unix口令檔案介紹(轉)

ba發表於2007-08-09
unix口令檔案介紹(轉)[@more@]/etc/passwd檔案是UNIX安全的關鍵檔案之一.該檔案用
於使用者登入時校驗使用者的口令,當然應當僅對root可寫.
檔案中每行的一般格式為:
LOGNAME: PASSWORD:UID:GID:USERINFO:HOME:SHELL


每行的頭兩項是登入名和加密後的口令,後面的兩個數是
UID和GID,接著的一項是系統管理員想寫入的有關該使用者
的任何資訊,最後兩項是兩個路徑名: 一個是分配給使用者
的HOME目錄,第二個是使用者登入後將執行的shell(若為空
格則 預設為/bin/sh).

(1)口令時效
/etc/passwd檔案的格式使系統管理員能要求使用者定期地
改變他們的口令.在口令檔案中可以看到,有些加密後的
口令有逗號,逗號後有幾個字元和一個 冒號.如:
steve:xyDfccTrt180x,M.y8:0:0:admin:/:/bin/sh
restrict:pomJk109Jky41,.1:0:0:admin:/:/bin/sh
pat:xmotTVoyumjls:0:0:admin:/:/bin/sh


可以看到,steve的口令逗號後有4個字元,restrict有2
個,pat沒有逗號.
逗號後第一個字元是口令有效期的最大週數,第二個字元
決定了使用者再次修改口信之前,原口令應使用的最小週數
(這就防止了使用者改了新口令後立刻又改回成老口令).其
餘字元表明口令最新修改時間.

要能讀懂口令中逗號後的資訊,必須首先知道如何用
passwd_esc計數,計數的方法是: .=0 /=1 0-9=2-11
A-Z=12-37 a-z=38-63

系統管理員必須將前兩個字元放進/etc/passwd檔案,以
要求使用者定期的修改口令,另外兩個字元當使用者修改口令
時,由passwd命令填入.
注意:若想讓使用者修改口令,可在最後一次口令被修改時,
放兩個".",則下一次使用者登入時將被要求修改自己的口
令.
有兩種特殊情況:

. 最大週數(第一個字元)小於最小週數(第二個字元),則
不允許使用者修改口令,僅超級使用者可以修改使用者的口令.
. 第一個字元和第二個字元都是".",這時使用者下次登入
時被要求修改口令,修改口令後,passwd命令將"."刪除,
此後再不會要求使用者修改口令.


(2)UID和GID
/etc/passwd中UID資訊很重要,系統使用UID而不是登入
名區別使用者.一般來說,使用者的UID應當是獨一無二的,其
他使用者不應當有相同的UID數值.根據慣 例,從0到99的
UID保留用作系統使用者的UID(root,bin,uucp等).
如果在/etc/passwd檔案中有兩個不同的入口項有相同的
UID,則這兩個使用者對相互的檔案具有相同的存取許可權.

/etc/group檔案含有關於小組的資訊,/etc/passwd中的
每個GID在本檔案中應當有相應的入口項,入口項中列出
了小組名和小組中的使用者.這樣可方便地了 解每個小組
的使用者,否則必須根據GID在/etc/passwd檔案中從頭至尾
地尋找同組 使用者.

/etc/group檔案對小組的許可許可權的控制並不是必要的,
因為系統用UID,GID(取自/etc/passwd)決定檔案存取權
限,即使/etc/group檔案不存在於系統中,具有相同的GID
使用者也可以小組的存取許可許可權共享檔案.

小組就像登入使用者一樣可以有口令.如果/etc/group檔案
入口項的第二個域為非空,則將被認為是加密口
令,newgrp命令將要求使用者給出口令,然後將口令加密,再
與該域的加密口令比較.

給小組建立口令一般不是個好作法.第一,如果小組內共
享檔案,若有某人猜著小組口令,則該組的所有使用者的文
件就可能洩漏;其次,管理小組口令很費事, 因為對於小
組沒有類似的passwd命令.可用/usr/lib/makekey生成一
個口令寫入/etc/group.

以下情況必須建立新組:
(1)可能要增加新使用者,該使用者不屬於任何一個現有的小
組.
(2)有的使用者可能時常需要獨自為一個小組.
(3)有的使用者可能有一個SGID程式,需要獨自為一個小組.

(4)有時可能要安裝執行SGID的軟體系統,該軟體系統需
要建立一個新組.


要增加一個新組,必須編輯該檔案,為新組加一個入口項.
由於使用者登入時,系統從/etc/passwd檔案中取GID,而不
是從/etc/group中 取GID,所以group檔案和口令檔案應
當具有一致性.對於一個使用者的小組,UID和GID應當是相
同的.多使用者小組的GID應當不同於任何使用者的UID,一般
為5位數,這樣在檢視/etc/passwd檔案時,就可根據5位數
據的GID識別多使用者小組,這將減少 增加新組,新使用者時
可能產生的混淆.

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617731/viewspace-939330/,如需轉載,請註明出處,否則將追究法律責任。

相關文章