【導(dǎo)讀】要登入Linux系統(tǒng)一定要有賬號(hào)與密碼才行，否則怎么登入，您說(shuō)是吧？我們還可以透過(guò)user/group的特殊權(quán)限設(shè)定，來(lái)規(guī)范出不同的群組開(kāi)發(fā)項(xiàng)目呢～在Linux的環(huán)境下，我們可以透過(guò)很多方式來(lái)限制用戶能夠使用的系統(tǒng)資源，包括十一章、bash提到的ulimit限制、還有特殊權(quán)限限制，如umask等等。透過(guò)這些舉動(dòng)，我們可以規(guī)范出不同使用者的使用資源。請(qǐng)問(wèn)一下，除了root之外，是否可以有其他的系統(tǒng)管理員賬號(hào)？為什么大家都要盡量避免使用數(shù)字型態(tài)的賬號(hào)？如何修改用戶相關(guān)的信息呢？這些我們都得要了解了解的！　　新增與移除使用者：useradd,useradd參考檔,passwd,chage,usermod,userdel. 　　ACL的設(shè)定技巧：setfacl,getfacl,ACL的設(shè)定。舉例來(lái)說(shuō)，如果上面的測(cè)試最后一個(gè)步驟沒(méi)有將2000改回原本的UID，那么當(dāng)dmtsai下次登入時(shí)將沒(méi)有辦法進(jìn)入自己的家目錄！因?yàn)樗腢ID已經(jīng)改為2000，但是他的家目錄卻記錄的是503，由于權(quán)限是700，因此他將無(wú)法進(jìn)入原本的家目錄！是否非常嚴(yán)重??？

　　

【正文】 ord for vbird2(current) UNIX password: ==這里輸入『原有的舊密碼』New UNIX password: ==這里輸入新密碼BAD PASSWORD: it is based on a dictionary word ==密碼檢驗(yàn)不通過(guò)，請(qǐng)?jiān)傧雮€(gè)新密碼New UNIX password: ==這里再想個(gè)來(lái)輸入吧Retype new UNIX password: ==通過(guò)密碼驗(yàn)證！所以重復(fù)這個(gè)密碼的輸入passwd: all authentication tokens updated successfully. ==有無(wú)成功看關(guān)鍵詞passwd 的使用真的要很注意，尤其是 root 先生啊！鳥(niǎo)哥在課堂上每次講到這里，說(shuō)是要幫自己的一般賬號(hào)建立密碼時(shí)， 有一小部分的學(xué)生就是會(huì)忘記加上賬號(hào)，結(jié)果就變成改變 root 自己的密碼，最后.... root 密碼就這樣不見(jiàn)去！唉～ 要幫一般賬號(hào)建立密碼需要使用『 passwd 賬號(hào) 』的格式，使用『 passwd 』表示修改自己的密碼！拜托！千萬(wàn)不要改錯(cuò)！與 root 不同的是，一般賬號(hào)在更改密碼時(shí)需要先輸入自己的舊密碼 (亦即 current 那一行)，然后再輸入新密碼 (New 那一行)。 要注意的是，密碼的規(guī)范是非常嚴(yán)格的，尤其新的 distributions 大多使用 PAM 模塊來(lái)進(jìn)行密碼的檢驗(yàn)，包括太短、 密碼與賬號(hào)相同、密碼為字典常見(jiàn)字符串等，都會(huì)被 PAM 模塊檢查出來(lái)而拒絕修改密碼，此時(shí)會(huì)再重復(fù)出現(xiàn)『 New 』這個(gè)關(guān)鍵詞！ 那時(shí)請(qǐng)?jiān)傧雮€(gè)新密碼！若出現(xiàn)『 Retype 』才是你的密碼被接受了！重復(fù)輸入新密碼并且看到『 successfully 』這個(gè)關(guān)鍵詞時(shí)才是修改密碼成功喔！Tips:與一般使用者不同的是， root 并不需要知道舊密碼就能夠幫用戶或 root 自己建立新密碼！ 但如此一來(lái)有困擾～就是如果你的親密愛(ài)人老是告訴你『我的密碼真難記，幫我設(shè)定簡(jiǎn)單一點(diǎn)的！』時(shí)， 千萬(wàn)不要妥協(xié)??！這是為了系統(tǒng)安全... 為何用戶要設(shè)訂自己的密碼會(huì)這么麻煩??？這是因?yàn)槊艽a的安全性啦！