/etc/passwd文件是Unix安全的關鍵文件之一.該文件用 于用戶登錄時校驗用戶的口令,當然應當僅對root可寫. 文件中每行的一般格式為:

LOGNAME:PASSWord:UID:GID:USERINFO:HOME:SHELL

每行的頭兩項是登錄名和加密后的口令,后面的兩個數是 UID和GID,接著的一項是系統管理員想寫入的有關該用戶 的任何信息,最后兩項是兩個路徑名: 一個是分配給用戶 的HOME目錄,第二個是用戶登錄后將執行的shell(若為空 格則 缺省為/bin/sh).

(1)口令時效 /etc/passwd文件的格式使系統管理員能要求用戶定期地 改變他們的口令.在口令文件中可以看到,有些加密后的 口令有逗號,逗號后有幾個字符和一個 冒號.如: steve:xyDfccTrt180x,M.y8:0:0:admin:/:/bin/sh restrict:pomJk109Jky41,.1:0:0:admin:/:/bin/sh pat:xmotTVoyumjls:0:0:admin:/:/bin/sh

可以看到,steve的口令逗號后有4個字符,restrict有2 個,pat沒有逗號. 逗號后第一個字符是口令有效期的最大周數,第二個字符 決定了用戶再次修改口信之前,原口令應使用的最小周數 (這就防止了用戶改了新口令后立刻又改回成老口令).其 余字符表明口令最新修改時間.

要能讀懂口令中逗號后的信息,必須首先知道如何用 passwd_esc計數,計數的方法是: .=0 /=1 0-9=2-11 A-Z=12-37 a-z=38-63

系統管理員必須將前兩個字符放進/etc/passwd文件,以 要求用戶定期的修改口令,另外兩個字符當用戶修改口令 時,由passwd命令填入. 注意:若想讓用戶修改口令,可在最后一次口令被修改時, 放兩個'.',則下一次用戶登錄時將被要求修改自己的口 令. 有兩種特殊情況:

. 最大周數(第一個字符)小于最小周數(第二個字符),則 不允許用戶修改口令,僅超級用戶可以修改用戶的口令. . 第一個字符和第二個字符都是'.',這時用戶下次登錄 時被要求修改口令,修改口令后,passwd命令將'.'刪除, 此后再不會要求用戶修改口令.

(2)UID和GID /etc/passwd中UID信息很重要,系統使用UID而不是登錄 名區別用戶.一般來說,用戶的UID應當是獨一無二的,其 他用戶不應當有相同的UID數值.根據慣 例,從0到99的 UID保留用作系統用戶的UID(root,bin,uucp等). 如果在/etc/passwd文件中有兩個不同的入口項有相同的 UID,則這兩個用戶對相互的文件具有相同的存取權限.

/etc/group文件含有關于小組的信息,/etc/passwd中的 每個GID在本文件中應當有相應的入口項,入口項中列出 了小組名和小組中的用戶.這樣可方便地了 解每個小組 的用戶,否則必須根據GID在/etc/passwd文件中從頭至尾 地尋找同組 用戶.

/etc/group文件對小組的許可權限的控制并不是必要的, 因為系統用UID,GID(取自/etc/passwd)決定文件存取權 限,即使/etc/group文件不存在于系統中,具有相同的GID 用戶也可以小組的存取許可權限共享文件.

小組就像登錄用戶一樣可以有口令.如果/etc/group文件 入口項的第二個域為非空,則將被認為是加密口 令,newgrp命令將要求用戶給出口令,然后將口令加密,再 與該域的加密口令比較.

給小組建立口令一般不是個好作法.第一,如果小組內共 享文件,若有某人猜著小組口令,則該組的所有用戶的文 件就可能泄漏;其次,管理小組口令很費事, 因為對于小 組沒有類似的passwd命令.可用/usr/lib/makekey生成一 個口令寫入/etc/group.

以下情況必須建立新組: (1)可能要增加新用戶,該用戶不屬于任何一個現有的小 組. (2)有的用戶可能時常需要獨自為一個小組. (3)有的用戶可能有一個SGID程序,需要獨自為一個小組.

(4)有時可能要安裝運行SGID的軟件系統,該軟件系統需 要建立一個新組.

要增加一個新組,必須編輯該文件,為新組加一個入口項. 由于用戶登錄時,系統從/etc/passwd文件中取GID,而不 是從/etc/group中 取GID,所以group文件和口令文件應 當具有一致性.對于一個用戶的小組,UID和GID應當是相 同的.多用戶小組的GID應當不同于任何用戶的UID,一般 為5位數,這樣在查看/etc/passwd文件時,就可根據5位數 據的GID識別多用戶小組,這將減少 增加新組,新用戶時 可能產生的混淆.