Linux用戶和組的配置文件

用戶和組的主要配置文件

前兩個是放用戶賬號相關的，后兩個是放和組相關的

• /etc/passwd：用戶及其屬性信息(名稱、UID、主組ID等） #早期密碼也放這里，后來發現不安全，誰都能看
• /etc/shadow：用戶密碼及其相關屬性 #后來將密碼放在shadow里，普通用戶打不開
• /etc/group：組及其屬性信息
• /etc/gshadow：組密碼及其相關屬性

man幫助第五章放的配置文件的相關信息，/etc下的都是系統配置文件，可以使用man幫助來查看

[root@C8-1 ~]# whatis passwd
openssl-passwd (1ssl) - compute password hashes
passwd (1)           - update user's authentication tokens
passwd (5)           - password file
[root@C8-1 ~]# man 5 passwd

passwd文件格式

Each line of the file describes a single user, and contains seven colon-separated fields:

           name:password:UID:GID:GECOS:directory:shell
[root@C8-1 ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin

• login name：登錄用名（wang）
• passwd：密碼 (x)
• UID：用戶身份編號 (1000)
• GID：登錄默認所在組編號 (1000)
• GECOS：用戶全名或注釋
• home directory：用戶主目錄 (/home/wang)
• shell：用戶默認使用shell (/bin/bash)

shadow文件格式

[root@C8-1 ~]# getent shadow root
root:$6$0oNcn58oJTkyswqj$ZSA1obbRFFvijoTaiY.GJsBz1CBhIOWt7eEIC7jdZTUZbifpJnR1f8ekUJwc4RTVi/XY5xX/YmkcfFEllTWCZ.::0:99999:7:::
[root@C8-1 ~]# getent shadow pang
pang:$6$QpM5ZwGYiPFjyJTk$xhuVNY9VFLbo576vMW3h/GFpnb5WJJXwvc5ELzMt.KyvjhRiSll.pNKU5Day.ZHVgk4m1VLf4GQeH.px2xYbb0:18433:0:99999:7:::

• 登錄用名 pang
• 用戶密碼:一般用sha512加密 哈希算法 散列
• 從1970年1月1日起到密碼最近一次被更改的時間 18433
• 密碼再過幾天可以被變更（0表示隨時可被變更） 0
• 密碼再過幾天必須被變更（99999表示永不過期） 99999
• 密碼過期前幾天系統提醒用戶（默認為一周） 7
• 密碼過期幾天后帳號會被鎖定 默認空
• 從1970年1月1日算起，多少天后帳號失效 默認空

$6代表sha512 哈希算法 散列算法

更改密碼加密算法：

[root@C8-1 ~]# sha
sha1hmac    sha1sum     sha224hmac  sha224sum   sha256hmac  sha256sum   sha384hmac  sha384sum   sha512hmac  sha512sum
[root@C8-1 ~]# authconfig --passalgo=sha256 --update

密碼的安全策略

• 足夠長
• 使用數字、大寫字母、小寫字母及特殊字符中至少3種
• 使用隨機密碼
• 定期更換,不要使用最近曾經使用過的密碼
  生成隨機密碼

[root@centos8 ~]#tr -dc '[:alnum:]' < /dev/urandom | head -c 12  
sFg6C8g5FAfe
[root@centos8 ~]#openssl rand -base64 9
hvMkPmAyIrXMQInt

group文件格式

• 群組名稱：就是群組名稱
• 群組密碼：通常不需要設定，密碼是被記錄在 /etc/gshadow
• GID：就是群組的 ID
• 以當前組為附加組的用戶列表(分隔符為逗號)

gshadow文件格式

組口令沒有什么實際用途，實現組成員調整用的
嘆號 ！ 表示口令是被鎖定的，表示這個賬戶將不能直接登錄
兩個嘆號 ！！ 表示雙重保險，要想要這個賬戶登錄，必須刪掉兩個！，刪掉一個都不行

• 群組名稱：就是群的名稱
• 群組密碼：
• 組管理員列表：組管理員的列表，更改組密碼和成員
• 以當前組為附加組的用戶列表：多個用戶間用逗號分隔

[root@C8-1 ~]# cat /etc/group
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
.
.
pang:x:1000:
[root@C8-1 ~]# cat /etc/gshadow
root:::
bin:::
daemon:::
sys:::
adm:::
tty:::
disk:::
.
.
pang:!::

文件操作

不推薦使用以下命令

• vipw和vigr
  編輯文件的時候自帶語法檢查功能
• pwck和grpck
  這兩個是用來專門檢查語法的