Product SiteDocumentation Site

8.4. 使用者與群組資料庫

使用者清單通常儲存在 /etc/passwd 檔案內,把編碼後的密碼儲存在 /etc/shadow 檔案內。這兩個檔案都是純文字檔,以簡單的格式儲存,可以用文字編輯器讀取與修改。每個使用者佔一列,其欄位以冒號區隔 (“:”)。

說明 編輯系統檔案

本章討論的系統檔案都是純文字檔,可以用文字編輯器處理。這些檔案對核心系統的運作極為重要,編輯該等檔案時多加慎重不會錯的。首先,先複製或備份原檔案。第二,在伺服器或多人可同時近用該等檔案的機器上,多費心以防止檔案損壞。
為了達成此目標,最好使用 vipw 命令編輯 /etc/passwd 檔案,或使用 vigr 命令編輯 /etc/group 檔案。這些命令會先鎖住該等檔案再執行文字編輯器, (預設使用 vi 命令,除非 EDITOR 環境變數有其他的設定)。加上 -s 選項可同時編輯對應的 shadow 檔案。

基本 Crypt,單向的函數

crypt 是單向函數以特別的方法把字串 (A) 轉換成另個字串 (B),轉換後無法回覆成 A 經由 B。辨識 A 的唯一方法是逐一測試所有可能的值,查驗等同於 B 的結果。最多可輸入 8 個字元 (字串 A) 然後產生 13 個字元的可列印 ASCII 字元 (字串 B)。

8.4.1. 使用者清單:/etc/passwd

/etc/passwd 檔案內的欄位清單:
  • 登入,例如 rhertzog
  • password:就是密碼加密的單向函數 (crypt),使用 DESMD5SHA-256SHA-512。以特別符號 “x” 表示加密後的密碼儲存在/etc/shadow
  • uid:用於辨識個別使用者的不重複數字;
  • gid:使用者主要群組 (Debian 的預設值係為每個使用者建立一個群組) 的不重複號碼;
  • GECOS:通常儲存使用者全名的資料欄;
  • 登入資料夾,用於儲存使用者的個人檔案 (環境變數 $HOME 通常指向此處);
  • 登入時執行的程式。通常是命令解譯器 (shell),若指定為 /bin/false (不做任何事並立即回到控制),則使用者無法登入。

基本 Unix 群組

Unix 群組是包括多個使用者的實體,以整合授權系統可以共享檔案 (具有同樣的權限)。可以限定程式供指定的群組使用。

8.4.2. 隱藏與加密的密碼檔:/etc/shadow

The /etc/shadow 檔案含以下的欄位:
  • 登入;
  • 加密的密碼;
  • 管理密碼期限的欄位。

文件 /etc/passwd/etc/shadow/etc/group 檔案格式

這些格式記錄在下列的手冊頁面:passwd(5)shadow(5)、與 group(5)

安全 /etc/shadow 檔案安全

/etc/shadow,不同於它的分身,/etc/passwd,不能被一般使用者讀取。儲存在 /etc/passwd 內的加密後密碼可被任何人讀取;破壞者可以用 “暴力” 法破壞它們,以常見的編碼字元破解。這種攻擊方式 — 稱為 "字典攻擊" — 對於使用 /etc/shadow 的系統是無效的。

8.4.3. 修改既有的帳號或密碼

以下的命令允許修改使用者資料庫內的特定欄位資料:passwd 允許使用者更改自己的密碼,並更新 /etc/shadow 檔案;chfn (CHange Full Name),保留給超級使用者 (root) 專用,修改 GECOS 欄位。chsh (CHange SHell) 允許使用者變更自己的登入 shell,但祗限列名在 /etc/shells 之內;另一方面,管理者不受此限,且可設定任何 shell。
最後,chage (CHange AGE) 命令允許管理者變更密碼的有效期 (-l 使用者 選項列出現在的設定)。以 passwd -e 使用者 命令強迫密碼失效,要求使用者登錄時變更密碼才能繼續使用。

8.4.4. 帳號禁用

有時需要 “禁用一個帳號” (關閉某使用者),基於紀律考量、調查、或使用者太久未登入。被禁用的帳號表示該使用者不能登入或近用該機器。帳號還在機器內且檔案與資料都未被刪除木;祗是不能使用。以 passwd -l 使用者 (鎖定) 命令就能夠達成。以同樣的方式另個選項 -u (解鎖) 就可恢復該帳號。

下一步 NSS 與系統資料庫

與其使用檔案管理使用者與群組清單,還可使用其他資料庫類型,諸如 LDAP 或 db,藉由適當的 NSS (Name Service Switch 姓名服務切換) 模組。可用的模組列在 /etc/nsswitch.conf 檔案內,在 passwdshadowgroup 款目下。LDAP 下的 NSS 模組使用法,見 節 11.7.3.1, “Configuring NSS”

8.4.5. 群組清單:/etc/group

群組列在 /etc/group 檔案內,單純的文字資料庫類似 /etc/passwd 檔案,包括以下的欄位:
  • 群組名稱;
  • 密碼 (選項):加入群組會用到 (以 newgrpsg 命令,見專欄 基本 在多個群組工作);
  • gid:不重複的群組辨識碼;
  • 成員清單:屬於此群組的使用者名稱清單,以逗點區隔。

基本 在多個群組工作

終端使用者可能參加多個群組;其中一個是自己的 “主要群組”。使用者自己的主要群組,使用者初始組態時自動產生的預設值。使用者新增的檔案自動屬於該讀者,以及其主要群組。這種方式並不完全合意;例如,使用者需要在自己主要群組之外的資料夾工作,與其他群組共享其檔案。在這種情況下,使用者需以命令:newgrp 變更其主要群組,產生新的 shell,或以 sg 命令,使用其他群組。這些命令也允許使用者加入其他群組。若該等群組受密碼保護,則需先取得密碼才能執行該等命令。
使用者還可以設定資料夾的 setgid 位元,讓該資料夾內的檔案自動屬於特定群組。詳情見專欄 安全 setgid 資料夾和 sticky bit
id 命令顯示使用者現在的狀態,包括個人辨識碼 (uid 變數)、現在的主要群組 (gid variable)、以及其所屬群組的清單 (groups 變數)。
The addgroup and delgroup commands add or delete a group, respectively. The groupmod command modifies a group's information (its gid or identifier). The command gpasswd group changes the password for the group, while the gpasswd -r group command deletes it.

秘訣 getent

getent (取得款目的意思 get entries) 命令使用適當的程式庫函數,呼叫組態於 /etc/nsswitch.conf 檔案的 NSS 模組,以標準方式檢查系統資料庫。此命令需要一個或兩個參數:被檢查的資料庫名稱、以及可能的搜尋鍵詞。因此,getent passwd rhertzog 命令將從使用者 rhertzog 中給予使用者資料庫。