linux培训资料033 单元15.pptVIP

15-* 单元 15 用户、组群、和权限方面的高级课题 15-* 目标 学习了本单元后，你应该能够： 描述Linux保存用户、组群、和口令信息的地方 改变身份 设置默认权限 使用特殊权限 15-* 用户和组群 ID 号码 用户名对应用户 ID 号码 组群名对应组群 ID 号码 保存在硬盘上的数据是数字式的（号码） Linux系统只认识代表用户身份或用户组的ID号 15-* /etc/passwd、/etc/shadow，和etc/group 文件 验证信息被保存在纯文本文件中 /etc/passwd /etc/shadow /etc/group /etc/gshadow 登陆linux时如何取得UID/GID 我们在输入完系统登陆账号和密码之后，linux会做如下操作： 先找/etc/passwd中是否有这个账号，如果没有则退出，如果有，则将对应的UID与GID读出来，并将该账号的家目录与shell设置也一起读出来。 然后linux会进入/etc/shadow中查找对应的账号与UID，并核对刚才输入的密码。 如果一切都相符，就进入shell控制阶段。 5-* /etc/passwd文件详解 [root@localhost ~]# vim /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin …… 我们可以看出passwd文件中的每一行都是使用“:”来分隔开的，共有七部分内容，分别为： 1、账号名称 2、密码：上面显示的是x，表示密码已经移到shadow这个加密后的文件中去了 15-* 续上页 3、UID：用户识别码，0表示根用户；1~499是保留给系统使用的ID，一般来说，1~99会保留给系统默认账号，100~499则保留给一些服务来使用；500~65535给一般用户 4、GID：与/etc/group有关，用来规范用户组 5、用户信息说明：用来解释账号的意义 6、家目录：用户的家目录，可以更改 7、Shell：用于当执行命令后，各硬件接口之间的通信，通常使用/bin/bash这个shell来执行命令，需要注意的是，/sbin/nologin这个shell可以用来代替账号无法登陆命令 15-* /etc/shadow文件详解 [root@localhost ~]# vim /etc/shadow root:$1$XtSFyRlL$iHLD4EqVo52YluoDduqJi0:14612:0:99999:7::: bin:*:14612:0:99999:7::: …… 同passwd一样，shadow文件也是以“:”作为分隔符，共有九个字段，分别为： 1、账号名称：这一个字段必须要与passwd相同 15-* 续上页 2、密码：这里的密码是经过加密处理的，如果密码的第一个字符为“*”或者“!”，表示这个账号并不是用来登陆的 3、最近更改密码的日期：上面显示的是14612，表示日期的累加数，是从1970年1月1日一直累加到更改日期当天，如到2005年1月1日就是12784 4、密码不可更改的天数：即账号需要经过多少天才可以更改，如果是0，表示密码随时可以更改 5、密码需要重新更改的天数：即必须在设定的这个时间内设置新密码，否则账号将会失效，如果是99999，表示不需要重设密码 15-* 续上页 6、密码更改期限前的警告期限：即设置密码失效前多少天来发出警告提醒用户再过n天密码将要失效 7、密码过期的宽限时间：即如果在规定的期限内没有更改密码而导致密码失效后，还可以使用这个字段增加宽限时间 8、账号失效日期：也是从1970年1月1日累加出来的数字 9、保留字段：供以后新功能使用 15-* shadow字段举例 dmtsai:zkdiKDOkuOmkDW1249:13025:5:60:7:2:13125 其中13025表示2005/08/30，13125表示2005/12/8，问上述内容表示什么？ 上述内容表示： dmtsai这个用户最近一次修改密码时间是2005年8月30日 能够修改密码的时间是5天，也就是在2005年9月4日之前不能修改密码 用户必须要在2005年9月4日到2005年10月29日之间的60天内修改密码，否则就会失效 系统会在2005年10月29日之前的7天内警告dmtsai修改密码 如果用户未修改密码，还有2天的时间宽限，dmtsai还可以在2005年10月31日前继续登录，如果用户在2005年10月29日前更改过密码，13025的数字就会跟着变，所有的限制日期也会跟着变 无论用户如何操作，到2005年12月8日左右，账号就会失效 15-* /etc/group文件详解