關(guān)于這部分內(nèi)容，阿銘在Linux系統(tǒng)日常管理工作中用得并不多，但并不代表這部分內(nèi)容不重要。畢竟Linux系統(tǒng)是一個(gè)多用戶系統(tǒng)，每個(gè)賬號(hào)用來(lái)干什么，我們必須了如指掌，因?yàn)檫@涉及安全問(wèn)題。

安裝完系統(tǒng)后，我們就一直使用root賬號(hào)來(lái)操作，其實(shí)這并不安全。因?yàn)?/span>root賬號(hào)權(quán)限太高，容易誤操作。阿銘建議你以后在工作中盡量避免直接使用root賬號(hào)登錄系統(tǒng)，使用普通用戶也可以完成大部分工作。

5.1認(rèn)識(shí)/etc/passwd和/etc/shadow

這兩個(gè)文件可以說(shuō)是Linux系統(tǒng)中最重要的文件之一。如果沒(méi)有這兩個(gè)文件或者這兩個(gè)文件出了問(wèn)題，則無(wú)法正常登錄系統(tǒng)。下面咱們先來(lái)看看/etc/passwd文件，示例命令如下：

# cat /etc/passwd | head
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin

看到上面那條命令，你是不是有點(diǎn)不知所以呢？其實(shí)，head前面的符號(hào)|，我們稱為管道符，它的作用是把前面的命令的輸出再輸入給后面的命令。管道符在第11章中還會(huì)介紹，阿銘用得也是蠻多的，請(qǐng)掌握它的用法。

5.1.1/etc/passwd解說(shuō)

/etc/passwd由：分割成7個(gè)字段，每個(gè)字段的具體含義如下所示。

• 第1個(gè)字段為用戶名（如第1行中的root就是用戶名），它是代表用戶賬號(hào)的字符串。用戶名中的字符可以是大小寫(xiě)字母、數(shù)字、減號(hào)（不能出現(xiàn)在首位）、點(diǎn)或下劃線，其他字符不合法。雖然用戶名中可以出現(xiàn)點(diǎn)，但不建議使用，尤其是首位。另外，減號(hào)也不建議使用，容易造成混淆。

• 第2個(gè)字段存放的是該賬號(hào)的口令。這里為什么是x呢？早期的Unix系統(tǒng)口令確實(shí)存放在這里，但基于安全因素，后來(lái)就將其存放到/etc/shadow中了，這里只用一個(gè)x代替。

• 第3個(gè)字段為一個(gè)數(shù)字，這個(gè)數(shù)字代表用戶標(biāo)識(shí)號(hào)，也稱為uid。系統(tǒng)就是通過(guò)這個(gè)數(shù)字識(shí)別用戶身份的。這里的0就是root，也就是說(shuō)我們可以修改test用戶的uid為0，那么系統(tǒng)會(huì)認(rèn)為root和test為同一個(gè)賬戶。uid的取值范圍是0~655 35（但實(shí)際上已經(jīng)可以支持到429 496 729 4），0是超級(jí)用戶（root）的標(biāo)識(shí)號(hào)，Rocky 8的普通用戶標(biāo)識(shí)號(hào)從1000開(kāi)始。如果我們自定義建立一個(gè)普通用戶，你會(huì)看到該賬戶的標(biāo)識(shí)號(hào)是大于或等于1000的。

• 第4個(gè)字段也是數(shù)字，表示組標(biāo)識(shí)號(hào)，也稱為gid。這個(gè)字段對(duì)應(yīng)著/etc/group中的一條記錄，其實(shí)/etc/group和/etc/passwd基本類似。

• 第5個(gè)字段為注釋說(shuō)明，沒(méi)有實(shí)際意義。通常記錄該用戶的一些屬性，例如姓名、電話、地址等。我們可以使用chfn命令來(lái)更改這些信息，這在稍后會(huì)介紹。

• 第6個(gè)字段為用戶的家目錄，當(dāng)用戶登錄時(shí)，就處在這個(gè)目錄下。root的家目錄是/root，普通用戶的家目錄則為/home/username，用戶家目錄是可以自定義的。比如，建立一個(gè)普通用戶test1，要想讓test1的家目錄在/data目錄下，只要將/etc/passwd文件中對(duì)應(yīng)該用戶那行中的本字段修改為/data即可。

