用户管理为了使用多用户的FreeBSD操作系统,必须是系统的登记用户。用户信息保存在/etc目录下passwd文件中,在这个文件中定义的一个FreeBSD用户应具有以下属性:
用户名(Username):在系统中使用这个用户名来标识用户,每个用户名不超过8个字符,且是大小写敏感的。习惯上用户名只使用小写字母,通常根据用户真实名字的缩写来选择合适的用户名。
用户标识号(User ID):由于计算机中处理数字比处理字符串更容易,因而使用数字方式的用户标识号来区分不同用户更为适合。事实上Unix系统就是使用唯一的用户标识号来区分用户的,在某些特定目的下,可以存在多个有不同用户名、但用户标识号相同的用户,这表示这些不同用户名的用户实际上是同一个用户。
口令(password):系统用它来验证用户是否合法。超级用户root可以使用系统程序passwd来更改每个用户的口令,用户也可以使用passwd来更改自己的口令。较老的Unix系统中直接在passwd文件中保存口令的密文,由于passwd文件是系统中的每个用户都可以读取的,只通过加密来保证口令的安全性。然而现代计算机的发展使得情形发生了变化,高速计算能力使得通过猜测的方式来破译口令成为可能。因此现在Unix中口令均不再直接保存在passwd文件中了,而passwd文件中的口令域使用一个 “*” 来代替。FreeBSD使用/etc/master.passwd作为真正的口令文件,保存包括个人口令在内的数据,但这个文件不能被普通用户读取。
命令解释程序(shell):用户登录后启动这个程序来接收用户的输入并执行输入相应命令,标准的shell有sh和csh,更复杂易用的shell有bash和tcsh等,但它们不是基本系统的一部分,必须额外安装。shell程序是一个标准的Unix程序,但系统在/etc/shells文件中定义了一些标准shell的名字,很多应用程序检查这个文件中内容和用户的shell来判断这个用户是普通用户,还是用于特定目的而创建的用户。
个人目录(home directory):由于FreeBSD是多用户系统,每个用户都要有自己的独立使用环境,不同用户的文件不能相互交叉存放,因此Unix中为每个用户配置了自己的个人目录,用户的文件都放置在各自的目录下,从而互不干扰。习惯上FreeBSD下用户的个人目录位于/home目录下,使用用户名作为子目录名,多数shell中使用波浪符号~,来代表该用户的个人目录。
组标识号(Group ID):具有相似属性的多个用户可以被分配到一个组内,每个组都有自己的组名,且以自己的组标识号相区分(组标识号和组的对应关系在/etc/group文件中给出),用户的组标识号保存在passwd文件中。早期的Unix中,每个用户只能属于一个组,而现代Unix中每个用户可以同时属于多个组,除了在passwd文件中指定了其归属的基本组之外,还可以在文件/etc/group中,明确指定一个组包括某个用户,使得该用户能属于多个组。
除此之外,用户还有其他属性,例如登录类别,这些信息记录在另一个口令文件:/etc/master.passwd中。
增加用户
虽然可以使用系统安装程序/stand/sysinstall中的Add User选项来增加用户和组,但熟练的管理员并不喜欢这种全屏幕操作方式。Unix下的习惯做法是使用命令行方式,如使用adduser命令来或pw命令添加用户。
adduser命令使用配置文件/etc/adduser.conf来保存添加用户使用的缺省数据,如果没有这个配置文件,第一次执行adduser时会询问缺省设置,以自动生成这个设置文件。这样对于很多基本一致的用户数据就设置了正确的缺省值,以减少输入的工作量。
# adduser
Use option ``-silent'' if you don't want see all warnings & questions.
Check /etc/shells
Check /etc/master.passwd
Check /etc/group
Enter your default shell: bash csh date no sh [sh]:
Your default shell is: sh -> /bin/sh
Enter your default HOME partition: [/home]:
Copy dotfiles from: /usr/share/skel no [/usr/share/skel]:
Send message from file: /etc/adduser.message no
[/etc/adduser.message]:
Use passwords (y/n) [y]:
Ok, let's go.
