## 13.1 Linux 的帳號與群組 管理員的工作中，相當重要的一環就是“管理帳號”啦！因為整個系統都是你在管理的， 并且所有一般用戶的帳號申請，都必須要通過你的協助才行！所以你就必須要了解一下如何管理好一個服務器主機的帳號啦！ 在管理 Linux 主機的帳號時，我們必須先來了解一下 Linux 到底是如何辨別每一個使用者的！ ### 13.1.1 使用者識別碼： UID 與 GID 雖然我們登陸 Linux 主機的時候，輸入的是我們的帳號，但是其實 Linux 主機并不會直接認識你的“帳號名稱”的，他僅認識 ID 啊 （ID 就是一組號碼啦）。 由于計算機僅認識 0 與 1，所以主機對于數字比較有概念的；至于帳號只是為了讓人們容易記憶而已。 而你的 ID 與帳號的對應就在 /etc/passwd 當中哩。  **Tips** 如果你曾經在網絡上下載過 [tarball](../Text/index.html#pack) 類型的文件， 那么應該不難發現，在解壓縮之后的文件中，文件擁有者的字段竟然顯示“不明的數字”？奇怪吧？這沒什么好奇怪的，因為 Linux 說實在話，他真的只認識代表你身份的號碼而已！ 那么到底有幾種 ID 呢？還記得我們在[第五章](../Text/index.html)內有提到過， 每一個文件都具有“擁有人與擁有群組”的屬性嗎？沒錯啦～每個登陸的使用者至少都會取得兩個 ID ，一個是使用者 ID （User ID ，簡稱 UID）、一個是群組 ID （Group ID ，簡稱 GID）。 那么文件如何判別他的擁有者與群組呢？其實就是利用 UID 與 GID 啦！每一個文件都會有所謂的擁有者 ID 與擁有群組 ID ，當我們有要顯示文件屬性的需求時，系統會依據 /etc/passwd 與 /etc/group 的內容， 找到 UID / GID 對應的帳號與群組名稱再顯示出來！我們可以作個小實驗，你可以用 root 的身份 vim /etc/passwd ，然后將你的一般身份的使用者的 ID 隨便改一個號碼，然后再到你的一般身份的目錄下看看原先該帳號擁有的文件，你會發現該文件的擁有人變成了 “數字了”呵呵！這樣可以理解了嗎？來看看下面的例子： ``` # 1\. 先察看一下，系統里面有沒有一個名為 dmtsai 的用戶？ [root@study ~]# id dmtsai uid=1000（dmtsai） gid=1000（dmtsai） groups=1000（dmtsai）,10（wheel） <==確定有這個帳號喔！ [root@study ~]# ll -d /home/dmtsai drwx------. 17 dmtsai dmtsai 4096 Jul 17 19:51 /home/dmtsai # 瞧一瞧，使用者的字段正是 dmtsai 本身喔！ # 2\. 修改一下，將剛剛我們的 dmtsai 的 1000 UID 改為 2000 看看： [root@study ~]# vim /etc/passwd ....（前面省略）.... dmtsai:x:2000:1000:dmtsai:/home/dmtsai:/bin/bash <==修改一下特殊字體部分，由 1000 改過來 [root@study ~]# ll -d /home/dmtsai drwx------. 17 1000 dmtsai 4096 Jul 17 19:51 /home/dmtsai # 很害怕吧！怎么變成 1000 了？因為文件只會記錄 UID 的數字而已！ # 因為我們亂改，所以導致 1000 找不到對應的帳號，因此顯示數字！ # 3\. 記得將剛剛的 2000 改回來！ [root@study ~]# vim /etc/passwd ....（前面省略）.... dmtsai:x:1000:1000:dmtsai:/home/dmtsai:/bin/bash <==“務必一定要”改回來！ ``` 你一定要了解的是，上面的例子僅是在說明 UID 與帳號的對應性，在一部正常運行的 Linux 主機環境下，上面的動作不可隨便進行， 這是因為系統上已經有很多的數據被創建存在了，隨意修改系統上某些帳號的 UID 很可能會導致某些程序無法進行，這將導致系統無法順利運行的結果， 因為權限的問題啊！所以，了解了之后，請趕快回到 /etc/passwd 里面，將數字改回來喔！  **Tips** 舉例來說，如果上面的測試最后一個步驟沒有將 2000 改回原本的 UID，那么當 dmtsai 下次登陸時將沒有辦法進入自己的主文件夾！ 因為他的 UID 已經改為 2000 ，但是他的主文件夾 （/home/dmtsai） 卻記錄的是 1000 ，由于權限是 700 ， 因此他將無法進入原本的主文件夾！是否非常嚴重啊？ ### 13.1.2 使用者帳號 Linux 系統上面的使用者如果需要登陸主機以取得 shell 的環境來工作時，他需要如何進行呢？ 首先，他必須要在計算機前面利用 tty1~tty6 的終端機提供的 login 接口，并輸入帳號與密碼后才能夠登陸。 如果是通過網絡的話，那至少使用者就得要學習 ssh 這個功能了 （服務器篇再來談）。 那么你輸入帳號密碼后，系統幫你處理了什么呢？ 1. 先找尋 /etc/passwd 里面是否有你輸入的帳號？如果沒有則跳出，如果有的話則將該帳號對應的 UID 與 GID （在 /etc/group 中） 讀出來，另外，該帳號的主文件夾與 shell 設置也一并讀出； 2. 再來則是核對密碼表啦！這時 Linux 會進入 /etc/shadow 里面找出對應的帳號與 UID，然后核對一下你剛剛輸入的密碼與里頭的密碼是否相符？ 3. 如果一切都 OK 的話，就進入 Shell 控管的階段啰！ 大致上的情況就像這樣，所以當你要登陸你的 Linux 主機的時候，那個 /etc/passwd 與 /etc/shadow 就必須要讓系統讀取啦 （這也是很多攻擊者會將特殊帳號寫到 /etc/passwd 里頭去的緣故），所以呢，如果你要備份 Linux 的系統的帳號的話，那么這兩個文件就一定需要備份才行呦！ 由上面的流程我們也知道，跟使用者帳號有關的有兩個非常重要的文件，一個是管理使用者 UID/GID 重要參數的 /etc/passwd ，一個則是專門管理密碼相關數據的 /etc/shadow 啰！那這兩個文件的內容就非常值得進行研究啦！ 下面我們會簡單的介紹這兩個文件，詳細的說明可以參考 man 5 passwd 及 man 5 shadow [[1]](#ps1)。 * /etc/passwd 文件結構 這個文件的構造是這樣的：每一行都代表一個帳號，有幾行就代表有幾個帳號在你的系統中！ 不過需要特別留意的是，里頭很多帳號本來就是系統正常運行所必須要的，我們可以簡稱他為系統帳號， 例如 bin, daemon, adm, nobody 等等，這些帳號請不要隨意的殺掉他呢！這個文件的內容有點像這樣：  **Tips** 鳥哥在接觸 Linux 之前曾經碰過 Solaris 系統 （1999 年），當時鳥哥啥也不清楚！由于“聽說”Linux 上面的帳號越復雜會導致系統越危險！所以鳥哥就將 /etc/passwd 上面的帳號全部刪除到只剩下 root 與鳥哥自己用的一般帳號！結果你猜發生什么事？那就是....調用升陽的工程師來維護系統 @_@！糗到一個不行！大家不要學啊！ ``` [root@study ~]# head -n 4 /etc/passwd root:x:0:0:root:/root:/bin/bash <==等一下做為下面說明用 bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin ``` 我們先來看一下每個 Linux 系統都會有的第一行，就是 root 這個系統管理員那一行好了， 你可以明顯的看出來，每一行使用“:”分隔開，共有七個咚咚，分別是： 1. 帳號名稱： 就是帳號啦！用來提供給對數字不太敏感的人類使用來登陸系統的！需要用來對應 UID 喔。例如 root 的 UID 對應就是 0 （第三字段）； 2. 密碼： 早期 Unix 系統的密碼就是放在這字段上！但是因為這個文件的特性是所有的程序都能夠讀取，這樣一來很容易造成密碼數據被竊取， 因此后來就將這個字段的密碼數據給他改放到 [/etc/shadow](../Text/index.html#shadow_file) 中了。所以這里你會看到一個“ x ”，呵呵！ 3. UID： 這個就是使用者識別碼啰！通常 Linux 對于 UID 有幾個限制需要說給您了解一下： ``` | id 范圍 | 該 ID 使用者特性 | | 0（系統管理員） | 當 UID 是 0 時，代表這個帳號是“系統管理員”！ 