Linux账号管理和ACL权限设定.doc

Linux 的账号与群组 管理员的工作中，相当重要的一环就是『管理账号』啦！因为整个系统都是你在管理的， 并且所有一般用户的账号申请，都必须要透过你的协助才行！所以你就必须要了解一下如何管理好一个服务器主机的账号啦！ 在管理 Linux 主机的账号时，我们必须先来了解一下 Linux 到底是如何辨别每一个使用者的！ 使用者识别码： UID 与 GID 虽然我们登入 Linux 主机的时候，输入的是我们的账号，但是其实 Linux 主机并不会直接认识你的『账号名称』的，他仅认识 ID 啊 (ID 就是一组号码啦)。 由于计算机仅认识 0 与 1，所以主机对于数字比较有概念的；至于账号只是为了让人们容易记忆而已。 而你的 ID 与账号的对应就在 /etc/passwd 当中哩。 Tips:如果你曾经在网络上下载过 HYPERLINK /linux_basic/0240tarcompress.php \l pack tarball 类型的档案， 那么应该不难发现，在解压缩之后的档案中，档案拥有者的字段竟然显示『不明的数字』？奇怪吧？这没什么好奇怪的，因为 Linux 说实在话，他真的只认识代表你身份的号码而已！ 那么到底有几种 ID 呢？还记得我们在 HYPERLINK /linux_basic/0210filepermission.php 第六章内有提到过， 每一个档案都具有『拥有人与拥有群组』的属性吗？没错啦～每个登入的使用者至少都会取得两个 ID ，一个是使用者 ID (User ID ，简称 UID)、一个是群组 ID (Group ID ，简称 GID)。 那么档案如何判别他的拥有者与群组呢？其实就是利用 UID 与 GID 啦！每一个档案都会有所谓的拥有者 ID 与拥有群组 ID ，当我们有要显示档案属性的需求时，系统会依据 /etc/passwd 与 /etc/group 的内容， 找到 UID / GID 对应的账号与群组名称再显示出来！我们可以作个小实验，你可以用 root 的身份 vi /etc/passwd ，然后将你的一般身份的使用者的 ID 随便改一个号码，然后再到你的一般身份的目录下看看原先该账号拥有的档案，你会发现该档案的拥有人变成了 『数字了』呵呵！这样可以理解了吗？来看看底下的例子： # 1. 先察看一下，系统里面有没有一个名为 dmtsai 的用户？ [root@www ~]# grep dmtsai /etc/passwd dmtsai:x:503:504::/home/dmtsai:/bin/bash ==是有这个账号喔！ [root@www ~]# ll -d /home/dmtsai drwx------ 4 dmtsai dmtsai 4096 Feb 6 18:25 /home/dmtsai # 瞧一瞧，使用者的字段正是 dmtsai 本身喔！ # 2. 修改一下，将刚刚我们的 dmtsai 的 503 UID 改为 2000 看看： [root@www ~]# vi /etc/passwd ....(前面省略).... dmtsai:x:2000:504::/home/dmtsai:/bin/bash ==修改一下特殊字体部分，由 503 改过来 [root@www ~]# ll -d /home/dmtsai drwx------ 4 503 dmtsai 4096 Feb 6 18:25 /home/dmtsai # 很害怕吧！怎么变成 503 了？因为档案只会记录数字而已！ # 因为我们乱改，所以导致 503 找不到对应的账号，因此显示数字！ # 3. 记得将刚刚的 2000 改回来！ [root@www ~]# vi /etc/passwd ....(前面省略).... dmtsai:x:503:504::/home/dmtsai:/bin/bash ==赶紧改回来！ 你一定要了解的是，上面的例子仅是在说明 UID 与账号的对应性，在一部正常运作的 Linux 主机环境下，上面的动作不可随便进行， 这是因为系统上已经有很多的数据被建立存在了，随意修改系统上某些账号的 UID 很可能会导致某些程序无法进行，这将导致系统无法顺利运作的结果。 因为权限的问题啊！所以，了解了之后，请赶快回到 /etc/passwd 里面，将数字改回来喔！ Tips:举例来说，如果上面的测试最后一个步骤没有将 2000 改回原本的 UID，那么当 dmtsai 下次登入时将没有办法进入自己的家目录！ 因为他的 UID 已经改为 2000 ，但是他的家目录 (/home/dmtsai) 却记录的是 503 ，由于权限是 700 ， 因此他将无法进入原本的家目录！是否非常严重啊？ 使用