Linux 的帐号与群组
管理员的工作中,相当重要的一环就是‘管理帐号’啦!因为整个系统都是你在管理的,并且所有的一般用户的申请,都必须要透过你的协助才行!所以你就必须要瞭解一下如何管理好一个网站的帐号管理啦! 在管理 Linux 主机的帐号时,我们必须先来瞭解一下 Linux 到底是如何辨别每一个使用者的!
使用者识别: UID 与 GID
虽然我们登入 Linux 主机的时候,输入的是我们的帐号,但是,其实 Linux 主机并不会直接认识你的‘帐号名称’的,他仅认识 ID 啊~ID 就是一组号码啦~ 主机对于数字比较有概念的,帐号只是为了让人们容易记忆而已。 而您的 ID 与帐号的对应就在 /etc/passwd 当中哩。
Tips:
如果你曾经以 tarball 安装过软体的话,那么应该不难发现,在解压缩之后的档案, 档案拥有者竟然是‘不明的数字’?奇怪吧?这没什么好奇怪的,因为 Linux 说实在话,他真的只认识代表你身份的号码而已!
那么到底有几种 ID 呢?还记得我们在‘档案属性与目录配置’ 那一篇文章的时候有提到每一个档案都具有‘拥有人与拥有群组’的属性吗?没错啦~每个登入的使用者至少都会取得两个 ID ,一个是使用者 ID (User ID ,简称 UID)、 一个是群组 ID (Group ID ,简称 GID)。
那么档案如何判别他的拥有者与群组呢?其实就是利用 UID 与 GID 啦! 每一个档案都会有所谓的拥有者 ID 与拥有群组 ID ,亦即是 UID 与 GID ,然后系统会依据 /etc/passwd 的内容,去将该档案的拥有者与群组名称,使用帐号的形式来秀出来!我们可以作个小实验,你可以以 root 的身份 vi /etc/passwd ,然后将你的一般身份的使用者的 ID 随便改一个号码, 然后再到你的一般身份的目录下看看原先该帐号拥有的档案,你会发现该档案的拥有人变成了 ‘数字了’呵呵!这样可以理解了吗?
[root@linux ~]# vi /etc/passwd
.....(前面省略).....
dmtsai:x:501:501::/home/dmtsai:/bin/bash <==将原本的 501:501 改成 3000:501
[root@linux ~]# ls -ld /home/
drwxr-xr-x 3 501 dmtsai 4096 Aug 30 10:37 dmtsai
# 瞧!这里就能够知道,其实档案记录的是 UID 啦~
你一定要瞭解的是,上面的例子仅是在说明 UID 与帐号的对应性, 在一部正常运作的 Linux 主机环境下,上面的动作不可随便进行,这是因为系统上已经有很多的资料在运行了,随意修改系统上某些帐号的 UID 很可能会导致某些程序无法进行,这将导致系统无法顺利运作的结果。因为权限的问题啊!所以,瞭解了之后,请赶快回到 /etc/passwd 里面,将数字改回来喔!
# 如何登入 Linux 取得 UID/GID
好了,那么我们再来谈一谈,到底我们是怎样登入 Linux 主机的呢?其实也不难啦!当我们在主机前面或者是以 telnet 或者 ssh 登入主机时,系统会出现一个 login 的画面让你输入帐号,这个时候当你输入帐号与密码之后, Linux 会:
1. 先找寻 /etc/passwd 里面是否有这个帐号?如果没有则跳出,如果有的话则将该帐号对应的 UID ( User ID )与 GID ( Group ID )读出来,另外,该帐号的家目录与 shell 设定也一并读出;
2. 再来则是核对密码表啦!这时 Linux 会进入 /etc/shadow 里面找出对应的帐号与 UID,然后核对一下你刚刚输入的密码与里头的密码是否相符?
3. 如果一切都 OK 的话,就进入 Shell 控管的阶段啰!
大致上的情况就像这样,所以呢,当你要登入你的 Linux 主机的时候,那个 /etc/passwd 与 /etc/shadow 就必须要让系统读取啦,(这也是很多攻击者会将特殊帐号写到 /etc/passwd 里头去的缘故!)所以呢,如果你要备份 Linux 的系统的帐号的话, 那么这两个档案就一定需要备份才行呦!
阅读(3847) | 评论(0) | 转发(0) |