所以當你要讓其他的帳號名稱也具有 root 的權限時，將該帳號的 UID 改為 0 即可。 這也就是說，一部系統上面的系統管理員不見得只有 root 喔！ 不過，很不建議有多個帳號的 UID 是 0 啦～容易讓系統管理員混亂！ | | 1~999（系統帳號） | 保留給系統使用的 ID，其實除了 0 之外，其他的 UID 權限與特性并沒有不一樣。默認 1000 以下的數字讓給系統作為保留帳號只是一個習慣。由于系統上面啟動的網絡服務或背景服務希望使用較小的權限去運行，因此不希望使用 root 的身份去執行這些服務， 所以我們就得要提供這些運行中程序的擁有者帳號才行。這些系統帳號通常是不可登陸的， 所以才會有我們在[第十章](../Text/index.html)提到的 /sbin/nologin 這個特殊的 shell 存在。根據系統帳號的由來，通常這類帳號又約略被區分為兩種：1~200：由 distributions 自行創建的系統帳號；201~999：若使用者有系統帳號需求時，可以使用的帳號 UID。 | | 1000~60000（可登陸帳號） | 給一般使用者用的。事實上，目前的 linux 核心 （3.10.x 版）已經可以支持到 4294967295 （2^32-1） 這么大的 UID 號碼喔！ | ``` 上面這樣說明可以了解了嗎？是的， UID 為 0 的時候，就是 root 呦！所以請特別留意一下你的 /etc/passwd 文件！ 4. GID： 這個與 /etc/group 有關！其實 /etc/group 的觀念與 /etc/passwd 差不多，只是他是用來規范群組名稱與 GID 的對應而已！ 5. 使用者信息說明欄： 這個字段基本上并沒有什么重要用途，只是用來解釋這個帳號的意義而已！不過，如果您提供使用 finger 的功能時， 這個字段可以提供很多的訊息呢！本章后面的 [chfn](../Text/index.html#chfn) 指令會來解釋這里的說明。 6. 主文件夾： 這是使用者的主文件夾，以上面為例， root 的主文件夾在 /root ，所以當 root 登陸之后，就會立刻跑到 /root 目錄里頭啦！呵呵！ 如果你有個帳號的使用空間特別的大，你想要將該帳號的主文件夾移動到其他的硬盤去該怎么作？ 沒有錯！可以在這個字段進行修改呦！默認的使用者主文件夾在 /home/yourIDname 7. Shell： 我們在[第十章 BASH](../Text/index.html) 提到很多次，當使用者登陸系統后就會取得一個 Shell 來與系統的核心溝通以進行使用者的操作任務。那為何默認 shell 會使用 bash 呢？就是在這個字段指定的啰！ 這里比較需要注意的是，有一個 shell 可以用來替代成讓帳號無法取得 shell 環境的登陸動作！那就是 /sbin/nologin 這個東西！這也可以用來制作純 pop 郵件帳號者的數據呢！ * /etc/shadow 文件結構 我們知道很多程序的運行都與權限有關，而權限與 UID/GID 有關！因此各程序當然需要讀取 /etc/passwd 來了解不同帳號的權限。 因此 /etc/passwd 的權限需設置為 -rw-r--r-- 這樣的情況， 雖然早期的密碼也有加密過，但卻放置到 /etc/passwd 的第二個字段上！這樣一來很容易被有心人士所竊取的， 加密過的密碼也能夠通過暴力破解法去 trial and error （試誤） 找出來！ 因為這樣的關系，所以后來發展出將密碼移動到 /etc/shadow 這個文件分隔開來的技術， 而且還加入很多的密碼限制參數在 /etc/shadow 里頭呢！在這里，我們先來了解一下這個文件的構造吧！ 鳥哥的 /etc/shadow 文件有點像這樣： ``` [root@study ~]# head -n 4 /etc/shadow root:$6$wtbCCce/PxMeE5wm$KE2IfSJr.YLP7Rcai6oa/T7KFhO...:16559:0:99999:7::: <==下面說明用 bin:*:16372:0:99999:7::: daemon:*:16372:0:99999:7::: adm:*:16372:0:99999:7::: ``` 基本上， shadow 同樣以“:”作為分隔符號，如果數一數，會發現共有九個字段啊，這九個字段的用途是這樣的： 1. 