【文章內(nèi)容簡(jiǎn)介】 底下我們就來(lái)談一談這個(gè)『有效群組』的概念。 有效群組(effective group)與初始群組(initial group)還記得每個(gè)使用者在他的 /etc/passwd 里面的第四欄有所謂的 GID 吧？那個(gè) GID 就是所謂的『初始群組 (initial group) 』！也就是說(shuō)，當(dāng)用戶(hù)一登入系統(tǒng)，立刻就擁有這個(gè)群組的相關(guān)權(quán)限的意思。 舉例來(lái)說(shuō)，我們上面提到 dmtsai 這個(gè)使用者的 /etc/passwd 與 /etc/group 還有 /etc/gshadow 相關(guān)的內(nèi)容如下：[root@ ~] usermod G users dmtsai ==先設(shè)定好次要群組[root@ ~] grep dmtsai /etc/passwd /etc/group /etc/gshadow/etc/passwd:dmtsai:x:503:504::/home/dmtsai:/bin/bash/etc/group:users:x:100:dmtsai ==次要群組的設(shè)定/etc/group:dmtsai:x:504: ==因?yàn)槭浅跏既航M，所以第四字段不需要填入賬號(hào)/etc/gshadow:users:::dmtsai ==次要群組的設(shè)定/etc/gshadow:dmtsai:!::仔細(xì)看到上面這個(gè)表格，在 /etc/passwd 里面，dmtsai 這個(gè)使用者所屬的群組為 GID=504 ，搜尋一下 /etc/group 得到 504 是那個(gè)名為 dmtsai 的群組啦！這就是 initial group。因?yàn)槭浅跏既航M， 使用者一登入就會(huì)主動(dòng)取得，不需要在 /etc/group 的第四個(gè)字段寫(xiě)入該賬號(hào)的！但是非 initial group 的其他群組可就不同了。舉上面這個(gè)例子來(lái)說(shuō)，我將 dmtsai 加入 users 這個(gè)群組當(dāng)中，由于 users 這個(gè)群組并非是 dmtsai 的初始群組，因此， 我必須要在 /etc/group 這個(gè)檔案中，找到 users 那一行，并且將 dmtsai 這個(gè)賬號(hào)加入第四欄， 這樣 dmtsai 才能夠加入 users 這個(gè)群組啊。那么在這個(gè)例子當(dāng)中，因?yàn)槲业?dmtsai 賬號(hào)同時(shí)支持 dmtsai 與 users 這兩個(gè)群組， 因此，在讀取/寫(xiě)入/執(zhí)行檔案時(shí)，針對(duì)群組部分，只要是 users 與 dmtsai 這兩個(gè)群組擁有的功能， 我 dmtsai 這個(gè)使用者都能夠擁有喔！這樣瞭呼？不過(guò)，這是針對(duì)已經(jīng)存在的檔案而言， 如果今天我要建立一個(gè)新的檔案或者是新的目錄，請(qǐng)問(wèn)一下，新檔案的群組是 dmtsai 還是 users ？呵呵！這就得要檢查一下當(dāng)時(shí)的有效群組了 (effective group)。 groups: 有效與支持群組的觀察如果我以 dmtsai 這個(gè)使用者的身份登入后，該如何知道我所有支持的群組呢？ 很簡(jiǎn)單啊，直接輸入 groups 就可以了！注意喔，是 groups 有加 s 呢！結(jié)果像這樣：[dmtsai@ ~]$ groupsdmtsai users在這個(gè)輸出的訊息中，可知道 dmtsai 這個(gè)用戶(hù)同時(shí)屬于 dmtsai 及 users 這個(gè)兩個(gè)群組，而且， 第一個(gè)輸出的群組即為有效群組 (effective group) 了。 也就是說(shuō)，我的有效群組為 dmtsai 啦～此時(shí)，如果我以 touch 去建立一個(gè)新檔，例如： 『 touch test 』，那么這個(gè)檔案的擁有者為 dmtsai ，而且群組也是 dmtsai 的啦。