如果密碼設(shè)定太簡(jiǎn)單， 一些有心人士就能夠很簡(jiǎn)單的猜到你的密碼，如此一來(lái)人家就可能使用你的一般賬號(hào)登入你的主機(jī)或使用其他主機(jī)資源， 對(duì)主機(jī)的維護(hù)會(huì)造成困擾的！所以新的 distributions 是使用較嚴(yán)格的 PAM 模塊來(lái)管理密碼，這個(gè)管理的機(jī)制寫(xiě)在 /etc/。而該檔案與密碼有關(guān)的測(cè)試模塊就是使用：，這個(gè)模塊會(huì)檢驗(yàn)密碼相關(guān)的信息， 并且取代 /etc/ 內(nèi)的 PASS_MIN_LEN 的設(shè)定啦！關(guān)于 PAM 我們?cè)诒菊潞竺胬^續(xù)介紹，這里先談一下， 理論上，你的密碼最好符合如下要求： 密碼不能與賬號(hào)相同； 密碼盡量不要選用字典里面會(huì)出現(xiàn)的字符串； 密碼需要超過(guò) 8 個(gè)字符； 密碼不要使用個(gè)人信息，如身份證、手機(jī)號(hào)碼、其他電話號(hào)碼等； 密碼不要使用簡(jiǎn)單的關(guān)系式，如 1+1=2， Iamvbird 等； 密碼盡量使用大小寫(xiě)字符、數(shù)字、特殊字符($,_,等)的組合。為了方便系統(tǒng)管理，新版的 passwd 還加入了很多創(chuàng)意選項(xiàng)喔！鳥(niǎo)哥個(gè)人認(rèn)為最好用的大概就是這個(gè)『 stdin 』了！ 舉例來(lái)說(shuō)，你想要幫 vbird2 變更密碼成為 abc543CC ，可以這樣下達(dá)指令呢！范例三：使用 standard input 建立用戶的密碼[root@ ~] echo abc543CC | passwd stdin vbird2Changing password for user vbird2.passwd: all authentication tokens updated successfully.這個(gè)動(dòng)作會(huì)直接更新用戶的密碼而不用再次的手動(dòng)輸入！好處是方便處理，缺點(diǎn)是這個(gè)密碼會(huì)保留在指令中， 未來(lái)若系統(tǒng)被攻破，人家可以在 /root/.bash_history 找到這個(gè)密碼呢！所以這個(gè)動(dòng)作通常僅用在 shell script 的大量建立使用者賬號(hào)當(dāng)中！要注意的是，這個(gè)選項(xiàng)并不存在所有 distributions 版本中， 請(qǐng)使用 man passwd 確認(rèn)你的 distribution 是否有支持此選項(xiàng)喔！如果你想要讓 vbird2 的密碼具有相當(dāng)?shù)囊?guī)則，舉例來(lái)說(shuō)你要讓 vbird2 每 60 天需要變更密碼， 密碼過(guò)期后 10 天未使用就宣告密碼失效，那該如何處理？范例四：管理 vbird2 的密碼使具有 60 天變更、10 天密碼失效的設(shè)定[root@ ~] passwd S vbird2vbird2 PS 20090226 0 99999 7 1 (Password set, MD5 crypt.) 上面說(shuō)明密碼建立時(shí)間 (20090226)、0 最小天數(shù)、99999 變更天數(shù)、7 警告日數(shù) 與密碼不會(huì)失效 (1) 。[root@ ~] passwd x 60 i 10 vbird2[root@ ~] passwd S vbird2vbird2 PS 20090226 0 60 7 10 (Password set, MD5 crypt.)那如果我想要讓某個(gè)賬號(hào)暫時(shí)無(wú)法使用密碼登入主機(jī)呢？舉例來(lái)說(shuō)， vbird2 這家伙最近老是胡亂在主機(jī)亂來(lái)， 所以我想要暫時(shí)讓她無(wú)法登入的話，最簡(jiǎn)單的方法就是讓她的密碼變成不合法 (shadow 第 2 字段長(zhǎng)度變掉)！ 處理的方法就更簡(jiǎn)單的！范例五：讓 vbird2 的賬號(hào)失效，觀察完畢后再讓她失效[root@ ~] passwd l vbird2[root@ ~] passwd S vbird2vbird2 LK 20090226 0 60 7 10 (Password locked.) 嘿嘿！狀態(tài)變成『 LK, Lock 』了啦！無(wú)法登入喔！