• 最后一個(gè)字段為用戶的shell。用戶登錄后，要啟動(dòng)一個(gè)進(jìn)程，用來(lái)將用戶下達(dá)的指令傳給內(nèi)核，這就是shell。Linux的shell有sh、csh、ksh、tcsh、bash等多種，而RHEL/Rocky的shell就是bash。查看/etc/passwd文件，該字段中除了/bin/bash，還有很多/sbin/nologin，它表示不允許該賬號(hào)登錄。如果想建立一個(gè)不允許登錄的賬號(hào)，可以把該字段改成/sbin/nologin，默認(rèn)是/bin/bash。

5.1.2/etc/shadow解說(shuō)

/etc/shadow和/etc/passwd類似，由：分割成9個(gè)字段，示例命令如下：

# cat /etc/shadow |head -n 3
root:$6$Wu/W4eryssf9B3xQ$jgNuM24oQ9boSTUPaeJ/79GFjLUX912bSDu3ak40qJIxNj4/SpaK.JXguDYowM00mt3/5tvNIoBJ7RNcpH2K.107:::
bin1807899999::
daemon1807899999::

每個(gè)字段的含義如下所示：

• 第1個(gè)字段為用戶名，與/etc/passwd對(duì)應(yīng)。

• 第2個(gè)字段為用戶密碼，是該賬號(hào)的真正密碼。這個(gè)密碼已經(jīng)加密，但是有些黑客還是能夠解密的。所以，將該文件屬性設(shè)置為000，但root賬戶是可以訪問(wèn)或更改的。使用命令ls -l查看該文件的權(quán)限，示例命令如下：

  # ls -l /etc/shadow
  ---------- 1 root 689 12月 30
  07:46 /etc/shadow

• 第3個(gè)字段為上次更改密碼的日期，這個(gè)數(shù)字以1970年1月1日和上次更改密碼的日期為基準(zhǔn)計(jì)算而來(lái)。例如，上次更改密碼的日期為2020年1月1日，則這個(gè)值就是365* (2020-1970)+(2020-1970)/4+1=18263。如果是閏年，則有366天。

• 第4個(gè)字段為要過(guò)多少天才可以更改密碼，默認(rèn)是0，即不受限制。

• 第5個(gè)字段為密碼多少天后到期，即在多少天內(nèi)必須更改密碼。例如，這里設(shè)置成30，則30天內(nèi)必須更改一次密碼；否則，將不能登錄系統(tǒng)。默認(rèn)是99999，可以理解為永遠(yuǎn)不需要改。

• 第6個(gè)字段為密碼到期前的警告期限。若這個(gè)值設(shè)置成7，則表示當(dāng)7天后密碼過(guò)期時(shí)，系統(tǒng)就發(fā)出警告，提醒用戶他的密碼將在7天后到期。

• 第7個(gè)字段為賬號(hào)失效期限。如果這個(gè)值設(shè)置為3，則表示密碼已經(jīng)到期，然而用戶并沒(méi)有在到期前修改密碼，那么再過(guò)3天，這個(gè)賬號(hào)便失效，即鎖定。

• 第8個(gè)字段為賬號(hào)的生命周期。跟第3個(gè)字段一樣，這個(gè)周期是按距離1970年1月1日多少天算的。它表示的含義是，賬號(hào)在這個(gè)日期前可以使用，到期后賬號(hào)將作廢。

• 最后一個(gè)字段作為保留用的，沒(méi)有什么意義。

上面關(guān)于密碼文件字段的介紹內(nèi)容偏多并不太容易記住，在這里阿銘提醒你，這部分內(nèi)容無(wú)需記住，只需要了解即可，因?yàn)樵诠ぷ髦形覀儙缀跤貌坏竭@些知識(shí)點(diǎn)。

5.2用戶和用戶組管理

上面介紹了/etc/passwd和/etc/shadow這兩個(gè)文件的具體含義，但這只是理論知識(shí)，實(shí)際上，對(duì)于在Linux下用戶和組如何創(chuàng)建、刪除以及更改其屬性，我們一無(wú)所知。

