Linux 用户和用户配置文件

作时可以用普通账号登录，在需要进行系统维护时用 su 命令获得 root 权限，之后再用 su 回到原账号。

su 的基本语法为：su username

username 是要切换到的用户名（如果不指定用户名，则默认将用户身份切换为 root）， 切换时系统会要求给出相应用户的正确口令。

【经验之谈】默认情况下，只要知道 root 账户口令，任何用户都可以通过 su 命令切换 到 root 身份。尽管 Windows 系统中的系统管理员账户的默认名都知道，但它可以改名，而 Linux 系统中的 root 账户不能改名，所以只需要知道密码即可拥有超级用户和管理权限。

因此在 Linux 系统中增加了一个安全设置：可以通过编辑/etc/pam.d/su 文件使只有 wheel 组

（是一个特殊组）成员（默认只有 root 账户是其成员，可以加入其他用户或组账户）才可 以通过 su 命令转换为 root。如果换成一个不属于 wheel 组的用户时，执行了 su 命令后，即 使输入了正确的 root 密码，也无法登录为 root 用户。实现的办法是修改，取消图 5-39 中如 下语句的注释符（也就是去掉前面的“#”号）：

auth required pam_wheel.so use_uid

图 5-39 su 文件的内容

5.6.2 Linux 用户和用户配置文件

除了像 Windows 系统一样新建用户账户外，在 Linux 系统中同样有一些用户账户是在 系统安装后就有的，就像 Windows 系统中的内置账户一样。它们是用来完成特定任务的，

如 nobody 和 ftp 等，访问 LinuxSir.Org 的网页程序，就是 nobody 用户（相当于 Windows 系统中的匿名账户）；匿名访问 ftp 时，会用到用户 ftp 或 nobody。如果想了解 Linux 系统 有哪些用户账号，可以通过/etc/passwd 文件来查看。可通过双击 gedit 文本工具软件打开，

也可通过本章前面介绍的 cat 或 more 命令在终端窗口中查看。内置账户的 UID 都小于 500

（其中 1～99 号为系统保留，分配给系统预定义账号），新建用户的 UID 都等于或大于 500，所以内置账户都在前面，很容易看出系统自动创建了哪些内置账户（在新启用服务进 程后会创建一些新的内置账户，这与 Windows 服务器系统是一样的），如下所示（每行的 开始处就是用户账户名）：

root:x:0:0:winda:/root:/bin/bash ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin

dbus:x:81:81:System message bus:/:/sbin/nologin avahi:x:70:70:Avahi daemon:/:/sbin/nologin mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin nscd:x:28:28:NSCD Daemon:/:/sbin/nologin

vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin haldaemon:x:68:68:HAL daemon:/:/sbin/nologin

rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin

rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin pcap:x:77:77::/var/arpwatch:/sbin/nologin

ntp:x:38:38::/etc/ntp:/sbin/nologin rpm:x:37:37::/var/lib/rpm:/sbin/nologin gdm:x:42:42::/var/gdm:/sbin/nologin

xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin apache:x:48:48:Apache:/var/www:/sbin/nologin 录 shell 为/bin/bash。

因为 passwd 文件对系统的所有用户都是可读的，这样的好处是每个用户都可以知道系 统上有哪些用户，但缺点是其他用户的口令容易受到攻击（尤其当口令较简单时），所以在 像红帽子和红旗等品牌的 Linux 中均使用影子口令格式，将用户的口令存储在另一个文 件——/etc/shadow 中，该文件只有根用户 root 可读，因而大大提高了安全性。shadow 文件 是前面介绍的 passwd 文件的补充，包括用户、被加密的密码和其他 passwd 不能包括的信 息，如用户的有效期限等。在 shadow 文件中，每个用户对应一行，并且用冒号（:）分成 9 个部分，如下所示：

第 5 章 RHEL 5 系统管理 247

令），从 1970 年 1 月 1 日至口令最近一次被修改的天数为 14552 天，口令可随时修改，口