在前面的过程中生成了配置文件之后,还可以使用编辑器来修改它的内容以更改adduser的配置。虽然生成了配置文件,但每次启动adduser还会询问这些缺省参数是否需要更改,使得操作不太简便。为了让adduser直接进入用户数据输入状态,可以使用 “adduser -quiet” 减少提示信息,-quiet的缩写方式为-q,-silent和-s参数也有同样的效果。更一劳永逸的方式是直接修改adduser.conf文件,将其中的verbose参数改为0,表示尽量减少提示。这个参数的缺省值为1,将进行设置缺省值的提示,而设置为2能提供更多的配置参数。
# adduser -s
Use option ``-verbose'' if you want see more warnings & questions
or try to repair bugs.
Enter username [a-z0-9_-]: user22
Enter full name []:
Enter shell bash csh date no sh [sh]:
Enter home directory (full path) [/home/user22]:
Uid [1007]:
Enter login class: default []:
Login group user22 [user22]:
Login group is ``user22''. Invite user22 into othergroups: guest no
[no]:
Enter password []:
Use an empty password? (y/n) [y]:
Name: user22
Password: ****
Fullname: user22
Uid: 1007
Gid: 1007 (user22)
Class:
Groups: user22
HOME: /home/user22
Shell: /bin/sh
OK? (y/n) [y]:
Added user ``user22''
Send message to ``user22'' and: no root second_mail_address
[no]:
your account ``user22'' was created.
Have fun!
See also chpass(1), finger(1), passwd(1)
Add anything to default message (y/n) [n]:
Send message (y/n) [y]:
Add another user? (y/n) [y]:n
因此可以使用-s参数使adduser直接进入增加用户的操作步骤,这将询问增加用户的必要数据,包括用户名、口令等数据。adduser将使用adduser.conf中的一些内容作为缺省提示,通常有提示的步骤可以直接利用缺省提示进行操作。
比adduser命令功能更复杂的命令为pw,管理员能使用它来完成各种复杂的用户管理任务,包括增加、删除用户,以及修改用户的各项参数设置。
另一种更直接的管理用户的方式是直接编辑口令文件的内容。这是Unix早期常见的做法,但随着Unix的发展,当前的Unix使用shadow的方法保存加密口令数据,用户数据不仅保存在passwd文件中,而真实的口令等内容被系统保存在另一个口令文件中,必须同时修改这两个口令文件,使其保持一致才可以。因此不能直接使用vi等编辑器来编辑一个/etc/passwd文件,而应该使用系统提供的vipw命令修改这口令文件,并同时写入两个文件。出于安全的考虑,vipw将使用一个内部编辑器(与vi相同)编辑master.passwd文件,保存时同步这两个口令文件。事实上master.passwd文件才是真正的口令文件,单独改变/etc/passwd文件,对用户数据没有影响。
由于系统中会反复读取用户口令,而在普通文本形式的passwd文件中查找用户的速度与用户数量是一种线性关系,当用户数量一多,查找效率就急剧下降。而数据库的形式更适合这些经常发生的查找任务,因为数据库将自动维护数据的索引,这些索引可以用来提高查找效率。FreeBSD中提供了一种简单的的标准数据库文件格式,口令文件可以使用这种db数据格式来提高性能。因此口令文件有对应的数据库形式:/etc/pwd.db和/etc/spwd.db,用来获得用户信息的系统调用事实上首先查询这两个数据库文件,而由系统来自动维护这两个数据库文件与前两个passwd文件同步。系统管理者可以使用pwd_mkdb来从文本形式的口令文件来生成数据库文件。通常,普通文本形式的passwd文件只适合于有几百帐号的系统,而db数据库形式适合一万以上帐号的系统。
在其他Unix系统中,第二个口令文件的名字与bsd系统使用的文件名不同,大部分Unix System V系统使用/etc/shadow文件。使用不同的名字只是习惯的问题,文件格式都是passwd文件格式。因此如果要求兼容,可以为/etc/master.passwd建立一个叫shadow的符号连接。
组能帮助权限的分配,与管理用户类似,管理组也可以通过sysinstall来完成,或直接改动/etc/group文件。用户除了属于passwd文件中定义的组之外,还可以被邀请进入其他组中。adduser添加用户时会询问是否将用户加入其他组,如果在用户生成之后在将用户加入其他组,就需要直接改动/etc/group文件。例如group文件中有这样一行:
wheel:*:0:root,admin
admin:*:100:admin
这表示用户admin不但属于自己在passwd中规定的组,还属于wheel和admin组。可以使用groups命令来获得用户的属组列表。
未完,待续。。。