5.2.1新增組的命令groupadd

命令groupadd的格式為 groupadd [-g GID] groupname，示例命令如下：

# groupadd grptest1
# tail -n1 /etc/group
grptest11002:

如果不加-g選項(xiàng)，則按照系統(tǒng)默認(rèn)的gid創(chuàng)建組。跟uid一樣，gid也是從1000開(kāi)始的。我們也可以按如下操作自定義gid：

# groupadd -g 1008 grptest2
# tail -n2 /etc/group
grptest11002:
grptest21008:

5.2.2刪除組的命令groupdel

有時(shí)，我們會(huì)有刪除組的需求，此時(shí)可進(jìn)行如下操作：

# groupdel grptest2
# tail -n2 /etc/group
slocate21:
grptest11002:

命令groupdel沒(méi)有特殊選項(xiàng)，但有一種情況不能刪除組，如下所示：

# groupdel user1
groupdel：不能移除用戶“user1”的主組

上例中，user1組中包含user1賬戶，只有刪除user1賬戶后才可以刪除該組。

5.2.3增加用戶的命令useradd

從字面意思上來(lái)看，useradd就是增加用戶，該命令的格式為useradd [-u UID] [-g GID] [-d HOME] [-M] [-s]，其中各個(gè)選項(xiàng)的具體含義如下。

• -u：表示自定義UID。

• -g：表示使新增用戶屬于已經(jīng)存在的某個(gè)組，后面可以跟組id，也可以跟組名。

• -d：表示自定義用戶的家目錄。

• -M：表示不建立家目錄。

• -s：表示自定義shell。

下面我們先來(lái)新建一個(gè)用戶test10，示例命令如下：

# useradd test10
# tail -n1 /etc/passwd
test10:x:1001:1001::/home/test10:/bin/bash
# tail -n1 /etc/group
test10:x:1001:

如果useradd不加任何選項(xiàng)，直接跟用戶名，則會(huì)創(chuàng)建一個(gè)跟用戶名同名的組。當(dāng)然，很多時(shí)候需要我們自己去定義uid、gid或者所屬的組，示例命令如下：

# useradd -u1005 -g 1006 -M -s /sbin/nologin user11
useradd：“1006”組不存在
# useradd -u1005 -g 1001 -M -s /sbin/nologin user11
# useradd -u1006 -g grptest1 user12
# tail -n2 /etc/passwd
user11:x:1005:1001::/home/user11:/sbin/nologin
user12:x:1006:1002::/home/user12:/bin/bash
# tail -n2 /etc/group
user1:x:1003:
test10:x:1001:

如果-g選項(xiàng)后面跟一個(gè)不存在的gid，則會(huì)報(bào)錯(cuò)，提示該組不存在。剛剛上面說(shuō)過(guò)，加上-M選項(xiàng)后，則不建立用戶家目錄，但在/etc/passwd文件中仍然有這個(gè)字段。如果你使用命令ls /home/user11查看一下，會(huì)提示該目錄不存在。所以，-M選項(xiàng)的作用只是不創(chuàng)建那個(gè)目錄。下面我們來(lái)查看user11的家目錄，會(huì)提示我們目錄不存在，示例命令如下：

# ls /home/user11
ls: 無(wú)法訪問(wèn)/home/user11: 沒(méi)有那個(gè)文件或目錄

5.2.4刪除賬戶的命令userdel

命令userdel的格式為userdel [-r] username，其中-r選項(xiàng)的作用是，當(dāng)刪除用戶時(shí)，一并刪除該用戶的家目錄。下面我們先來(lái)看看user12的家目錄，示例命令如下：

# ls -ld /home/user12
drwx------ 2 user12 grptest1 62 1月   2 06:47  /home/user12

如果不加-r選項(xiàng)，則會(huì)直接刪除用戶user12，但保留其家目錄，如下所示：

# userdel user12
# ls -ld /home/user12
drwx------ 2 user12 grptest1 62 1月   2 06:47  /home/user12

此時(shí)user12的家目錄還在，那么我們?cè)偌由?/span>-r選項(xiàng)刪除user1用戶，如下所示：

# ls -ld /home/user1
drwx------ 2 user1 test10 62 12月 30
07:46  /home/user1
# userdel -r user1
# ls -ld /home/usre1
ls: 無(wú)法訪問(wèn)/home/user1: 沒(méi)有那個(gè)文件或目錄

此時(shí)user1的家目錄已經(jīng)不復(fù)存在。