[dmtsai@ ~]$ touch test[dmtsai@ ~]$ llrwrwr 1 dmtsai dmtsai 0 Feb 24 17:26 test這樣是否可以了解什么是有效群組了？通常有效群組的作用是在新建檔案啦！那么有效群組是否能夠變換？ newgrp: 有效群組的切換那么如何變更有效群組呢？就使用 newgrp 啊！不過(guò)使用 newgrp 是有限制的，那就是你想要切換的群組必須是你已經(jīng)有支持的群組。舉例來(lái)說(shuō)， dmtsai 可以在 dmtsai/users 這兩個(gè)群組間切換有效群組，但是 dmtsai 無(wú)法切換有效群組成為 sshd 啦！使用的方式如下：[dmtsai@ ~]$ newgrp users[dmtsai@ ~]$ groupsusers dmtsai[dmtsai@ ~]$ touch test2[dmtsai@ ~]$ llrwrwr 1 dmtsai dmtsai 0 Feb 24 17:26 testrwrr 1 dmtsai users 0 Feb 24 17:33 test2此時(shí)，dmtsai 的有效群組就成為 users 了。 我們額外的來(lái)討論一下 newgrp 這個(gè)指令，這個(gè)指令可以變更目前用戶(hù)的有效群組， 而且是另外以一個(gè) shell 來(lái)提供這個(gè)功能的喔，所以，以上面的例子來(lái)說(shuō)， dmtsai 這個(gè)使用者目前是以另一個(gè) shell 登入的，而且新的 shell 給予 dmtsai 有效 GID 為 users 就是了。如果以圖示來(lái)看就是如下所示：圖 、newgrp 的運(yùn)作示意圖雖然用戶(hù)的環(huán)境設(shè)定(例如環(huán)境變量等等其他數(shù)據(jù))不會(huì)有影響，但是使用者的『群組權(quán)限』將會(huì)重新被計(jì)算。 但是需要注意，由于是新取得一個(gè) shell ，因此如果你想要回到原本的環(huán)境中，請(qǐng)輸入 exit 回到原本的 shell 喔！既然如此，也就是說(shuō)，只要我的用戶(hù)有支持的群組就是能夠切換成為有效群組！好了， 那么如何讓一個(gè)賬號(hào)加入不同的群組就是問(wèn)題的所在啰。你要加入一個(gè)群組有兩個(gè)方式，一個(gè)是透過(guò)系統(tǒng)管理員 (root) 利用 usermod 幫你加入，如果 root 太忙了而且你的系統(tǒng)有設(shè)定群組管理員，那么你可以透過(guò)群組管理員以 gpasswd 幫你加入他所管理的群組中！詳細(xì)的作法留待下一小節(jié)再來(lái)介紹啰！ /etc/gshadow剛剛講了很多關(guān)于『有效群組』的概念，另外，也提到 newgrp 這個(gè)指令的用法， 但是，如果 /etc/gshadow 這個(gè)設(shè)定沒(méi)有搞懂得話，那么 newgrp 是無(wú)法動(dòng)作的呢！ 鳥(niǎo)哥測(cè)試機(jī)的 /etc/gshadow 的內(nèi)容有點(diǎn)像這樣：[root@ ~] head n 4 /etc/gshadowroot:::rootbin:::root,bin,daemondaemon:::root,bin,daemonsys:::root,bin,adm這個(gè)檔案內(nèi)同樣還是使用冒號(hào)『:』來(lái)作為字段的分隔字符，而且你會(huì)發(fā)現(xiàn)，這個(gè)檔案幾乎與 /etc/group 一模一樣?。∈沁@樣沒(méi)錯(cuò)～不過(guò)，要注意的大概就是第二個(gè)字段吧～第二個(gè)字段是密碼欄， 如果密碼欄上面是『!』時(shí)，表示該群組不具有群組管理員！至于第四個(gè)字段也就是支持的賬號(hào)名稱(chēng)啰～ 這四個(gè)字段的意義為：1. 組名 2. 密碼欄，同樣的，開(kāi)頭為 ! 表示無(wú)合法密碼，所以無(wú)群組管理員 3. 群組管理員的賬號(hào) (相關(guān)信息在 gpasswd 中介紹) 4. 該群組的所屬賬號(hào) (與 /etc/group 內(nèi)容相同！)