帳號名稱： 由于密碼也需要與帳號對應啊～因此，這個文件的第一欄就是帳號，必須要與 /etc/passwd 相同才行！ 2. 密碼： 這個字段內的數據才是真正的密碼，而且是經過編碼的密碼 （加密） 啦！ 你只會看到有一些特殊符號的字母就是了！需要特別留意的是，雖然這些加密過的密碼很難被解出來， 但是“很難”不等于“不會”，所以，這個文件的默認權限是“-rw-------”或者是“----------”，亦即只有 root 才可以讀寫就是了！你得隨時注意，不要不小心更動了這個文件的權限呢！ 另外，由于各種密碼編碼的技術不一樣，因此不同的編碼系統會造成這個字段的長度不相同。 舉例來說，舊式的 DES, MD5 編碼系統產生的密碼長度就與目前慣用的 SHA 不同[[2]](#ps2)！SHA 的密碼長度明顯的比較長些。由于固定的編碼系統產生的密碼長度必須一致，因此“當你讓這個字段的長度改變后，該密碼就會失效（算不出來）”。 很多軟件通過這個功能，在此字段前加上 ! 或 * 改變密碼字段長度，就會讓密碼“暫時失效”了。 3. 最近更動密碼的日期： 這個字段記錄了“更動密碼那一天”的日期，不過，很奇怪呀！在我的例子中怎么會是 16559 呢？呵呵，這個是因為計算 Linux 日期的時間是以 1970 年 1 月 1 日作為 1 而累加的日期，1971 年 1 月 1 日則為 366 啦！ 得注意一下這個數據呦！上述的 16559 指的就是 2015-05-04 那一天啦！了解乎？ 而想要了解該日期可以使用本章后面 [chage](../Text/index.html#chage) 指令的幫忙！至于想要知道某個日期的累積日數， 可使用如下的程序計算： ``` [root@study ~]# echo $（（$（date --date="2015/05/04" +%s）/86400+1）） 16559 ``` 上述指令中，2015/05/04 為你想要計算的日期，86400 為每一天的秒數， %s 為 1970/01/01 以來的累積總秒數。 由于 bash 僅支持整數，因此最終需要加上 1 補齊 1970/01/01 當天。 4. 密碼不可被更動的天數：（與第 3 字段相比） 第四個字段記錄了：這個帳號的密碼在最近一次被更改后需要經過幾天才可以再被變更！如果是 0 的話， 表示密碼隨時可以更動的意思。這的限制是為了怕密碼被某些人一改再改而設計的！如果設置為 20 天的話，那么當你設置了密碼之后， 20 天之內都無法改變這個密碼呦！ 5. 密碼需要重新變更的天數：（與第 3 字段相比） 經常變更密碼是個好習慣！為了強制要求使用者變更密碼，這個字段可以指定在最近一次更改密碼后， 在多少天數內需要再次的變更密碼才行。你必須要在這個天數內重新設置你的密碼，否則這個帳號的密碼將會“變為過期特性”。 而如果像上面的 99999 （計算為 273 年） 的話，那就表示，呵呵，密碼的變更沒有強制性之意。 6. 密碼需要變更期限前的警告天數：（與第 5 字段相比） 當帳號的密碼有效期限快要到的時候 （第 5 字段），系統會依據這個字段的設置，發出“警告”言論給這個帳號，提醒他“再過 n 天你的密碼就要過期了，請盡快重新設置你的密碼呦！”，如上面的例子，則是密碼到期之前的 7 天之內，系統會警告該用戶。 7. 密碼過期后的帳號寬限時間（密碼失效日）：（與第 5 字段相比） 密碼有效日期為“更新日期（第3字段）”+“重新變更日期（第5字段）”，過了該期限后使用者依舊沒有更新密碼，那該密碼就算過期了。 雖然密碼過期但是該帳號還是可以用來進行其他工作的，包括登陸系統取得 bash 。不過如果密碼過期了， 那當你登陸系統時，系統會強制要求你必須要重新設置密碼才能登陸繼續使用喔，這就是密碼過期特性。 那這個字段的功能是什么呢？是在密碼過期幾天后，如果使用者還是沒有登陸更改密碼，那么這個帳號的密碼將會“失效”， 亦即該帳號再也無法使用該密碼登陸了。要注意密碼過期與密碼失效并不相同。 8. 帳號失效日期： 這個日期跟第三個字段一樣，都是使用 1970 年以來的總日數設置。這個字段表示： 這個帳號在此字段規定的日期之后，將無法再使用。 就是所謂的“帳號失效”，此時不論你的密碼是否有過期，這個“帳號”都不能再被使用！ 這個字段會被使用通常應該是在“收費服務”的系統中，你可以規定一個日期讓該帳號不能再使用啦！ 9. 