13.2.1 新增与移除使用者: useradd, 相关配置文件, passwd,usermod, userdel
我们登陆系统时会输入(1)帐号与 (2)密码, 所以创建一个可用的帐号同样的也需要这两个数据。那帐号可以使用 useradd 来新建使用者,密码的给予则使用 passwd 这个指令!这两个指令下达方法如下:
useradd
其实系统已经帮我们规定好非常多的默认值了,所以我们可以简单的使用“ useradd 帐号 ”来创建使用者即可。 CentOS 这些默认值主要会帮我们处理几个项目:
在 /etc/passwd 里面创建一行与帐号相关的数据,包括创建 UID/GID/主文件夹等;
在 /etc/shadow 里面将此帐号的密码相关参数填入,但是尚未有密码;
在 /etc/group 里面加入一个与帐号名称一模一样的群组名称;
在 /home 下面创建一个与帐号同名的目录作为使用者主文件夹,且权限为 700
由于在 /etc/shadow 内仅会有密码参数而不会有加密过的密码数据,因此我们在创建使用者帐号时, 还需要使用“ passwd 帐号 ”来给予密码才算是完成了使用者创建的流程。如果由于特殊需求而需要改变使用者相关参数时, 就得要通过上述表格中的选项来进行创建了,参考下面的案例:
在这个范例中,我们创建的是指定一个已经存在的群组作为使用者的初始群组,因为群组已经存在, 所以在 /etc/group 里面就不会主动的创建与帐号同名的群组了! 此外,我们也指定了特殊的 UID 来作为使用者的专属 UID 。了解了一般帐号后,我们来瞧瞧那啥是系统帐号(system account)
我们在谈到 UID 的时候曾经说过一般帐号应该是 1000 号以后,那使用者自己创建的系统帐号则一般是小于 1000 号以下的。 所以在这里我们加上 -r 这个选项以后,系统就会主动将帐号与帐号同名群组的 UID/GID 都指定小于 1000 以下, 在本案例中则是使用 699(UID) 与699(GID)。此外,由于系统帐号主要是用来进行运行系统所需服务的权限设置, 所以系统帐号默认都不会主动创建主文件夹的。
由这几个范例我们也会知道,使用 useradd 创建使用者帐号时,其实会更改不少地方,至少我们就知道下面几个文件:
使用者帐号与密码参数方面的文件:/etc/passwd, /etc/shadow
使用者群组相关方面的文件:/etc/group, /etc/gshadow
使用者的主文件夹:/home/帐号名称
useradd 参考档
其实 useradd 的默认值可以使用下面的方法调用出来:
GROUP=100:新建帐号的初始群组使用 GID 为 100 者
系统上面 GID 为 100 者即是 users 这个群组,此设置项目指的就是让新设使用者帐号的初始群组为 users 这一个的意思。 但是我们知道 CentOS 上面并不是这样的,在 CentOS 上面默认的群组为与帐号名相同的群组。 举例来说, vbird1 的初始群组为 vbird1 。怎么会这样啊?这是因为针对群组的角度有两种不同的机制所致, 这两种机制分别是:
私有群组机制:
系统会创建一个与帐号一样的群组给使用者作为初始群组。 这种群组的设置机制会比较有保密性,这是因为使用者都有自己的群组,而且主文件夹权限将会设置为 700 (仅有自己可进入自己的主文件夹) 之故。使用这种机制将不会参考 GROUP=100 这个设置值。代表性的distributions 有 RHEL, Fedora, CentOS 等;
公共群组机制:
就是以 GROUP=100 这个设置值作为新建帐号的初始群组,因此每个帐号都属于 users 这个群组, 且默认主文件夹通常的权限会是“ drwxr-xr-x ... username users ... ”,由于每个帐号都属于 users 群组,因此大家都可以互相分享主文件夹内的数据之故。代表 distributions 如SuSE等。
由于我们的 CentOS 使用私有群组机制,因此这个设置项目是不会生效的。
HOME=/home:使用者主文件夹的基准目录(basedir)
使用者的主文件夹通常是与帐号同名的目录,这个目录将会摆放在此设置值的目录后。所以vbird1 的主文件夹就会在 /home/vbird1/ 了。
INACTIVE=-1:密码过期后是否会失效的设置值
第七个字段的设置值将会影响到密码过期后, 在多久时间内还可使用旧密码登陆。这个项目就是在指定该日数。如果是 0 代表密码过期立刻失效, 如果是 -1 则是代表密码永远不会失效,如果是数字,如 30 ,则代表过期 30 天后才失效。
EXPIRE=:帐号失效的日期