以系統(tǒng)管理員的角度來(lái)說(shuō)，這個(gè) gshadow 最大的功能就是建立群組管理員啦！ 那么什么是群組管理員呢？由于系統(tǒng)上面的賬號(hào)可能會(huì)很多，但是我們 root 可能平時(shí)太忙碌，所以當(dāng)有使用者想要加入某些群組時(shí)， root 或許會(huì)沒(méi)有空管理。此時(shí)如果能夠建立群組管理員的話，那么該群組管理員就能夠?qū)⒛莻€(gè)賬號(hào)加入自己管理的群組中！ 可以免去 root 的忙碌啦！不過(guò)，由于目前有類(lèi)似 sudo 之類(lèi)的工具， 所以這個(gè)群組管理員的功能已經(jīng)很少使用了。我們會(huì)在后續(xù)的 gpasswd 中介紹這個(gè)實(shí)作。賬號(hào)管理好啦！既然要管理賬號(hào)，當(dāng)然是由新增與移除使用者開(kāi)始的啰～底下我們就分別來(lái)談一談如何新增、 移除與更改用戶(hù)的相關(guān)信息吧～新增與移除使用者： useradd, 相關(guān)配置文件, passwd, usermod, userdel要如何在 Linux 的系統(tǒng)新增一個(gè)用戶(hù)啊？呵呵～真是太簡(jiǎn)單了～我們登入系統(tǒng)時(shí)會(huì)輸入 (1)賬號(hào)與 (2)密碼， 所以建立一個(gè)可用的賬號(hào)同樣的也需要這兩個(gè)數(shù)據(jù)。那賬號(hào)可以使用 useradd 來(lái)新建用戶(hù)，密碼的給予則使用 passwd 這個(gè)指令！這兩個(gè)指令下達(dá)方法如下： useradd[root@ ~] useradd [u UID] [g 初始群組] [G 次要群組] [mM]\ [c 說(shuō)明欄] [d 家目錄絕對(duì)路徑] [s shell] 使用者賬號(hào)名選項(xiàng)與參數(shù)：u ：后面接的是 UID ，是一組數(shù)字。直接指定一個(gè)特定的 UID 給這個(gè)賬號(hào)；g ：后面接的那個(gè)組名就是我們上面提到的 initial group 啦～ 該群組的 GID 會(huì)被放置到 /etc/passwd 的第四個(gè)字段內(nèi)。G ：后面接的組名則是這個(gè)賬號(hào)還可以加入的群組。 這個(gè)選項(xiàng)與參數(shù)會(huì)修改 /etc/group 內(nèi)的相關(guān)資料喔！M ：強(qiáng)制！不要建立用戶(hù)家目錄！(系統(tǒng)賬號(hào)默認(rèn)值)m ：強(qiáng)制！要建立用戶(hù)家目錄！(一般賬號(hào)默認(rèn)值)c ：這個(gè)就是 /etc/passwd 的第五欄的說(shuō)明內(nèi)容啦～可以隨便我們?cè)O(shè)定的啦～d ：指定某個(gè)目錄成為家目錄，而不要使用默認(rèn)值。務(wù)必使用絕對(duì)路徑！r ：建立一個(gè)系統(tǒng)的賬號(hào)，這個(gè)賬號(hào)的 UID 會(huì)有限制 (參考 /etc/)s ：后面接一個(gè) shell ，若沒(méi)有指定則預(yù)設(shè)是 /bin/bash 的啦～e ：后面接一個(gè)日期，格式為『YYYYMMDD』此項(xiàng)目可寫(xiě)入 shadow 第八字段， 亦即賬號(hào)失效日的設(shè)定項(xiàng)目啰；f ：后面接 shadow 的第七字段項(xiàng)目，指定密碼是否會(huì)失效。0為立刻失效， 1 為永遠(yuǎn)不失效(密碼只會(huì)過(guò)期而強(qiáng)制于登入時(shí)重新設(shè)定而已。)范例一：完全參考默認(rèn)值建立一個(gè)用戶(hù)，名稱(chēng)為 vbird1[root@ ~] useradd vbird1[root@ ~] ll d /home/vbird1drwx 4 vbird1 vbird1 4096 Feb 25 09:38 /home/vbird1 默認(rèn)會(huì)建立用戶(hù)家目錄，且權(quán)限為 700 ！這是重點(diǎn)！