一、用户

1. UID 和 GID

Linux 是通过 UID(USER ID)和 GID(GROUP ID)来识别用户的。账号只是为了方便用户

记忆。而 ID 与账号的对应就在 /etc/passwd 当中。登录 Linux 时，Linux 都干了些啥？

1) 先找寻 /etc/passwd 里面是否有这个账号？如果没有则跳出，如果有的话则将该

账号对应的 UID ( User ID )与 GID ( Group ID )读出来，另外，该账号的家目录与 shell

设定也一并读出；

2) 再来则是核对密码表啦！这时 Linux 会进入 /etc/shadow 里面找出对应的账号与

UID，然后核对一下你刚刚输入的密码与里头的密码是否相符？

3) 如果一切都 OK 的话，就进入 Shell 控管的阶段啰！

2. /etc/passwd 和/etc/shadow

1) /etc/passwd

这个档案的构造是这样的：

每一行都代表一个账号， 有几行就代表有几个账号在你的系统中！

不过需要特别留意的是， 里头很多账号本来就是系统中必须要的，我们可以简称他为

系统账号， 例如 bin, daemon, adm, nobody 等等，这些账号是系统正常运作时所需要的。

我们先来看一下每个 Linux 系统都会有的第一行，就是 root 这个系统管理员那一行

好了， 你可以明显的看出来，每一行使用『:』分隔开，共有七列，分别是：

root : x : 0 : 0 : root : /root : /bin/bash

改变用户 ID 的实验：

root@linux ~]# vi /etc/passwd

.....(前面省略).....

dmtsai:x:501:501::/home/dmtsai:/bin/bash <==将原本的 501:501 改成 3000:501

[root@linux ~]# ls -ld /home/

drwxr-xr-x 3 501 dmtsai 4096 Aug 30 10:37 dmtsai

# 瞧！这里就能够知道，其实档案记录的是 UID 啦～

2) /etc/shadow

上面约略提到，由于每个程序都需要取得 uid 与 gid 来判断权限的问题，所以，

/etc/passwd 的权限必须要设定成为只读的权限。在这样的情况下，即使这个档案内的密码

栏是加密的，坏心肠的朋友也可能利用暴力破解法去找出您的密码数据...... 因为这样的

关系，所以后来发展出将密码移动到 /etc/shadow 这个档案分隔开来的技术。

root:$1$i9Ejldjfjio389u9sjl$jljsoi45QE/:12959:0:99999:7:::

bin:*:12959:0:99999:7:::

daemon:*:12959:0:99999:7:::

adm:*:12959:0:99999:7:::

基本上， shadow 同样以『:』作为分隔符，共有九个字段。

二、组

1. /etc/group 和/etc/gshadow

也是以冒号『:』作为字段的分隔符，共分为四栏，每一字段的意义是：

2. 有效群组(effective group)与初始群组(initial group)

还记得每个使用者在他的 /etc/passwd 里面的第四栏有所谓的 GID 吧？那个 GID 就

是所谓的『初始群组 ( initial group ) 』了！也就是说，当使用者一登入系统，立刻就

拥有这个群组的相关权限的意思。举例来说，我们上面提到 dmtsai 这个使用者的

/etc/passwd 与 /etc/group 还有 /etc/gshadow 相关的内容如下：

在 /etc/passwd 里面，dmtsai 这个使用者所属的群组为

GID=501 ， 也就是 /etc/group 里头 dmtsai 那个群组啦～因为这是 initial group ，所

以， 使用者一登入就会主动取得，不需要在 /etc/group 的第四个字段写入该账号的！ 但

是非 initial group 的其它群组可就不同了。

三、有关用户和组的指令

1. 添加用户 useradd

[root@oracle ~]# useradd [-u UID] [-g initial_group] [-G other_group] \

> -[Mm] [-c 说明栏] [-d home] [-s shell] username

参数：

-u ：后面接的是 UID ，是一组数字。直接指定一个特定的 UID 给这个账号；
-g ：后面接的那个群组名称就是我们上面提到的 initial group 啦～
该 group ID (GID) 会被放置到 /etc/passwd 的第四个字段内。
-G ：后面接的群组名称则是这个账号还可以支持的群组。
这个参数会修改 /etc/group 内的相关资料喔！
-M ：强制！不要建立使用者家目录
-m ：强制！要建立使用者家目录！
-c ：这个就是 /etc/passwd 的第五栏的说明内容啦～可以随便我们设定的啦～
-d ：指定某个目录成为家目录，而不要使用默认值；
-r ：建立一个系统的账号，这个账号的 UID 会有限制 (/etc/login.defs)
-s ：后面接一个 shell ，预设是 /bin/bash 

