3.2  Linux 用户管理

用户管理是Linux 的优良特性之一，通过本节读者可以了解Linux 中的用户类型和用户的登录过程。

3.2.1  Linux 的用户类型

Linux 的用户类型分为3 类：超级用户、系统用户和普通用户。举一个简单的例子，机房管理员可以出入机房的任意一个地方，而普通用户就没有这个权限。

（1 ）超级用户：用户名为root 或USER ID （UID ）为0 的账号，具有一切权限，可以操作系统中的所有资源。root 可以进行基础的文件操作及特殊的系统管理，还可进行网络管理，可以修改系统中的任何文件。日常工作中应避免使用此类账号，错误的操作可能带来不可估量的损失，只有必要时才用root 登录系统。

（2 ）系统用户：正常运行系统时使用的账户。每个进程运行在系统里都有一个相应的属主，比如某个进程以何种身份运行，这些身份就是系统里对应的用户账号。注意，系统账号是不能用来登录的，比如bin 、daemon 、mail 等。

（3 ）普通用户：普通使用者能使用Linux 的大部分资源，一些特定的权限受到控制。用户只对自己的目录有写权限，读写权限受一定的限制，从而有效保证了Linux 的系统安全，大部分用户属于此类。

注意： 出于安全考虑，用户的密码至少有8 个字符，并且包含字母、数字和其他特殊符号。如果忘记密码，很容易解决，root 用户可以更改任何用户的密码。

3.2.2  用户管理机制

Linux 中的用户管理涉及用户账号文件/etc/passwd 、用户密码文件/etc/shadow 、用户组文件/etc/group 。本小节将简要介绍这些文件的作用及格式。

1. 用户账号文件/etc/passwd

该文件为纯文本文件，可以使用cat 、head 等命令查看。该文件记录了每个用户的必要信息，文件中的每一行对应一个用户的信息，每行的字段之间使用“: ”分隔，共7 个字段：

用户名称: 用户密码:USER ID:GROUP ID: 相关注释: 主目录: 使用的Shell

根据以下示例进行分析：

root:x:0:0:root:/root:/bin/bash

（1 ）用户名称：在Linux 系统中用唯+一的字符串区分不同的用户，用户名可以由字母、数字和下划线组成，注意Linux 系统对字母大小写是敏感的，比如USERNAME1 和username1 分别属于不同的用户。

（2 ）用户密码：在用户校验时验证用户的合法性。超级用户root 可以更改系统中所有用户的密码，普通用户登录后可以使用passwd 命令来更改自己的密码。在/etc/passwd 文件中该字段一般为x ，这是因为出于安全考虑该字段加密后的密码数据已经移至/etc/shadow 中。注意/etc/shadow 文件是不能被普通用户读取的，只有超级用户root 才有权限读取。

（3 ）用户标识号（USER ID ，UID ）：是一个数值，用于唯+一标识Linux 系统中的用户来区别不同的用户。在Linux 系统中最多可以使用65535 个用户名，用户名和UID 都可以用于标识用户。相同UID 的用户可以认为是同一用户，同时它们也具有相同的权限，当然对于用户而言用户名更容易记忆和使用。

（4 ）组标识号（GROUP ID ，GID ）：当前用户所属的默认用户组标识。当添加用户时，系统默认会建立一个和用户名一样的用户组，多个用户可以属于相同的用户组。用户的组标识号存放在/etc/passwd 文件中。用户可以同时属于多个组，每个组也可以有多个用户，除了在/etc/passwd 文件中指定其归属的基本组之外，在/etc/group 文件中也指明一个组所包含的用户。

（5 ）相关注释：用于存放用户的一些其他信息，比如用户含义说明、用户地址等信息。

（6 ）主目录：该字段定义了用户的主目录，登录后Shell 将把该目录作为用户的工作目录。登录系统后可以使用pwd 命令查看。超级用户root 的工作目录为/root 。每个用户都有自己的主目录，一般默认在/home 下建立与用户名一致的目录，同时建立用户时可以指定其他目录作为用户的主目录。