[root@ ~] grep vbird1 /etc/passwd /etc/shadow /etc/group/etc/passwd:vbird1:x:504:505::/home/vbird1:/bin/bash/etc/shadow:vbird1:!!:14300:0:99999:7:::/etc/group:vbird1:x:505: ==預(yù)設(shè)會(huì)建立一個(gè)與賬號(hào)一模一樣的群組名其實(shí)系統(tǒng)已經(jīng)幫我們規(guī)定好非常多的默認(rèn)值了，所以我們可以簡(jiǎn)單的使用『 useradd 賬號(hào) 』來(lái)建立使用者即可。 CentOS 這些默認(rèn)值主要會(huì)幫我們處理幾個(gè)項(xiàng)目： 在 /etc/passwd 里面建立一行與賬號(hào)相關(guān)的數(shù)據(jù)，包括建立 UID/GID/家目錄等； 在 /etc/shadow 里面將此賬號(hào)的密碼相關(guān)參數(shù)填入，但是尚未有密碼； 在 /etc/group 里面加入一個(gè)與賬號(hào)名稱(chēng)一模一樣的組名； 在 /home 底下建立一個(gè)與賬號(hào)同名的目錄作為用戶(hù)家目錄，且權(quán)限為 700 由于在 /etc/shadow 內(nèi)僅會(huì)有密碼參數(shù)而不會(huì)有加密過(guò)的密碼數(shù)據(jù)，因此我們?cè)诮⑹褂谜哔~號(hào)時(shí)， 還需要使用『 passwd 賬號(hào) 』來(lái)給予密碼才算是完成了用戶(hù)建立的流程。如果由于特殊需求而需要改變使用者相關(guān)參數(shù)時(shí)， 就得要透過(guò)上述表格中的選項(xiàng)來(lái)進(jìn)行建立了，參考底下的案例：范例二：假設(shè)我已知道我的系統(tǒng)當(dāng)中有個(gè)組名為 users ，且 UID 700 并不存在， 請(qǐng)用 users 為初始群組，以及 uid 為 700 來(lái)建立一個(gè)名為 vbird2 的賬號(hào)[root@ ~] useradd u 700 g users vbird2[root@ ~] ll d /home/vbird2drwx 4 vbird2 users 4096 Feb 25 09:59 /home/vbird2[root@ ~] grep vbird2 /etc/passwd /etc/shadow /etc/group/etc/passwd:vbird2:x:700:100::/home/vbird2:/bin/bash/etc/shadow:vbird2:!!:14300:0:99999:7::: 看一下，UID 與 initial group 確實(shí)改變成我們需要的了！在這個(gè)范例中，我們建立的是指定一個(gè)已經(jīng)存在的群組作為使用者的初始群組，因?yàn)槿航M已經(jīng)存在， 所以在 /etc/group 里面就不會(huì)主動(dòng)的建立與賬號(hào)同名的群組了！ 此外，我們也指定了特殊的 UID 來(lái)作為使用者的專(zhuān)屬 UID 喔！了解了一般賬號(hào)后，我們來(lái)瞧瞧那啥是系統(tǒng)賬號(hào) (system account) 吧！范例三：建立一個(gè)系統(tǒng)賬號(hào)，名稱(chēng)為 vbird3[root@ ~] useradd r vbird3[root@ ~] ll d /home/vbird3ls: /home/vbird3: No such file or directory ==不會(huì)主動(dòng)建立家目錄[root@ ~] grep vbird3 /etc/passwd /etc/shadow /etc/group/etc/passwd:vbird3:x:100:103::/home/vbird3:/bin/bash/etc/shadow:vbird3:!!:14300::::::/etc/group:vbird3:x:103:我們?cè)谡劦?UID 的時(shí)候曾經(jīng)說(shuō)過(guò)一般賬號(hào)應(yīng)該是 500