帳號管理

帳號管理：
管理員的工作中，相當重要的一環就是『管理帳號』啦！因爲整個系統都是你在管理的，並且所有的一般用戶的申請，都必須要透過你的協助才行！所以你就必須要了解一下如何管理好一個網站的帳號管理啦！在管理 Linux 主機的帳號時，我們必須先來了解一下 Linux 到底是如何辨別每一個使用者的！
· 使用者的 ID 與羣組的 ID ：
其實 Linux 並不會直接認識你的『帳號名稱』，他認識的其實是你的『帳號 ID 』纔是！如果你曾經以 tarball 安裝過軟件的話，那麼應該不難發現，在解壓縮之後的檔案，嘿～檔案擁有者竟然是『不明的數字』？奇怪吧？這沒什麼好奇怪的，因爲 Linux 說實在話，他真的只認識代表你身份的號碼而已！而對應的號碼與帳號，則是記錄在 /etc/passwd 當中！
· 怎樣登入 Linux 主機呀？
好了，那麼我們再來談一談，到底我們是怎樣登入 Linux 主機的呢？其實也不難啦！當我們在主機前面或者是以 telnet 或者 ssh 登入主機時，系統會出現一個 login 的畫面讓你輸入帳號，這個時候當你輸入帳號與密碼之後， Linux 會：
1. 先找尋 /etc/passwd 裏面是否有這個帳號？如果沒有則跳出，如果有的話則將該帳號對應的 UID ( User ID )與 GID ( Group ID )讀出來，另外，該帳號的家目錄與 shell 設定也一併讀出；
2. 再來則是覈對密碼錶啦！這時 Linux 會進入 /etc/shadow 裏面找出對應的帳號與 UID，然後覈對一下你剛剛輸入的密碼與裏頭的密碼是否相符？
3. 如果一切都 OK 的話，就進入 Shell 控管的階段囉！
大致上的情況就像這樣，所以呢，當你要登入你的 Linux 主機的時候，那個 /etc/passwd 與 /etc/shadow 就必須要讓系統讀取啦，（這也是很多攻擊者會將特殊帳號寫到 /etc/passwd 裏頭去的緣故！）所以呢，如果你要備份 Linux 的系統的帳號的話，那麼這兩個檔案就一定需要備份才行呦！
· 認識 UID、GID、SUID與SGID：
還記得我們在『檔案系統與檔案屬性』那一篇文章的時候有提到每一個檔案都具有『擁有人與擁有羣組』的屬性嗎？那麼檔案如何判別他的擁有者與羣組呢？其實 就是利用 UID 與 GID 啦！每一個檔案都會有所謂的擁有者 ID 與擁有羣組 ID ，亦即是 UID 與 GID ，然後系統會 依據 /etc/passwd 的內容，去將該檔案的擁有者與羣組名稱，使用帳號的形式來秀出來！我們可以作個小實驗，你可以以 root 的身份 vi /etc/passwd ，然後將你的一般身份的使用者的 ID 隨便改一個號碼，然後再到你的一般身份的目錄下看看原先該帳號擁有的檔案，你會發現該檔案的擁有人變成了『數字了』呵呵！這樣可以理解了嗎？

[root @test /root]# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
test:x:500:500:test user:/home/test:/bin/bash　<==將 500 改成 510　
[root @test /root]# cd /home/test
[root @test test]# ll　
-rw-rw-r--　　1 500　　　test　　　　12542 Apr 12 11:22 test
看上面，擁有這變成了數字了～

· 認識 /etc/passwd 檔案與 /etc/shadow 檔案：
這兩個檔案可以說是 Linux 裏頭最重要的檔案之一了！如果沒有這兩個檔案的話，呵呵！您可是無法登入 Linux 的呦！
o passwd 的構造：
這個檔案的構造是這樣的：每一行都代表一個帳號，有幾行就代表有幾個帳號在你的系統中！不過需要特別留意的是，裏頭很多帳號本來就是系統中必須要的（例如 bin, daemon, adm, nobody 等等），請不要隨意的殺掉他～～；

o [root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
o 上面是 Red Hat 預設的幾個帳號，這些帳號是系統在使用的呦！我們先來看一下 root 這個系統管理員這一行好了，你可以明顯的看出來，每一行使用『:』分隔開，共有七個咚咚，分別是：
1. 帳號名稱：就是帳號名稱啦！對應 UID 用的！例如 root 就是預設的系統管理員的帳號名稱；
2. 密碼：早期的 Unix 系統的密碼是放在這個檔案中的，不過由於這樣一來很容易造成資料的被竊取，所以後來就將資料給他改放到 /etc/shadow 中了，這一部份等一下再說，而這裏你會看到一個 x ，呵呵！別擔心密碼已經被移動到 shadow 這個加密過後的檔案囉；
3. UID：這個就是使用者識別碼（ID）囉！通常 Linux 對於 UID 有幾個限制需要說給您瞭解一下：
1. 0　：系統管理員，所以當你要作另一個系統管理員帳號時，你可以將該帳號的 UID 改成 0 即可；
1~500 ：保留給系統使用的ID，其實 1~65534 之間的帳號並沒有不同，也就是除了 0 之外，其它的 UID 並沒有不一樣，
預設 500 以下給系統作爲保留帳號只是一個習慣。
這樣的好處是，以 named 爲例，這個程序的預設所有人 named 的帳號 UID 是 25 ，當有其它的帳號同樣是 25　
時，很可能會造成系統的一些小問題！爲了杜絕這樣的問題，建議保留 500 以前的 UID 給系統吧！
500~6553 ：給一般使用者用的！
1.