2. 修改用户 usermod

[root@oracle ~]# usermod [-cdegGlsuLU] username

参数：

-c ：后面接账号的说明，即 /etc/passwd 第五栏的说明栏，可以加入一些账号的说明。
-d ：后面接账号的家目录，即修改 /etc/passwd 的第六栏；
-e ：后面接日期，格式是 YYYY-MM-DD 也就是在 /etc/shadow 内的第八个字段数据啦！
-g ：后面接 group name，修改 /etc/passwd 的第四个字段，亦即是 GID 的字段！
-G ：后面接 group name，修改这个使用者能够支持的群组，修改的是 /etc/group 啰～
-l ：后面接账号名称。亦即是修改账号名称， /etc/passwd 的第一栏！
-s ：后面接 Shell 的实际档案，例如 /bin/bash 或 /bin/csh 等等。
-u ：后面接 UID 数字啦！即 /etc/passwd 第三栏的资料；
-L ：暂时将使用者的密码冻结，让他无法登入。其实仅改 /etc/shadow 的密码栏。
-U ：将 /etc/shadow 密码栏的 ! 拿掉

3. 修改密码 passwd

[root@oracle ~]# passwd [useraccount]

[root@oracle ~]# passwd oracle //修改oracle用户的密码

要注意的是， passwd 这个指令由于使用者的身份而有两种用法， 如果是 root ，由于 root 具有至高无上的权力，所以 root 可以利用 passwd[username] 来帮使用者修改他们的密码！因此，『如果使用者的密码不见了， root 是可以帮他们进行密码的修改，而不需要知道旧密码。』另外，也只有 root 可以随便设定密码，即使该密码并不符合系统的密码验证要求～ 假

如我帮 dmtsai 建立的密码太简单，所以其实系统是『警告』过 root 的。 但在重复输入两次密码后，嘿嘿！您还是会看到 successfully 这个成功的字样呢！ 那么如果是一般身份使用者，或者是 root 想要修改自己的密码时，直接输入『 passwd 』， 就能够修改自己的 密 码 了 。 一 般 身 份 使 用 者 输 入 的 密 码 会 经 过 系 统 的 验 证 ， 验 证 的 机 制 除 了/etc/login.defs 里头规定的最小密码字符数之外，还会受到 /etc/pam.d/passwd 这PAM 模块的检验呢！

一般来说，输入的密码最好要符合底下的要求：

? 密码不能与账号相同；

? 密码尽量不要选用字典里面会出现的字符串；

? 密码需要超过 8 个字符；

如果无法经过验证，那么该密码就不被接受，当然还是只能使用旧密码啰！ 此外，仅

能接受三次密码输入，如果输入的密码都不被接受，那只好....重新执行一次 passwd 啊！

而， 经过这个 passwd [username] 的动作后，您的账号就会有密码了。

4. 删除用户 Userdel

[root@oracle ~]# userdel [-r] username

参数：

-r ：连同使用者的家目录也一起删除

这个指令下达的时候要小心了！通常我们要移除一个账号的时候，你可以手动的将

/etc/passwd 与 /etc/shadow 里头的该账号取消即可！一般而言，如果该账号只是『 暂时

不启用』的话，那么将 /etc/shadow 里头最后倒数一个字段设定为 0 就可以让该账号无法

使用，但是所有跟该账号相关的数据都会留下来！ 使用 userdel 的时机通常是『 你真的

确定不要让该用户在主机上面使用任何数据了！』 另外，其实使用者如果在系统上面操作过

一阵子了，那么该使用者其实在系统内可能会含有其它档案的。

5. 显示用户所属的组 groups

[root@oracle ~]#groups username

后面会分享更多linux运维方面的内容，感兴趣的朋友可以关注下！！