以后有沒有新功能加入。
舉個例子來說好了,假如我的 dmtsai 這個用戶的口令欄如下所示:
dmtsai:$1$vyUuj.eX$omt6lKJvMcIZHx4H7RI1V.:14299:5:60:7:5:14419:
這表示什么呢?先要注意的是 14299 是 2009/02/24 。所以 dmtsai 這個用戶的口令相關意義是:
由於口令幾乎僅能單向運算(由明碼計算成為口令,無法由口令反推回明碼),因此由上表的數據我們無法得知 dmstai 的實際口令明文;
此賬號最近一次更動口令的日期是 2009/02/24 (14299);
能夠再次修改口令的時間是 5 天以后,也就是 2009/03/01 以前 dmtsai 不能修改自己的口令;如果用戶還是嘗試要更動自己的口令,系統就會出現這樣的信息:
You must wait longer to change your password passwd: Authentication token manipulation error
畫面中告訴我們:你必須要等待更久的時間才能夠變更口令之意啦!
由於口令過期日期定義為 60 天后,亦即累積日數為: 14299+60=14359,經過計算得到此日數代表日期為 2009/04/25。 這表示:『使用者必須要在 2009/03/01 到 2009/04/25 之間的 60 天限制內去修改自己的口令,若 2009/04/25 之后還是沒有變更口令時,該口令就宣告為過期』了!
警告日期設為 7 天,亦即是口令過期日前的 7 天,在本例中則代表 2009/04/19 ~ 2009/04/25 這七天。 如果用戶一直沒有更改口令,那么在這 7 天中,只要 dmtsai 登陸系統就會發現如下的信息:
Warning: your password will expire in 5 days
如果該賬號一直到 2009/04/25 都沒有更改口令,那么口令就過期了。但是由於有 5 天的寬限天數, 因此 dmtsai 在 2009/04/30 前都還可以使用舊口令登陸主機。 不過登陸時會出現強制更改口令的情況,畫面有點像底下這樣:
You are required to change your password immediately (password aged) WARNING: Your password has expired. You must change your password now and login again! Changing password for user dmtsai. Changing password for dmtsai (current) UNIX password:
你必須要輸入一次舊口令以及兩次新口令后,才能夠開始使用系統的各項資源。如果你是在 2009/04/30 以后嘗試以 dmtsai 登陸的話,那么就會出現如下的錯誤信息且無法登陸,因為此時你的口令就失效去啦!
Your account has expired; please contact your system administrator
如果使用者在 2009/04/25 以前變更過口令,那么第 3 個字段的那個 14299 的天數就會跟着改變,因此, 所有的限制日期也會跟着相對變動喔!^_^
無論使用者如何動作,到了 14419 (大約是 2009/07/24 左右) 該賬號就失效了~
透過這樣的說明,您應該會比較容易理解了吧?由於 shadow 有這樣的重要性,因此可不能隨意修改喔! 但在某些情況底下你得要使用各種方法來處理這個文件的!舉例來說,常常聽到人家說:『我的口令忘記了』, 或者是『我的口令不曉得被誰改過,跟原先的不一樣了』,這個時候怎么辦?
