一、了解Solaris 10 用户配置文件

1 、了解标准用户

表-1 列出了系统在安装过程中创建的标准用户（其中所列内容与/etc/passwd文件的描述是一致的）。表中的组id号是用户所在的首要组的代号。这是solaris安装过程中自动设置的。

表-1 Solaris 系统标准用户

用户名
用户id
用户组id
用户主目录
shell 类型

root
0
0
/root
/sbin/sh

bin
2
2
/usr/bin


daemon
1
1
/


adm
4
4
/var/adm


sys
3
3
/


lp
71
8
/usr/spool/lp


uucp
5
5
/usr/lib/uucp


nuucp
9
9
/var/spool/uucppublic


svctag
95
12
/


webservd
80
80
/


smmsp
25
25



Gdm
50
50
/


listen
37
4
/usr/net/nls


postgres:
90
90
/
/usr/bin/pfksh

nobody
60001
60001
/

 

2 了解标准用户组

表-2列出了系统安装过程中创建的标准用户组（其中就是/etc/group文件所描述的内容）。

组名称
组ID
用户组成员

root
0
root

other
1
root

bin
2
root,bin,daemon

sys
3
root,bin,adm

adm
4
root,daemon

tty
7


nuucp
9
root

lp
8
daemon,lp

staff
10


daemon
12


uucp
14
uucp

nogroup
65534


smmsp
25


noaccess
60002


sysadmin
14


webservd
80


nobody
60001


postgres
90


gdm
50

 

3了解solaris 10 用户、用户组配置文件

● /etc/passwd

与用户相关的系统配置文件主要有/etc/passwd 和/etc/shadow，其中/etc/shadow是用户资讯的加密文件，比如用户的密码口令的加密保存等；/etc/passwd 和/etc/shadow 文件是互补的。/etc/passwd 的内容简介：

在/etc/passwd 中，每一行都表示的是一个用户的信息；一行有7个段位；每个段位用:号分割，图-1是我的系统中的/etc/passwd 的行；

第一字段：用户名（也被称为登录名）；在上面的例子中，我们看到用户名是 cjh；

第二字段：口令；在例子中我们看到的是一个x，其实密码已被映射到/etc/shadow 文件中；

第三字段：UID ，用户ID，101；

第四字段：GID，组ID，1；

第五字段：用户名全称，这是可选的；

第六字段：用户的家目录所在位置；cjh这个用户是/home/cjh ；

第七字段：用户所用SHELL 的类型，cjh是 bash ；所以设置为/bin/sh ；

● /etc/shadow

/etc/shadow文件是/etc/passwd 的影子文件，这个文件并不由/etc/passwd 而产生的，这两个文件是应该是对应互补的；shadow内容包括用户及被加密的密码以及其它/etc/passwd 不能包括的信息，比如用户的有效期限等；这个文件只有root权限可以读取和操作，权限如下：

# ls -l /etc/shadow

-r-------- 1 root root 1256 08-08 05:01 /etc/shadow

/etc/shadow 的权限不能随便改为其它用户可读，这样做是危险的。如果您发现这个文件的权限变成了其它用户组或用户可读了，要进行检查，以防系统安全问题的发生。

/etc/shadow 的内容分析；

/etc/shadow 文件的内容包括9个段位，每个段位之间用:号分割；我们以如图-2的例子说明；

图 -2 /etc/shadow文件

第一字段：用户名（也被称为登录名），在/etc/shadow中，用户名和/etc/passwd 是相同的，这样就把passwd 和shadow中用的用户记录联系在一起；这个字段是非空的；
第二字段：密码（已被加密），这个字段是非空的；
第三字段：上次修改口令的时间；这个时间是从1970年01月01日算起到最近一次修改口令的时间间隔（天数），您可以通过passwd 来修改用户的密码，然后查看/etc/shadow中此字段的变化；
第四字段：两次修改口令间隔最少的天数；如果这个字段的值为空，帐号永久可用；

第五字段：两次修改口令间隔最多的天数；如果这个字段的值为空，帐号永久可用；

第六字段：提前多少天警告用户口令将过期；如果这个字段的值为空，帐号永久可用；

第七字段：在口令过期之后多少天禁用此用户；如果这个字段的值为空，帐号永久可用；

第八字段：用户过期日期；此字段指定了用户作废的天数（从1970年的1月1日开始的天数），如果这个字段的值为空，帐号永久可用；
第九字段：保留字段，目前为空，以备将来发展之用；