[root@ ~] grep vbird2 /etc/shadowvbird2:!!$1$50MnwNFq$.:14301:0:60:7:10:: 其實(shí)只是在這里加上 !! 而已！[root@ ~] passwd u vbird2[root@ ~] grep vbird2 /etc/shadowvbird2:$1$50MnwNFq$.:14301:0:60:7:10:: 密碼字段恢復(fù)正常！是否很有趣?。∧梢宰孕泄芾硪幌履愕馁~號(hào)的密碼相關(guān)參數(shù)喔！接下來(lái)讓我們用更簡(jiǎn)單的方法來(lái)查閱密碼參數(shù)喔！ chage除了使用 passwd S 之外，有沒(méi)有更詳細(xì)的密碼參數(shù)顯示功能呢？有的！那就是 chage 了！ 他的用法如下：[root@ ~] chage [ldEImMW] 賬號(hào)名選項(xiàng)與參數(shù)：l ：列出該賬號(hào)的詳細(xì)密碼參數(shù)；d ：后面接日期，修改 shadow 第三字段(最近一次更改密碼的日期)，格式 YYYYMMDDE ：后面接日期，修改 shadow 第八字段(賬號(hào)失效日)，格式 YYYYMMDDI ：后面接天數(shù)，修改 shadow 第七字段(密碼失效日期)m ：后面接天數(shù)，修改 shadow 第四字段(密碼最短保留天數(shù))M ：后面接天數(shù)，修改 shadow 第五字段(密碼多久需要進(jìn)行變更)W ：后面接天數(shù)，修改 shadow 第六字段(密碼過(guò)期前警告日期)范例一：列出 vbird2 的詳細(xì)密碼參數(shù)[root@ ~] chage l vbird2Last password change : Feb 26, 2009Password expires : Apr 27, 2009Password inactive : May 07, 2009Account expires : neverMinimum number of days between password change : 0Maximum number of days between password change : 60Number of days of warning before password expires : 7我們?cè)?passwd 的介紹中談到了處理 vbird2 這個(gè)賬號(hào)的密碼屬性流程，使用 passwd S 卻無(wú)法看到很清楚的說(shuō)明。如果使用 chage 那可就明白多了！如上表所示，我們可以清楚的知道 vbird2 的詳細(xì)參數(shù)呢！ 如果想要修改其他的設(shè)定值，就自己參考上面的選項(xiàng)，或者自行 man chage 一下吧！^_^chage 有一個(gè)功能很不錯(cuò)喔！如果你想要讓『使用者在第一次登入時(shí)， 強(qiáng)制她們一定要更改密碼后才能夠使用系統(tǒng)資源』，可以利用如下的方法來(lái)處理的！范例二：建立一個(gè)名為 agetest 的賬號(hào)，該賬號(hào)第一次登入后使用默認(rèn)密碼， 但必須要更改過(guò)密碼后，使用新密碼才能夠登入系統(tǒng)使用 bash 環(huán)境[root@ ~] useradd agetest[root@ ~] echo agetest | passwd stdin agetest[root@ ~] chage d 0 agetest 此時(shí)此賬號(hào)的密碼建立時(shí)間會(huì)被改為 1970/1/1 ，所以會(huì)有問(wèn)題！范例三：嘗試以 agetest 登入的情況You are required to change your password immediately (root enforced)WARNING: Your password has expired.You must change your password now and login again!Changing password for user agetest.Changing password for agetest(current) UNIX password: ==這個(gè)賬號(hào)被強(qiáng)制要求必須要改密碼！非常有趣吧！