上面這樣說明可以瞭解了嗎？是的， UID 爲 0 的時候，就是 root 呦！所以請特別留意一下你的 /etc/passwd 檔案！
2. GID：這個與 /etc/group 有關！其實 /etc/group 的觀念與 /etc/passwd 差不多，只是他是用來規範 group 的而已！
3. 說明：這個字段並沒有什麼用途，只是用來解釋這個帳號的意義而已！
4. 家目錄：這是使用者的家目錄，以上面爲例， root 的家目錄在 /root ，所以當 root 登入之後，馬上在的所在就是 /root 裏頭啦！呵呵！如果你有個帳號的使用空間特別的大，你想要將該帳號的家目錄移動到其它的硬盤去，沒有錯！可以在這裏進行修改呦！預設的使用者家目錄在 /home/yourIDname
5. Shell ：所謂的 shell 是用來溝通人類下達的指令與硬件之間真正動作的界面！我們通常使用 /bin/bash 這個 shell 來進行指令的下達！關於 shell 的用法我們會在後面再提及的！這裏比較需要注意的是，有一個 shell 可以用來替代成讓帳號無法登入的指令！那就是 /bin/false 這個東西！這也可以用來製作純 pop 郵件帳號者的資料呢！
o shadow 的構造：
由於 /etc/passwd 並不安全，所以後來發展出將密碼移動到 /etc/shadow 這個檔案中分隔開來的技術！並且加入了很多的限制參數在 /etc/shadow 裏頭！我們來了解一下這個檔案的構造吧！
o root:$K.K2.hqu.QfV.dkjjteojiasdlkjeo:11661:0:99999:7:::
bin:*:11661:0:99999:7:::
daemon:*:11661:0:99999:7:::
adm:*:11661:0:99999:7:::
o 這是 shadow 的形式，也同樣的以『:』作爲分隔的符號。數一數，共可以發現有九個字段，分別給他說明如下：
1. 帳號名稱：這個跟 passwd 需要對應！也就是跟 passwd 相同的意思啦！
2. 密碼：這個纔是真正的密碼，而且是經過編碼過的密碼啦！你只會看到有一些特殊符號的字母就是了！需要特別留意的是，雖然這些加密過的密碼很難被解出來，但 是『很難』不等於『不會』，所以，這個檔案的預設屬性是『-rw-------』亦即只有 root 纔可以讀寫就是了！你得隨時注意，不要不小心更動了這個檔案的屬性呢！另外，如果是『 * 』表示這個帳號並不會被用來登入的意思。

注意事項：密碼忘記或者被更動了？有的時候會發生這樣的情況，就是說，你的 root 密碼忘記了！要怎麼辦？重新安裝嗎？另外，有的時候是被入侵了， root 的密碼被更動過，該如何是好？這個時候就必須要使用到 /etc/shadow 這個資料了！我們剛剛知道密碼是存在這個檔案中的，所以只要你能夠以軟盤開機，進入『單人維護系統』， 那麼就可以不用輸入密碼來以 root 的身份登入（通常就是在 boot: 時輸入 linux single 就是了！）然後進入 /etc/shadow 這個檔案中，將 root 的密碼這一欄全部清空！然後再登入 Linux 一次，這個時候 root 將不需要密碼（有的時候需要輸入空格符）就可以登入了！這個時候請趕快以 passwd 設定 root 密碼即可！
3. 上次更動密碼的日期：這個字段記錄了『更動密碼的那一天』的日期，不過，很奇怪呀！在我的例子中怎麼會是 11661 呢？呵呵，這個是因爲計算 Linux 日期的時間是以 1970 年 1 月 1 日作爲 1 ，而 1971 年 1 月 1 日則爲 366 啦！所以這個日期是累加的呢！得注意一下這個資料呦！那麼最近的 2002 年 1 月 1 日就是 11689 啦，上面的日期則是 2001 年 12 月 5 日的意思！瞭解了嗎？
4. 密碼不可被更動的天數：第四個字段記錄了這個帳號的密碼需要經過幾天纔可以被變更！如果是 0 的話，表示密碼隨時可以更動的意思。這的限制是爲了怕密碼被某些人一改再改而設計的！如果設定爲 20 天的話，那麼當你設定了密碼之後， 20 天之內都無法改變這個密碼呦！