保留： 最后一個字段是保留的，看以后有沒有新功能加入。 舉個例子來說好了，假如我的 dmtsai 這個使用者的密碼欄如下所示： ``` dmtsai:$6$M4IphgNP2TmlXaSS$B418YFroYxxmm....:16559:5:60:7:5:16679: ``` 這表示什么呢？先要注意的是 16559 是 2015/05/04 。所以 dmtsai 這個使用者的密碼相關意義是： * 由于密碼幾乎僅能單向運算（由明碼計算成為密碼，無法由密碼反推回明碼），因此由上表的數據我們無法得知 dmstai 的實際密碼明文 （第二個字段）； * 此帳號最近一次更動密碼的日期是 2015/05/04 （16559）； * 能夠再次修改密碼的時間是 5 天以后，也就是 2015/05/09 以前 dmtsai 不能修改自己的密碼；如果使用者還是嘗試要更動自己的密碼，系統就會出現這樣的訊息： ``` You must wait longer to change your password passwd: Authentication token manipulation error ``` 畫面中告訴我們：你必須要等待更久的時間才能夠變更密碼之意啦！ * 由于密碼過期日期定義為 60 天后，亦即累積日數為： 16559+60=16619，經過計算得到此日數代表日期為 2015/07/03。 這表示：“使用者必須要在 2015/05/09 （前 5 天不能改） 到 2015/07/03 之間的 60 天限制內去修改自己的密碼，若 2015/07/03 之后還是沒有變更密碼時，該密碼就宣告為過期”了！ * 警告日期設為 7 天，亦即是密碼過期日前的 7 天，在本例中則代表 2015/06/26 ~ 2015/07/03 這七天。 如果使用者一直沒有更改密碼，那么在這 7 天中，只要 dmtsai 登陸系統就會發現如下的訊息： ``` Warning: your password will expire in 5 days ``` * 如果該帳號一直到 2015/07/03 都沒有更改密碼，那么密碼就過期了。但是由于有 5 天的寬限天數， 因此 dmtsai 在 2015/07/08 前都還可以使用舊密碼登陸主機。 不過登陸時會出現強制更改密碼的情況，畫面有點像下面這樣： ``` You are required to change your password immediately （password aged） WARNING: Your password has expired. You must change your password now and login again! Changing password for user dmtsai. Changing password for dmtsai （current） UNIX password: ``` 你必須要輸入一次舊密碼以及兩次新密碼后，才能夠開始使用系統的各項資源。如果你是在 2015/07/08 以后嘗試以 dmtsai 登陸的話，那么就會出現如下的錯誤訊息且無法登陸，因為此時你的密碼就失效去啦！ ``` Your account has expired; please contact your system administrator ``` * 如果使用者在 2015/07/03 以前變更過密碼，那么第 3 個字段的那個 16559 的天數就會跟著改變，因此， 所有的限制日期也會跟著相對變動喔！^_^ * 無論使用者如何動作，到了 16679 （大約是 2015/09/01 左右） 該帳號就失效了～ 通過這樣的說明，您應該會比較容易理解了吧？由于 shadow 有這樣的重要性，因此可不能隨意修改喔！ 但在某些情況下面你得要使用各種方法來處理這個文件的！舉例來說，常常聽到人家說：“我的密碼忘記了”， 或者是“我的密碼不曉得被誰改過，跟原先的不一樣了”，這個時候怎么辦？ * 一般用戶的密碼忘記了：這個最容易解決，請系統管理員幫忙， 他會重新設置好你的密碼而不需要知道你的舊密碼！利用 root 的身份使用 [passwd](../Text/index.html#passwd) 指令來處理即可。 * root 密碼忘記了：這就麻煩了！因為你無法使用 root 的身份登陸了嘛！ 但我們知道 root 的密碼在 /etc/shadow 當中，因此你可以使用各種可行的方法開機進入 Linux 再去修改。 