一般用戶的口令忘記了:這個最容易解決,請系統管理員幫忙, 他會重新配置好你的口令而不需要知道你的舊口令!利用 root 的身份使用 passwd 命令來處理即可。
root 口令忘記了:這就麻煩了!因為你無法使用 root 的身份登陸了嘛! 但我們知道 root 的口令在 /etc/shadow 當中,因此你可以使用各種可行的方法啟動進入 Linux 再去修改。 例如重新啟動進入單人維護模式后,系統會主動的給予 root 權限的 bash 接口, 此時再以 passwd 修改口令即可;或以 Live CD 啟動后掛載根目錄去修改 /etc/shadow,將里面的 root 的口令字段清空, 再重新啟動后 root 將不用口令即可登陸!登陸后再趕快以 passwd 命令去配置 root 口令即可。
關於群組: 有效與初始群組、groups, newgrp
[root@www ~]# head -n 4 /etc/group root:x:0:root bin:x:1:root,bin,daemon daemon:x:2:root,bin,daemon sys:x:3:root,bin,adm
這個文件每一行代表一個群組,也是以冒號『:』作為字段的分隔符,共分為四欄,每一字段的意義是:
- 組名:
就是組名啦! - 群組口令:
通常不需要配置,這個配置通常是給『群組管理員』使用的,目前很少有這個機會配置群組管理員啦! 同樣的,口令已經移動到 /etc/gshadow 去,因此這個字段只會存在一個『x』而已; - GID:
就是群組的 ID 啊。我們 /etc/passwd 第四個字段使用的 GID 對應的群組名,就是由這里對應出來的! - 此群組支持的賬號名稱:
我們知道一個賬號可以加入多個群組,那某個賬號想要加入此群組時,將該賬號填入這個字段即可。 舉例來說,如果我想要讓 dmtsai 也加入 root 這個群組,那么在第一行的最后面加上『,dmtsai』,注意不要有空格, 使成為『 root:x:0:root,dmtsai 』就可以啰~
談完了 /etc/passwd, /etc/shadow, /etc/group 之后,我們可以使用一個簡單的圖示來了解一下 UID / GID 與口令之間的關系, 圖示如下。其實重點是 /etc/passwd 啦,其他相關的數據都是根據這個文件的字段去找尋出來的。 下圖中, root 的 UID 是 0 ,而 GID 也是 0 ,去找 /etc/group 可以知道 GID 為 0 時的組名就是 root 哩。 至於口令的尋找中,會找到 /etc/shadow 與 /etc/passwd 內同賬號名稱的那一行,就是口令相關數據啰。
有效群組(effective group)與初始群組(initial group)
[root@www ~]# usermod -G users dmtsai <==先配置好次要群組 [root@www ~]# grep dmtsai /etc/passwd /etc/group /etc/gshadow /etc/passwd:dmtsai:x:503:504::/home/dmtsai:/bin/bash /etc/group:users:x:100:dmtsai <==次要群組的配置 /etc/group:dmtsai:x:504: <==因為是初始群組,所以第四字段不需要填入賬號 /etc/gshadow:users:::dmtsai <==次要群組的配置 /etc/gshadow:dmtsai:!::
仔細看到上面這個表格,在 /etc/passwd 里面,dmtsai 這個使用者所屬的群組為 GID=504 ,搜尋一下 /etc/group 得到 504 是那個名為 dmtsai 的群組啦!這就是 initial group。因為是初始群組, 使用者一登陸就會主動取得,不需要在 /etc/group 的第四個字段寫入該賬號的!
但是非 initial group 的其他群組可就不同了。舉上面這個例子來說,我將 dmtsai 加入 users 這個群組當中,由於 users 這個群組並非是 dmtsai 的初始群組,因此, 我必須要在 /etc/group 這個文件中,找到 users 那一行,並且將 dmtsai 這個賬號加入第四欄, 這樣 dmtsai 才能夠加入 users 這個群組啊。
那么在這個例子當中,因為我的 dmtsai 賬號同時支持 dmtsai 與 users 這兩個群組, 因此,在讀取/寫入/運行文件時,針對群組部分,只要是 users 與 dmtsai 這兩個群組擁有的功能, 我 dmtsai 這個使用者都能夠擁有喔!這樣瞭呼?不過,這是針對已經存在的文件而言, 如果今天我要創建一個新的文件或者是新的目錄,請問一下,新文件的群組是 dmtsai 還是 users ?呵呵!這就得要檢查一下當時的有效群組了 (effective group)。
groups: 有效與支持群組的觀察
如果我以 dmtsai 這個使用者的身份登陸后,該如何知道我所有支持的群組呢? 很簡單啊,直接輸入 groups 就可以了!注意喔,是 groups 有加 s 呢!結果像這樣:
[dmtsai@www ~]$ groups dmtsai users
在這個輸出的信息中,可知道 dmtsai 這個用戶同時屬於 dmtsai 及 users 這個兩個群組,而且, 第一個輸出的群組即為有效群組 (effective group) 了。 也就是說,我的有效群組為 dmtsai 啦~此時,如果我以 touch 去創建一個新檔,例如: 『 touch test 』,那么這個文件的擁有者為 dmtsai ,而且群組也是 dmtsai 的啦。
[dmtsai@www ~]$ touch test [dmtsai@www ~]$ ll -rw-rw-r-- 1 dmtsai dmtsai 0 Feb 24 17:26 test
這樣是否可以了解什么是有效群組了?通常有效群組的作用是在新建文件啦!那么有效群組是否能夠變換?