5. 密碼需要重新變更的天數：由於害怕密碼被某些『有心人士』竊取而危害到整個系統的安全，所以有了這個字段的設計。你必須要在這個時間之內重新設定你的密碼，否則這個帳號將會暫時失效。而如果像上面的 99999 的話，那就表示，呵呵，密碼不需要重新輸入啦！不過，如果是爲了安全性，最好可以設定一段時間之後，嚴格要求使用者變更密碼呢！
6. 密碼需要變更期限前的警告期限：當帳號的密碼失效期限快要到的時候，系統會依據這個字段的設定，發出『警告』言論給這個帳號，提醒他『再過 n 天你的密碼就要失效了，請儘快重新設定你的密碼呦！』，如上面的例子，則是密碼到期之前的 7 天之內，系統會警告該用戶。
7. 帳號失效期限：如果用戶過了警告期限沒有重新輸入密碼，使得密碼失效了，而該用戶在這個字段限定的時間內又沒有跟 root 反應，讓帳號重新啓用，那麼這個帳號將暫時的失效！
8. 帳號取消日期：這個日期跟第三個字段一樣，都是使用 1970 年以來的日期設定。這個字段表示：這個帳號在此字段規定的日期之後，將無法再使用。這個字段會被使用通常應該是在『收費服務』的系統中，你可以規定一個日期讓該帳號不能再使用啦！
9. 保留：最後一個字段是保留的，看以後有沒有新功能加入。
這個 /etc/shadow 是很重要的資料，千萬不能遺失也不能被 root 以外的人看到或修改！尤其是密碼欄，因爲很早之前就已經發明瞭『暴力計算』密碼的程序，如果你的密碼被看過了，則別人可以利用該程序去演算出你的真實密碼，呵呵，到時候可就傷腦筋了！切記切記！
那麼什麼是 SUID 與 SGID 呢？前面有說過了！跟檔案屬性比較有相關， 點這裡　去看看吧！
· 認識 /etc/group 與 /etc/gshadow 檔案：
認識帳號與密碼是使用 /etc/passwd 與 /etc/shadow ，那麼認識 group 就是 /etc/group 與 /etc/gshadow 囉！OK！我們也來看看這兩個檔案的構造吧！
o 認識 /etc/group
這個檔案可以讓你直接將帳號所要支持的羣組加進來！例如你有一個帳號名稱爲 myaccount ，你想要讓這個帳號可以支持 root 這個羣組，則你可以直接在 /etc/group 裏面加入呢！很方便，不需要動用的指令呦！
root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
adm:x:4:root,adm,daemon
o 這個內容也說明如下：
1. 羣組名稱：就是羣組名稱啦！
2. 羣組密碼：通常不需要設定，因爲我們很少使用到羣組登入！不過，同樣的，密碼也是被紀錄在 /etc/gshadow 當中囉！
3. 羣組 ID：就是所謂的 GID 啦！
4. 支持的帳號名稱：這個羣組裏面的所有的帳號，如上面所言，如果你想要讓 mysccount 也屬於 root 這個羣組的話，那麼就將上面的第一行最後面加上 ,myaccount （不要有空格）使成爲『root:x:0:root,myaccount』就可以啦。
o /etc/gshadow 的構造：
root:::root
bin:::root,bin,daemon
daemon:::root,bin,daemon
sys:::root,bin,adm
adm:::root,adm,daemon
o 這個內容與 group 幾乎相同啦！就不提了！
· 增加使用者的一般步驟：新增使用者的時候，如果該使用者所屬的羣組不存在，則得(1)先新增羣組；然後(2)再新增使用者帳號。當然，如果要刪除羣組時，則必須要反過來，先刪除使用者才能刪除羣組！這點請大家留意囉！
認識完了一些需要注意的東西之後，我們來研究一下如何以『指令』增加羣組、使用者與變更密碼吧！
· groupadd
語法：
· [root @test /root ]# groupadd [-g GID] groupname
參數說明：
-g GID ：自行設定 GID 的大小
範例：