是 shadow 内的第八字段,你可以直接设置帐号在哪个日期后就直接失效,而不理会密码的问题。 通常不会设置此项目,但如果是付费的会员制系统,或许这个字段可以设置。
SHELL=/bin/bash:默认使用的 shell 程序文件名
系统默认的 shell 就写在这里。假如你的系统为 mail server ,你希望每个帐号都只能使用email 的收发信件功能, 而不许使用者登陆系统取得 shell ,那么可以将这里设置为/sbin/nologin ,如此一来,新建的使用者默认就无法登陆! 也免去后续使用 usermod 进行修改的手续。
SKEL=/etc/skel:使用者主文件夹参考基准目录
举我们的范例一为例, vbird1 主文件夹 /home/vbird1 内的各项数据,都是由 /etc/skel 所复制过去的。所以,未来如果我想要让新增使用者时,该使用者的环境变量 ~/.bashrc 就设置妥当的话,您可以到 /etc/skel/.bashrc去编辑一下,也可以创建 /etc/skel/www 这个目录,那么未来新增使用者后,在他的主文件夹下就会有 www 那个目录了。
CREATE_MAIL_SPOOL=yes:创建使用者的 mailbox
使用“ ll /var/spool/mail/vbird1 ”看一下,会发现有这个文件的存在。这就是使用者的邮件信箱。
除了这些基本的帐号设置值之外, UID/GID 还有密码参数又是在哪里参考的呢?那就得要看一下 /etc/login.defs 。 这个文件的内容有点像下面这样:
这个文件规范的数据则是如下所示:
mailbox 所在目录: 使用者的默认 mailbox 文件放置的目录在 /var/spool/mail,所以vbird1 的 mailbox 就是在 /var/spool/mail/vbird1。
shadow 密码第 4, 5, 6 字段内容: 通过 PASSMAX_DAYS 等等设置值来指定的。要注意的是,由于目前我们登陆时改用 PAM 模块来进行密码检验,所以那个 PASS_MIN_LEN是失效的。
UID/GID 指定数值: 虽然 Linux 核心支持的帐号可高达 232 这么多个,不过一部主机要作出这么多帐号在管理上也是很麻烦的! 所以在这里就针对 UID/GID 的范围进行规范就是了。上表中的 UID_MIN 指的就是可登陆系统的一般帐号的最小 UID ,至于 UID_MAX则是最大 UID 之意。
要注意的是,系统给予一个帐号 UID 时,他是 (1)先参考 UID_MIN 设置值取得最小数值; (2)由 /etc/passwd 搜寻最大的 UID 数值, 将 (1) 与 (2) 相比,找出最大的那个再加一就是新帐号的 UID 了。我们上面已经作出 UID 为 1500 的 vbird2 , 如果再使用“ useradd vbird4 ”时,你猜 vbird4 的 UID 会是多少?答案是: 1501 。 所以中间的1004~1499 的号码就空下来。
而如果我是想要创建系统用的帐号,所以使用 useradd -r sysaccount 这个 -r 的选项时,就会找“比 201 大但比 1000 小的最大的 UID ”就是了。
使用者主文件夹设置值: 为何我们系统默认会帮使用者创建主文件夹?就是这个“CREATE_HOME = yes”的设置值。这个设置值会让你在使用 useradd 时, 主动加入“ -m ”这个产生主文件夹的选项。如果不想要创建使用者主文件夹,就只能强制加上“-M ”的选项在 useradd 指令执行时。至于创建主文件夹的权限设置呢?就通过 umask这个设置值。因为是 077 的默认设置,因此使用者主文件夹默认权限才会是“ drwx------ ”
使用者删除与密码设置值: 使用“USERGROUPS_ENAB yes”这个设置值的功能是: 如果使用 userdel 去删除一个帐号时,且该帐号所属的初始群组已经没有人隶属于该群组了, 那么就删除掉该群组,举例来说,我们刚刚有创建 vbird4 这个帐号,他会主动创建vbird4 这个群组。 若 vbird4 这个群组并没有其他帐号将他加入支持的情况下,若使用userdel vbird4 时,该群组也会被删除的意思。 至于“ENCRYPT_METHOD SHA512”则表示使用 SHA512 来加密密码明文,而不使用旧式的 MD5。
使用 useradd 这支程序在创建 Linux 上的帐号时,至少会参考:
/etc/default/useradd
/etc/login.defs
/etc/skel/*
这些文件,不过,最重要的其实是创建 /etc/passwd, /etc/shadow, /etc/group, /etc/gshadow还有使用者主文件夹。如果你了解整个系统运行的状态,也是可以手动直接修改这几个文件就是了。
