第十七章：第7节Linux用户管理——详细解析Linux /etc/passwd文件

在学习用户管理有关的命令之前，需要先额外了解一些跟用户、用户组有关的配置文件。

Linux系统是一个多用户多任务的分时操作系统，任何一个要使用系统资源的用户，都必须首先向系统管理员申请一个账号，然后以这个账号的身份进入系统。

楠神从腾讯云买了两台Linux服务器，Ubuntu的默认账户是Ubuntu，这是腾讯云预先创建好的一个普通账户。centos的默认账户直接给的是超级用户root，也就是系统管理员。在Ubuntu下，超级用户root也已创建好了。

执行下 

cat /etc/passwd

Linux系统中的每个用户都在/etc/passwd文件中有一个对应的记录行，它记录了这个用户的一些基本属性。看第一行，第一个记录就是root用户。

Linux系统中的root账号通常用于系统的维护和管理，它对Linux操作系统的所有操作都不受限制。既然有root这样的超级账号，为什么腾讯云的Ubuntu系统额外创建一个普通用户“ubuntu”？

这也是为了安全的考虑，在大多数版本的Unix/Linux中，都不推荐直接使用root账号登录系统。

passwd文件中，可看到Ubuntu系统中存在这么多用户了，这些用户都是可登陆的普通用户吗？

其实不是，有些用户是不能登录的。在Unix/Linux安装的过程中，系统会自动创建许多用户账号，而这些默认的用户就称为“标准用户（伪用户）”。这些用户账号除了“root”代表超级用户之外，其余账号都是系统账号，也就是应用程序在执行时的身份。

需要注意的是，标准账号是操作系统安装时，自动建立的用户启动相应的应用程序，超级用户在向系统添加普通用户的时候，不能和系统中已有的标准用户同名。

ubuntu:x:500:500:ubuntu,,,:/home/ubuntu:/bin/bash

我们来看下这行记录的具体含义：

用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell

1）"用户名"是代表用户账号的字符串。（ubuntu）

通常长度不超过8个字符，并且由大小写字母和/或数字组成。登录名中不能有冒号(:)，因为冒号在这里是分隔符。

为了兼容起见，登录名中最好不要包含点字符(.)，并且不使用连字符(-)和加号(+)打头。

2）“口令”一些系统中，存放着加密后的用户口令字。（x）

虽然这个字段存放的只是用户口令的加密串，不是明文，但是由于/etc/passwd文件对所有用户都可读，所以这仍是一个安全隐患。因此，现在许多Linux 系统（如SVR4）都使用了shadow技术，把真正的加密后的用户口令字存放到/etc/shadow文件中，而在/etc/passwd文件的口令字段中只存放一个特殊的字符，例如“x”或者“*”。

3）“用户标识号”是一个整数，系统内部用它来标识用户。（500）

一般情况下它与用户名是一一对应的。如果几个用户名对应的用户标识号是一样的，系统内部将把它们视为同一个用户，但是它们可以有不同的口令、不同的主目录以及不同的登录Shell等。

（记住这点，后面我们会把一个普通用户的“用户标识号”改成和用户www-data一样的）

通常用户标识号的取值范围是0～65 535。0是超级用户root的标识号，1～99由系统保留，作为管理账号，普通用户的标识号从100开始。在Linux系统中，这个界限是500。

4）“组标识号”字段记录的是用户所属的用户组。（500）

它对应着/etc/group文件中的一条记录。

5)“注释性描述”字段记录着用户的一些个人情况。（ubuntu,,,）

例如用户的真实姓名、电话、地址等，这个字段并没有什么实际的用途。在不同的Linux 系统中，这个字段的格式并没有统一。在许多Linux系统中，这个字段存放的是一段任意的注释性描述文字，用做finger命令的输出。

6)“主目录”，也就是用户的起始工作目录。（/home/ubuntu）

它是用户在登录到系统之后所处的目录。在大多数系统中，各用户的主目录都被组织在同一个特定的目录下，而用户主目录的名称就是该用户的登录名。各用户对自己的主目录有读、写、执行（搜索）权限，其他用户对此目录的访问权限则根据具体情况设置。

现在知道为什么我们每次登录服务器时，进入的都是“/home/ubuntu”了吧。

7)用户登录后，要启动一个进程，负责将用户的操作传给内核，这个进程是用户登录到系统后运行的命令解释器或某个特定的程序，即Shell。（/bin/bash）

shell：命令解释器，根据输入的命令执行相应命令。我们前面学习的命令，是字符形式，计算机不认识的，需要通过shell“翻译”成计算机能懂的二进制才能执行。

或者这样理解：

其实每个命令都对应相应的二进制文件：

shell可以读懂指令，并找到对应的二进制文件执行。所以说，Shell是用户与Linux系统之间的接口。

备注：

which

which 指令   可查找指令对应的二进制文件

察看当前系统下有哪些shell：

cat /etc/shells

常见shell：

/bin/sh (已经被 /bin/bash 所取代)

/bin/bash (就是 Linux 默认的 shell)

/bin/ksh (Kornshell 由 AT&T Bell lab. 发展出来的，兼容于 bash)

/bin/tcsh (整合 C Shell ，提供更多的功能)

/bin/csh (已经被 /bin/tcsh 所取代)

/bin/zsh (基于 ksh 发展出来的，功能更强大的 shell）

系统管理员可以根据系统情况和用户习惯为用户指定某个Shell。如果不指定Shell，那么系统使用bash为默认的登录Shell，即这个字段的值为/bin/bash。

用户的登录Shell也可以指定为某个特定的程序（此程序不是一个命令解释器）。

利用这一特点，我们可以限制用户只能运行指定的应用程序，在该应用程序运行结束后，用户就自动退出了系统。有些Linux 系统要求只有那些在系统中登记了的程序才能出现在这个字段中。

伪用户在/etc/passwd文件中也占有一条记录，但是不能登录，可看到它们的shell都是“/usr/sbin/nologin”和“/bin/false”，它们的登录Shell为空。它们的存在主要是方便系统管理，满足相应的系统进程对文件属主的要求。

常见的伪用户有：

bin 拥有可执行的用户命令文件 

sys 拥有系统文件 

adm 拥有帐户文件 

uucp UUCP使用 

lp lp或lpd子系统使用 

nobody NFS使用