[root @test /root]# groupadd -g 55 testing　<==設定一個羣組，GID爲　55
· 說明：
這個指令會增加羣組呢！而作用到的檔案只有『/etc/group 與 /etc/gshadow』這兩個檔案，說實在的，你也可以直接修改這兩個檔案就好了，根本不需要使用到這個指令的！使用 vi 修改上面兩個檔案還比較簡單呢！另外，如果你要新增的使用者所要的羣組並不存在於系統中，那麼您在增加使用者帳號之前，就必須要先新增羣組囉！
· groupdel
語法：
· [root @test /root ]# groupdel groupname
參數說明：
範例：
[root @test /root]# groupdel testing
· 說明：
這很簡單的，就是將 group ID 給他殺掉去！不過，有一點必須要特別留意，就是『在殺掉羣組之前，請先將該羣組的 primary 使用者刪除！』纔好！
· useradd
語法：
· [root @test /root ]# useradd [-u UID] [-g GID] [-d HOME] [-mM] [-s shell] username
參數說明：
-u　 ：直接給予一個 UID
-g　 ：直接給予一個 GID （此 GID 必須已經存在於 /etc/group 當中）
-d　 ：直接將他的家目錄指向已經存在的目錄（系統不會再建立）
-M　 ：不建立家目錄
-s　 ：定義其使用的 shell
範例：
[root @test /root]# useradd testing　　<==直接以預設的資料建立一個名爲 testing 的帳號
[root @test /root]# useradd -u 720 -g 100 -M -s /bin/bash testing　 <==以自己的設定建立帳號
· 說明：
這個指令能夠變更的檔案可多了！包括了底下的各個檔案：
o /etc/passwd
o /etc/shadow
o /etc/group
o /etc/gshadow
o /etc/skel
o /etc/default/useradd
o /etc/login.defs
建立預設的帳號：
建立帳號的時候，如果沒有特殊的設定，通常我們只使用『 useradd username 』就可以建立一個名爲 username 的帳號了！不過你知道預設的帳號的基本設定嗎？嘿嘿嘿嘿！基本設定就在 /etc/login.defs 與 /etc/default/useradd 這兩個檔案中！在 login.defs 裏頭有點像底下這樣：
· MAIL_DIR　　　　/var/spool/mail　<==郵件預設目錄擺放處
PASS_MAX_DAYS　 99999　　　　　 <==密碼需要變更的時間
PASS_MIN_DAYS　 0　　　　　　 <==密碼多久需要變更
PASS_MIN_LEN　　5　　　　　　 <==密碼的最小長度（這個可以改大一些吧！）
PASS_WARN_AGE　 7　　　　　　 <==密碼快要失效之前幾天發警告訊息？
UID_MIN　　　　　　　　　 500　　<==預設帳號最小起算的 UID 數目（最小爲 500 ）
UID_MAX　　　　　　　　 60000　　<==最大的 UID 限制
GID_MIN　　　　　　　　　 500　　<==GID 限制
GID_MAX　　　　　　　　 60000　　<==GID 限制
CREATE_HOME　　 yes　　　　　　<==是否建立家目錄，預設是要建立家目錄（若爲 mail server 可以取消此項目）
幾乎可以設定的都在這裏設定了！所以需要了解一下這個檔案！另外，如果你是專門開啓 mail server 的，那麼由於使用者帳號不需要登入主機，所以也就不需要給予家目錄，這個時候最後一項 GREATE_HOME 或者可以設定爲 no ！此外，當你以預設的資料建立帳號時，該帳號的 UID 將會取目前在 /etc/passwd 當中『最大的（其實是小於 60000）』那一個 UID + 1 即是預設帳號的 UID 囉！