newgrp: 有效群組的切換
那么如何變更有效群組呢?就使用 newgrp 啊!不過使用 newgrp 是有限制的,那就是你想要切換的群組必須是你已經有支持的群組。舉例來說, dmtsai 可以在 dmtsai/users 這兩個群組間切換有效群組,但是 dmtsai 無法切換有效群組成為 sshd 啦!使用的方式如下:
[dmtsai@www ~]$ newgrp users [dmtsai@www ~]$ groups users dmtsai [dmtsai@www ~]$ touch test2 [dmtsai@www ~]$ ll -rw-rw-r-- 1 dmtsai dmtsai 0 Feb 24 17:26 test -rw-r--r-- 1 dmtsai users 0 Feb 24 17:33 test2
此時,dmtsai 的有效群組就成為 users 了。 我們額外的來討論一下 newgrp 這個命令,這個命令可以變更目前用戶的有效群組, 而且是另外以一個 shell 來提供這個功能的喔,所以,以上面的例子來說, dmtsai 這個使用者目前是以另一個 shell 登陸的,而且新的 shell 給予 dmtsai 有效 GID 為 users 就是了。如果以圖示來看就是如下所示:
雖然用戶的環境配置(例如環境變量等等其他數據)不會有影響,但是使用者的『群組權限』將會重新被計算。 但是需要注意,由於是新取得一個 shell ,因此如果你想要回到原本的環境中,請輸入 exit 回到原本的 shell 喔!
既然如此,也就是說,只要我的用戶有支持的群組就是能夠切換成為有效群組!好了, 那么如何讓一個賬號加入不同的群組就是問題的所在啰。你要加入一個群組有兩個方式,一個是透過系統管理員 (root) 利用 usermod 幫你加入,如果 root 太忙了而且你的系統有配置群組管理員,那么你可以透過群組管理員以 gpasswd 幫你加入他所管理的群組中!詳細的作法留待下一小節再來介紹啰!
/etc/gshadow
剛剛講了很多關於『有效群組』的概念,另外,也提到 newgrp 這個命令的用法, 但是,如果 /etc/gshadow 這個配置沒有搞懂得話,那么 newgrp 是無法動作的呢! 鳥哥測試機的 /etc/gshadow 的內容有點像這樣:
[root@www ~]# head -n 4 /etc/gshadow root:::root bin:::root,bin,daemon daemon:::root,bin,daemon sys:::root,bin,adm
這個文件內同樣還是使用冒號『:』來作為字段的分隔字符,而且你會發現,這個文件幾乎與 /etc/group 一模一樣啊!是這樣沒錯~不過,要注意的大概就是第二個字段吧~第二個字段是口令欄, 如果口令欄上面是『!』時,表示該群組不具有群組管理員!至於第四個字段也就是支持的賬號名稱啰~ 這四個字段的意義為:
- 組名
- 口令欄,同樣的,開頭為 ! 表示無合法口令,所以無群組管理員
- 群組管理員的賬號 (相關信息在 gpasswd 中介紹)
- 該群組的所屬賬號 (與 /etc/group內容相同!)
以系統管理員的角度來說,這個 gshadow 最大的功能就是創建群組管理員啦! 那么什么是群組管理員呢?由於系統上面的賬號可能會很多,但是我們 root 可能平時太忙碌,所以當有使用者想要加入某些群組時, root 或許會沒有空管理。此時如果能夠創建群組管理員的話,那么該群組管理員就能夠將那個賬號加入自己管理的群組中! 可以免去 root 的忙碌啦!不過,由於目前有類似 sudo 之類的工具, 所以這個群組管理員的功能已經很少使用了。我們會在后續的 gpasswd 中介紹這個實作。
轉自 http://vbird.dic.ksu.edu.tw/linux_basic/0410accountmanager_1.php