（7 ）使用的Shell ：Shell 是当用户登录系统时运行的程序名称，通常是/bin/bash 。 同时系统中可能存在其他的Shell ，比如tsh 。用户可以自己指定Shell ，也可以随时更改，比较流行的是/bin/bash 。

2. 用户密码文件/etc/shadow

该文件为文本文件，但这个文件只有超级用户才能读取，普通用户没有权限读取。任何用户对/etc/passwd 文件都有读的权限，虽然密码经过加密，但是可能还是有人会获取加密后的密码。通过把加密后的密码移动到shadow 文件中并限制只有超级用户root 才能够读取，有效保证了Linux 用户密码的安全性。

和/etc/passwd 文件类似，shadow 文件由9 个字段组成：

用户名: 密码: 上次修改密码的时间: 两次修改密码间隔的最少天数: 两次修改密码间隔的最多天数: 提前多少天警告用户密码将过期: 在密码过期多少天后禁用此用户: 用户过期时间: 保留字段

根据以下示例进行分析：

root:$1$qb1cQvv/$ku20Uld75KAOx.4WK6d/t/:15649:0:99999::::

（1 ）用户名：也称为登录名，/etc/shadow 中的用户名和/etc/passwd 中的相同，每一行是一一对应的，这样就把passwd 和shadow 中的用户记录联系在了一起。

（2 ）密码：该字段是经过加密的，如果有些用户在这段的开头是“! ”，就表示这个用户已经被禁止使用，不能登录系统。

（3 ）上次修改密码的时间：该列表示从1970 年1 月1 日起到最近一次修改密码的时间间隔，以天数为单位。

（4 ）两次修改密码间隔的最少天数：该字段如果为0 ，就表示此功能被禁用；如果是不为0 的整数，就表示用户必须经过多少天才能修改其密码。

（5 ）两次修改密码间隔的最多天数：主要作用是管理用户密码的有效期，增强系统的安全性，该示例中为99999 ，表示密码基本不需要修改。

（6 ）提前多少天警告用户密码将过期：在快超出有效期时，当用户登录系统后，系统程序会提醒用户密码将要作废，以便及时更改。

（7 ）在密码过期多少天后禁用此用户：此字段表示用户密码作废多少天后系统会禁用此用户。

（8 ）用户过期时间：此字段指定了用户作废的天数，从1970 年1 月1 日开始算起的天数，如果这个字段的值为空，就表示该账号永+久可用，注意与第7 个字段的区别。

（9 ）保留字段：目前为空，将来可能会用。

3. 用户组文件/etc/group

该文件用于保存用户组的所有信息，通过它可以更好地对系统中的用户进行管理。它对用户分组来说是一种有效的手段，用户组和用户之间属于多对多的关系，一个用户可以属于多个组，一个组也可以包含多个用户。用户登录时默认的组存放在/etc/passwd 中。

此文件的格式也类似于/etc/passwd 文件，字段如下：

用户组名: 用户组密码: 用户组标识号: 组内用户列表

根据以下示例进行分析：

root:x:0:

（1 ）用户组名：可以由字母、数字和下划线组成，用户组名是唯+一的，和用户名一样，不可重复。

（2 ）用户组密码：该字段存放的是用户组加密后的密码字段。这个字段一般很少使用，Linux 系统的用户组都没有密码，即这个字段一般为空。

（3 ）用户组标识号：GROUP ID ，简称GID ，和用户标识号UID 类似，也是一个整数，用于唯+一标识一个用户组。

（4 ）组内用户列表：属于这个组的所有用户的列表，不同用户之间用逗号分隔，不能有空格。这个用户组可能是用户的主组，也可能是附加组。

 

-------------------------------------------

本文节选自《Red Hat Enterprise Linux 9 系统管理实战》

本次内容发布，获得作者和出版社授权，供读者个人非商业目的使用。