本篇主要介绍用户和组的配置文件,文档内容基于CentOS 7。
用户和组的配置文件用户和组的配置文件包括/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow,其中前两个是用户相关配置文件,后两个是组相关配置文件。下面依次分别介绍这四个文件。 用户配置文件/etc/passwd/etc/passwd文件主要用于记录用户账户信息。文件每一行描述一个用户,它包括7个由冒号分隔的字段,他们分别是:name:password:UID:GID:GECOS:directory:shell。 | field | description |
|---|
| name | 用户登录名,不应该包含大写字母 | | password | 加密的用户密码,可以是*或x | | UID | 用户ID | | GID | 用户主组ID | | GECOS | 注释字段,或者理解为描述信息,通常包含完整的用户名,可为空。 | | directory | 用户家目录,即用户登录后默认放置的位置。$HOME环境变量从这里取值。 | | shell | 登录时运行的shell程序,如果为空,使用/bin/sh。$SHELL环境变量从这里取值。 |
Note: 默认/etc/passwd文件所有用户可读且只读,管理员可读写。 /etc/passwd和/etc/shadow文件,不管哪个文件的密码字段为空,该用户将实现“空口令登录”。(危险)
/etc/shadow/etc/shadow文件主要用于记录安全相关用户账户信息。和/etc/passwd一样,文件每一行描述一个用户,它包括9个由冒号分隔的字段,他们分别是:login name:encrypted password:date of last password change:minimum password age:maximum password age:password warning period:password inactivity period:account expiration date:reserved field。 | field | description |
|---|
| login name | 有效账户名 | | encrypted password | 加密密码 | | date of last password change | 最近一次更改密码的日期,从1970-01-01开始计算,单位为天。值为0,表示用户下次登录应该修改其密码。值为空,表示密码老化功能被禁用。 | | minimum password age | 最小密码年龄(以天为单位),表示用户至少要经历多少天才能再次更改密码,即密码的最短使用期限。值为0或空,表示没有最小密码年龄。 | | maximum password age | 最大密码年龄(以天为单位),即密码的最长使用期限。值过期,用户下次登录会被询问修改其密码。 | | password warning period | 密码警告期(以天为单位),即密码即将过期的天数。值为0或空,表示没有密码警告期。 | | password inactivity period | 密码不活动期(以天为单位),即密码宽限期,超过这个时间,账户将被锁定。在密码不活动期间,用户登录时会被强制要求更改其密码。值为空,表示没有强制执行不活动期。 | | account expiration date | 账户过期日期,从1970-01-01开始计算,单位为天。账户过期,用户将不允许登录。值为空,表示账户永不过期。 | | reserved field | 保留字段,为将来使用保留。 |
Note: 密码老化功能是可选的,date of last password change 字段为空,即表示该功能被禁用。 帐户过期与密码过期不同。如果帐户过期,则不允许用户登录。如果密码过期,则不允许用户使用其密码登录。
组配置文件/etc/group/etc/group文件主要用于记录组账户信息。文件每一行描述一个组,它包括4个由冒号分隔的字段,他们分别是:group_name:password:GID:user_list。 | field | description |
|---|
| group_name | 组名 | | password | 加密组密码 | | GID | 组ID | | user_list | 组成员用户列表 |
/etc/gshadow/etc/gshadow文件主要用于记录安全相关组账户信息。和/etc/group一样,文件每一行描述一个组,它也包括4个由冒号分隔的字段,他们分别是:group name:encrypted password:administrators:members。 | field | description |
|---|
| group name | 有效组名 | | encrypted password | 加密密码 | | administrators | 组管理员(必须是逗号分隔的用户列表) | | members | 组成员(必须是逗号分隔的用户列表,通常和/etc/group中用户列表保持一致) |
Tip: administrators:组管理员的列表,更改组密码和成员。 members:以当前组为附加组的用户列表,多个用户间用逗号分隔。
|