● /etc/group 简介

/etc/group 文件是用户组的配置文件，内容包括用户和用户组，并且能显示出用户是归属哪个用户组或哪几个用户组，因为一个用户可以归属一个或多个不同的用户组；同一用户组的用户之间具有相似的特征。比如我们把某一用户加入到root用户组，那么这个用户就可以浏览root用户家目录的文件，如果root用户把某个文件的读写执行权限开放，root用户组的所有用户都可以修改此文件，如果是可执行的文件（比如脚本），root用户组的用户也是可以执行的；用户组的特性在系统管理中为系统管理员提供了极大的方便，但安全性也是值得关注的，如某个用户下有对系统管理有最重要的内容，最好让用户拥有独立的用户组，或者是把用户下的文件的权限设置为完全私有；另外root用户组一般不要轻易把普通用户加入进去，

● 理解/etc/group 内容

/etc/group 的内容包括用户组（Group）、用户组口令、GID及该用户组所包含的用户（User），每个用户组一条记录；格式如下：

group_name:passwd:GID:user_list

在/etc/group 中的每条记录分四个字段：

第一字段：用户组名称；

第二字段：用户组密码；

第三字段：GID

第四字段：用户列表，每个用户之间用,号分割；本字段可以为空；如果字段为空表示用户组为GID的用户名；

举个例子，如图-3 。

图-3 /etc/group 内容

注：用户组root，x是密码段，表示没有设置密码，GID是0,root用户组下包括root。

● /etc/skel 目录；

/etc/skel目录一般是存放用户启动文件的目录，这个目录是由root权限控制，当我们添加用户时，这个目录下的文件自动复制到新添加的用户的家目录下；/etc/skel 目录下的文件都是隐藏文件，也就是类似.file格式的；我们可通过修改、添加、删除/etc/skel目录下的文件，来为用户提供一个统一、标准的、默认的用户环境；/etc/skel 目录下的文件，用useradd 和adduser 命令添加用户（user）时，系统自动复制到新添加用户（user）的家目录下；如果我们通过修改 /etc/passwd 来添加用户时，我们可以自己创建用户的家目录，然后把/etc/skel 下的文件复制到用户的家目录下，然后要用chown 来改变新用户家目录的属主；
 

二、Solaris 用户、用户组命令列表

Solaris提供了一个图形配置工具：SMC。但是Solaris管理员还是应当使用专用命令完成Solaris用户和用户组的管理工作。Solaris用户和用户组管理命令和SMCr相比具有许多优点：

● 命令更加灵活，使用命令通常比使用SMC具有更多选项。

● 命令运行更快，不必等待Solaris处理图形。

● SMC工具是另一层软件，也是另一个出错源。

表-3是 Solaris 用户、用户组管理命令列表

命令名称
功能描述

useradd
useradd命令用来建立用户账号和创建用户的起始目录。

userdel
userdel命令用来删除一个用户。

usermod
usermod命令修改已有用户的信息，即更改用户的有关属性，如用户id号、主目录、用户组、登录shell等。

passwd
passwd命令用来修改账户的登录口令。

groupadd
groupadd命令用来添加新组到系统中。

groupdel

groupdel命令用来删除组账户。

groupmod
groupmod命令用来修改用户组的属性。

vipw
vipw命令可以直接编辑/etc/passwd文件。它允许超级用户编辑系统口令文件/etc/passwd。默认编辑器是vi，在对/etc/passwd文件编辑时首先锁定文件，编辑完成后再解锁。这样保障文件的一致性。vipw命令在功能上等同于命令“vi /etc/passwd”，但是安全性更高。

vigr
vigr命令可以直接编辑/etc/group文件。vigr命令通常直接使用。只有一个选项“-v”显示版本号。它通常允许root用户编辑系统口令文件/etc/group。默认编辑器是vi，在对/etc/group文件编辑时首先锁定文件，编辑完成后再解锁。这样保障文件的一致性。vigr命令在功能上等同于命令“vi /etc/group”，但是安全性更高。

newgrp
newgrp命令用来转换用户的当前组到指定的组账户。用户必须属于该组才能执行。

groups
groups命令显示指定用户所属的组，如果没有指定则显示当前用户所属的组。

who
who命令用来显示系统中有哪些用户登录系统及其修改信息。

pwck
pwck命令用于检测用户账号信息的完整性。

grpck
grpck命令用于检测用户组账号信息的完整性。

id
id命令用来显示用户当前的gid、uid、用户所属的组列表。

su
su命令用来让用户暂时变更登入的身份。