例如重新開機進入單人維護模式（[第十九章](../Text/index.html)）后，系統會主動的給予 root 權限的 bash 接口， 此時再以 passwd 修改密碼即可；或以 Live CD 開機后掛載根目錄去修改 /etc/shadow，將里面的 root 的密碼字段清空， 再重新開機后 root 將不用密碼即可登陸！登陸后再趕快以 passwd 指令去設置 root 密碼即可。  **Tips** 曾經聽過一則笑話，某位老師主要是在教授 Linux 操作系統，但是他是兼任的老師，因此對于該系的計算機環境不熟。 由于當初安裝該計算機教室 Linux 操作系統的人員已經離職且找不到聯絡方式了，也就是說 root 密碼已經沒有人曉得了！ 此時該老師就對學生說：“在 Linux 里面 root 密碼不見了，我們只能重新安裝”...感覺有點無力～ 又是個被 Windows 制約的人才！ 另外，由于 Linux 的新舊版本差異頗大，舊的版本 （CentOS 5.x 以前） 還活在很多服務器內！因此，如果你想要知道 shadow 是使用哪種加密的機制時， 可以通過下面的方法去查詢喔！ ``` [root@study ~]# authconfig --test | grep hashing password hashing algorithm is sha512 # 這就是目前的密碼加密機制！ ``` ### 13.1.3 關于群組： 有效與初始群組、groups, newgrp 認識了帳號相關的兩個文件 /etc/passwd 與 /etc/shadow 之后，你或許還是會覺得奇怪， 那么群組的配置文件在哪里？還有，在 /etc/passwd 的第四欄不是所謂的 GID 嗎？那又是啥？ 呵呵～此時就需要了解 /etc/group 與 /etc/gshadow 啰～ * /etc/group 文件結構 這個文件就是在記錄 GID 與群組名稱的對應了～鳥哥測試機的 /etc/group 內容有點像這樣： ``` [root@study ~]# head -n 4 /etc/group root:x:0: bin:x:1: daemon:x:2: sys:x:3: ``` 這個文件每一行代表一個群組，也是以冒號“:”作為字段的分隔符號，共分為四欄，每一字段的意義是： 1. 群組名稱： 就是群組名稱啦！同樣用來給人類使用的，基本上需要與第三字段的 GID 對應。 2. 群組密碼： 通常不需要設置，這個設置通常是給“群組管理員”使用的，目前很少有這個機會設置群組管理員啦！ 同樣的，密碼已經移動到 /etc/gshadow 去，因此這個字段只會存在一個“x”而已； 3. GID： 就是群組的 ID 啊。我們 /etc/passwd 第四個字段使用的 GID 對應的群組名，就是由這里對應出來的！ 4. 此群組支持的帳號名稱： 我們知道一個帳號可以加入多個群組，那某個帳號想要加入此群組時，將該帳號填入這個字段即可。 舉例來說，如果我想要讓 dmtsai 與 alex 也加入 root 這個群組，那么在第一行的最后面加上“dmtsai,alex”，注意不要有空格， 使成為“ root:x:0:dmtsai,alex ”就可以啰～ 談完了 /etc/passwd, /etc/shadow, /etc/group 之后，我們可以使用一個簡單的圖示來了解一下 UID / GID 與密碼之間的關系， 圖示如下。其實重點是 /etc/passwd 啦，其他相關的數據都是根據這個文件的字段去找尋出來的。 下圖中， root 的 UID 是 0 ，而 GID 也是 0 ，去找 /etc/group 可以知道 GID 為 0 時的群組名稱就是 root 哩。 至于密碼的尋找中，會找到 /etc/shadow 與 /etc/passwd 內同帳號名稱的那一行，就是密碼相關數據啰。 圖13.1.1、帳號相關文件之間的 UID/GID 與密碼相關性示意圖 至于在 /etc/group 比較重要的特色在于第四欄啦，因為每個使用者都可以擁有多個支持的群組，這就好比在學校念書的時候， 我們可以加入多個社團一樣！ ^_^。不過這里你或許會覺得奇怪的，那就是：“假如我同時加入多個群組，那么我在作業的時候，到底是以那個群組為準？” 下面我們就來談一談這個“有效群組”的概念。  **Tips** 請注意，新版的 Linux 中，初始群組的用戶群已經不會加入在第四個字段！例如我們知道 root 這個帳號的主要群組為 root，但是在上面的范例中， 你已經不會看到 root 這個“用戶”的名稱在 /etc/group 的 root 那一行的第四個字段內啰！這點還請留意一下即可！ * 有效群組（effective group）與初始群組（initial group） 還記得每個使用者在他的 /etc/passwd 里面的第四欄有所謂的 GID 吧？那個 GID 就是所謂的“初始群組 （initial group） ”！也就是說，當使用者一登陸系統，立刻就擁有這個群組的相關權限的意思。 舉例來說，我們上面提到 dmtsai 這個使用者的 /etc/passwd 與 /etc/group 還有 /etc/gshadow 相關的內容如下： ``` [root@study ~]# usermod -a -G users dmtsai <==先設置好次要群組 [root@study ~]# grep dmtsai /etc/passwd /etc/group /etc/gshadow /etc/passwd:dmtsai:x:1000:1000:dmtsai:/home/dmtsai:/bin/bash /etc/group:wheel:x:10:dmtsai <==次要群組的設置、安裝時指定的 /etc/group:users:x:100:dmtsai <==次要群組的設置 /etc/group:dmtsai:x:1000: <==因為是初始群組，所以第四字段不需要填入帳號 /etc/gshadow:wheel:::dmtsai <==次要群組的設置 /etc/gshadow:users:::dmtsai <==次要群組的設置 /etc/gshadow:dmtsai:!!:: ``` 仔細看到上面這個表格，在 /etc/passwd 里面，dmtsai 這個使用者所屬的群組為 GID=1000 ，搜尋一下 /etc/group 得到 1000 是那個名為 dmtsai 的群組啦！這就是 initial group。因為是初始群組， 使用者一登陸就會主動取得，不需要在 /etc/group 的第四個字段寫入該帳號的！ 但是非 initial group 的其他群組可就不同了。舉上面這個例子來說，我將 dmtsai 加入 users 這個群組當中，由于 users 這個群組并非是 dmtsai 的初始群組，因此， 我必須要在 /etc/group 這個文件中，找到 users 那一行，并且將 dmtsai 這個帳號加入第四欄， 這樣 dmtsai 才能夠加入 users 這個群組啊。 那么在這個例子當中，因為我的 dmtsai 帳號同時支持 dmtsai, wheel 與 users 這三個群組， 因此，在讀取/寫入/可執行文件案時，針對群組部分，只要是 users, wheel 與 dmtsai 這三個群組擁有的功能， 我 dmtsai 這個使用者都能夠擁有喔！這樣瞭呼？不過，這是針對已經存在的文件而言， 如果今天我要創建一個新的文件或者是新的目錄，請問一下，新文件的群組是 dmtsai, wheel 還是 users ？呵呵！這就得要檢查一下當時的有效群組了 （effective group）。 * groups: 有效與支持群組的觀察 如果我以 dmtsai 這個使用者的身份登陸后，該如何知道我所有支持的群組呢？ 很簡單啊，直接輸入 groups 就可以了！注意喔，是 groups 有加 s 呢！結果像這樣： ``` [dmtsai@study ~]$ groups dmtsai wheel users ``` 在這個輸出的訊息中，可知道 dmtsai 這個用戶同時屬于 dmtsai, wheel 及 users 這三個群組，而且， 第一個輸出的群組即為有效群組 （effective group） 了。 也就是說，我的有效群組為 dmtsai 啦～此時，如果我以 touch 去創建一個新文件，例如： “ touch test ”，那么這個文件的擁有者為 dmtsai ，而且群組也是 dmtsai 的啦。 ``` [dmtsai@study ~]$ touch test [dmtsai@study ~]$ ll test -rw-rw-r--. 