你會(huì)發(fā)現(xiàn) agetest 這個(gè)賬號(hào)在第一次登入時(shí)可以使用與賬號(hào)同名的密碼登入， 但登入時(shí)就會(huì)被要求立刻更改密碼，更改密碼完成后就會(huì)被踢出系統(tǒng)。再次登入時(shí)就能夠使用新密碼登入了！ 這個(gè)功能對(duì)學(xué)校老師非常有幫助！因?yàn)槲覀儾幌胍缹W(xué)生的密碼，那么在初次上課時(shí)就使用與學(xué)號(hào)相同的賬號(hào)/密碼給學(xué)生， 讓她們登入時(shí)自行設(shè)定她們的密碼，如此一來(lái)就能夠避免其他同學(xué)隨意使用別人的賬號(hào)，也能夠保證學(xué)生知道如何更改自己的密碼！ usermod所謂這『人有失手，馬有亂蹄』，您說(shuō)是吧？所以啰，當(dāng)然有的時(shí)候會(huì)『不小心』在 useradd 的時(shí)候加入了錯(cuò)誤的設(shè)定數(shù)據(jù)?；蛘呤?，在使用 useradd 后，發(fā)現(xiàn)某些地方還可以進(jìn)行細(xì)部修改。 此時(shí)，當(dāng)然我們可以直接到 /etc/passwd 或 /etc/shadow 去修改相對(duì)應(yīng)字段的數(shù)據(jù)， 不過(guò)，Linux 也有提供相關(guān)的指令讓大家來(lái)進(jìn)行賬號(hào)相關(guān)數(shù)據(jù)的微調(diào)呢～那就是 usermod 啰～[root@ ~] usermod [cdegGlsuLU] username選項(xiàng)與參數(shù)：c ：后面接賬號(hào)的說(shuō)明，即 /etc/passwd 第五欄的說(shuō)明欄，可以加入一些賬號(hào)的說(shuō)明。d ：后面接賬號(hào)的家目錄，即修改 /etc/passwd 的第六欄；e ：后面接日期，格式是 YYYYMMDD 也就是在 /etc/shadow 內(nèi)的第八個(gè)字段數(shù)據(jù)啦！f ：后面接天數(shù)，為 shadow 的第七字段。g ：后面接初始群組，修改 /etc/passwd 的第四個(gè)字段，亦即是 GID 的字段！G ：后面接次要群組，修改這個(gè)使用者能夠支持的群組，修改的是 /etc/group 啰～a ：與 G 合用，可『增加次要群組的支持』而非『設(shè)定』喔！l ：后面接賬號(hào)名稱。亦即是修改賬號(hào)名稱， /etc/passwd 的第一欄！s ：后面接 Shell 的實(shí)際檔案，例如 /bin/bash 或 /bin/csh 等等。u ：后面接 UID 數(shù)字啦！即 /etc/passwd 第三欄的資料；L ：暫時(shí)將用戶的密碼凍結(jié)，讓他無(wú)法登入。其實(shí)僅改 /etc/shadow 的密碼欄。U ：將 /etc/shadow 密碼欄的 ! 拿掉，解凍啦！如果你仔細(xì)的比對(duì)，會(huì)發(fā)現(xiàn) usermod 的選項(xiàng)與 useradd 非常類(lèi)似！ 這是因?yàn)?usermod 也是用來(lái)微調(diào) useradd 增加的使用者參數(shù)嘛！不過(guò) usermod 還是有新增的選項(xiàng)， 那就是 L 與 U ，不過(guò)這兩個(gè)選項(xiàng)其實(shí)與 passwd 的 l, u 是相同的！而且也不見(jiàn)得會(huì)存在所有的 distribution 當(dāng)中！接下來(lái)，讓我們談?wù)勔恍┳兏鼌?shù)的實(shí)例吧！范例一：修改使用者 vbird2 的說(shuō)明欄，加上『VBird39。s test』的說(shuō)明。[root@ ~] usermod c VBird39。s test vbird2[root@ ~] grep vbird2 /etc/passwdvbird2:x:700:100:VBird39。s test:/home/vbird2:/bin/bash范例二：用戶 vbird2 密碼在 2009/12/31 失效。[root@ ~] usermod e 20091231 vbird2[root@ ~] grep vbird2 /etc/shadowvbird2:$1$50MnwNFq$.:14301:0:60:7:10:14609:范例三：我們建立 vbird3 這個(gè)系統(tǒng)賬號(hào)時(shí)并沒(méi)有給予家目錄，請(qǐng)建立他的家目錄[r