1 dmtsai dmtsai 0 Jul 20 19:54 test ``` 這樣是否可以了解什么是有效群組了？通常有效群組的作用是在新建文件啦！那么有效群組是否能夠變換？ * newgrp: 有效群組的切換 那么如何變更有效群組呢？就使用 newgrp 啊！不過使用 newgrp 是有限制的，那就是你想要切換的群組必須是你已經有支持的群組。舉例來說， dmtsai 可以在 dmtsai/wheel/users 這三個群組間切換有效群組，但是 dmtsai 無法切換有效群組成為 sshd 啦！使用的方式如下： ``` [dmtsai@study ~]$ newgrp users [dmtsai@study ~]$ groups users wheel dmtsai [dmtsai@study ~]$ touch test2 [dmtsai@study ~]$ ll test* -rw-rw-r--. 1 dmtsai dmtsai 0 Jul 20 19:54 test -rw-r--r--. 1 dmtsai users 0 Jul 20 19:56 test2 [dmtsai@study ~]$ exit # 注意！記得離開 newgrp 的環境喔！ ``` 此時，dmtsai 的有效群組就成為 users 了。我們額外的來討論一下 newgrp 這個指令，這個指令可以變更目前使用者的有效群組， 而且是另外以一個 shell 來提供這個功能的喔，所以，以上面的例子來說， dmtsai 這個使用者目前是以另一個 shell 登陸的，而且新的 shell 給予 dmtsai 有效 GID 為 users 就是了。如果以圖示來看就是如下所示： 圖13.1.2、newgrp 的運行示意圖 雖然使用者的環境設置（例如環境變量等等其他數據）不會有影響，但是使用者的“群組權限”將會重新被計算。 但是需要注意，由于是新取得一個 shell ，因此如果你想要回到原本的環境中，請輸入 exit 回到原本的 shell 喔！ 既然如此，也就是說，只要我的用戶有支持的群組就是能夠切換成為有效群組！好了， 那么如何讓一個帳號加入不同的群組就是問題的所在啰。你要加入一個群組有兩個方式，一個是通過系統管理員 （root） 利用 [usermod](../Text/index.html#usermod) 幫你加入，如果 root 太忙了而且你的系統有設置群組管理員，那么你可以通過群組管理員以 [gpasswd](../Text/index.html#gpasswd) 幫你加入他所管理的群組中！詳細的作法留待下一小節再來介紹啰！ * /etc/gshadow 剛剛講了很多關于“有效群組”的概念，另外，也提到 newgrp 這個指令的用法，但是，如果 /etc/gshadow 這個設置沒有搞懂得話，那么 newgrp 是無法動作的呢！ 鳥哥測試機的 /etc/gshadow 的內容有點像這樣： ``` [root@study ~]# head -n 4 /etc/gshadow root::: bin::: daemon::: sys::: ``` 這個文件內同樣還是使用冒號“:”來作為字段的分隔字符，而且你會發現，這個文件幾乎與 /etc/group 一模一樣啊！是這樣沒錯～不過，要注意的大概就是第二個字段吧～第二個字段是密碼欄， 如果密碼欄上面是“!”或空的時，表示該群組不具有群組管理員！至于第四個字段也就是支持的帳號名稱啰～ 這四個字段的意義為： 1. 群組名稱 2. 密碼欄，同樣的，開頭為 ! 表示無合法密碼，所以無群組管理員 3. 群組管理員的帳號 （相關信息在 [gpasswd](../Text/index.html#gpasswd) 中介紹） 4. 有加入該群組支持的所屬帳號 （與 /etc/group 內容相同！） 以系統管理員的角度來說，這個 gshadow 最大的功能就是創建群組管理員啦！ 那么什么是群組管理員呢？由于系統上面的帳號可能會很多，但是我們 root 可能平時太忙碌，所以當有使用者想要加入某些群組時， root 或許會沒有空管理。此時如果能夠創建群組管理員的話，那么該群組管理員就能夠將那個帳號加入自己管理的群組中！ 可以免去 root 的忙碌啦！不過，由于目前有類似 [sudo](../Text/index.html#sudo) 之類的工具， 所以這個群組管理員的功能已經很少使用了。我們會在后續的 gpasswd 中介紹這個實作。