FreeBSD连载12：用户管理-增加用户

FreeBSD连载12：用户管理-增加用户内容简介：【FreeBSD教程】用户治理 为了使用多用户的FreeBSD操作系统，必须是系统的登记用户。用户信息保存在/etc目录下passwd 文件中，在这个文件中定义的一个FreeBSD用户应具有以下属性： 用户名（Username）：在系

　　【FreeBSD教程】用户治理

　　为了使用多用户的FreeBSD操作系统，必须是系统的登记用户。用户信息保存在/etc目录下passwd 文件中，在这个文件中定义的一个FreeBSD用户应具有以下属性：

　　用户名（Username）：在系统中使用这个用户名来标识用户，每个用户名不超过8个字符，且是大小写敏感的。习惯上用户名只使用小写字母，通常根据用户真实名字的缩写来选择合适的用户名。

　　用户标识号（User ID）：由于计算机中处理数字比处理字符串更轻易，因而使用数字方式的用户标识号来区分不同用户更为适合。事实上Unix系统就是使用唯一的用户标识号来区分用户的，在某些特定目的下，可以存在多个有不同用户名、但用户标识号相同的用户，这表示这些不同用户名的用户实际上是同一个用户。

　　口令（password）：系统用它来验证用户是否合法。超级用户root可以使用系统程序 passwd来更改每个用户的口令，用户也可以使用passwd来更改自己的口令。较老的Unix系统中直接在 passwd文件中保存口令的密文，由于passwd文件是系统中的每个用户都可以读取的，只通过加密来保证口令的安全性。然而现代计算机的发展使得情形发生了变化，高速计算能力使得通过猜测的方式来破译口令成为可能。因此现在Unix中口令均不再直接保存在passwd文件中了，而passwd文件中的口令域使用一个 “*” 来代替。FreeBSD使用 /etc/master.passwd作为真正的口令文件，保存包括个人口令在内的数据，但这个文件不能被普通用户读取。

　　命令解释程序（shell）：用户登录后启动这个程序来接收用户的输入并执行输入相应命令，标准的shell有sh和csh，更复杂易用的shell有bash和tcsh等，但它们不是基本系统的一部分，必须额外安装。shell程序是一个标准的Unix程序，但系统在/etc/shells文件中定义了一些标准shell的名字，很多应用程序检查这个文件中内容和用户的shell来判定这个用户是普通用户，还是用于特定目的而创建的用户。

　　个人目录（home directory）：由于FreeBSD是多用户系统，每个用户都要有自己的独立使用环境，不同用户的文件不能相互交叉存放，因此Unix中为每个用户配置了自己的个人目录，用户的文件都放置在各自的目录下，从而互不干扰。习惯上FreeBSD下用户的个人目录位于/home目录下，使用用户名作为子目录名，多数shell中使用波浪符号~，来代表该用户的个人目录。

　　组标识号（Group ID）：具有相似属性的多个用户可以被分配到一个组内，每个组都有自己的组名，且以自己的组标识号相区分（组标识号和组的对应关系在/etc/group文件中给出），用户的组标识号保存在passwd文件中。早期的Unix中，每个用户只能属于一个组，而现代Unix中每个用户可以同时属于多个组，除了在passwd文件中指定了其归属的基本组之外，还可以在文件/etc/group中，明确指定一个组包括某个用户，使得该用户能属于多个组。

　　除此之外，用户还有其他属性，例如登录类别，这些信息记录在另一个口令文件：/etc/master.passwd中。

　　增加用户

　　虽然可以使用系统安装程序/stand/sysinstall中的Add User选项来增加用户和组，但熟练的治理员并不喜欢这种全屏幕操作方式。Unix下的习惯做法是使用命令行方式，如使用adduser命令来或pw命令添加用户。

　　adduser命令使用配置文件/etc/adduser.conf来保存添加用户使用的缺省数据，假如没有这个配置文件，第一次执行adduser时会询问缺省设置，以自动生成这个设置文件。这样对于很多基本一致的用户数据就设置了正确的缺省值，以减少输入的工作量。

　　# adduser

　　Use option ``-silent'' if you don't want see all warnings & questions.

　　Check /etc/shells

　　Check /etc/master.passwd

　　Check /etc/group

　　Enter your default shell: bash csh date no sh [sh]:

　　Your default shell is: sh -> /bin/sh

　　Enter your default HOME partition: [/home]:

　　Copy dotfiles from: /usr/share/skel no [/usr/share/skel]:

　　Send message from file: /etc/adduser.message no

　　[/etc/adduser.message]:

　　Use passwords (y/n) [y]:

　　Ok, let's go.

　　在前面的过程中生成了配置文件之后，还可以使用编辑器来修改它的内容以更改adduser的配置。虽然生成了配置文件，但每次启动adduser还会询问这些缺省参数是否需要更改，使得操作不太简便。为了让adduser直接进入用户数据输入状态，可以使用 “adduser -quiet” 减少提示信息，-quiet的缩写方式为-q， -silent和-s参数也有同样的效果。更一劳永逸的方式是直接修改adduser.conf文件，将其中的 verbose参数改为0，表示尽量减少提示。这个参数的缺省值为1，将进行设置缺省值的提示，而设置为2能提供更多的配置参数。

　　# adduser -s

　　Use option ``-verbose'' if you want see more warnings & questions

　　or try to repair bugs.

　　Enter username [a-z0-9_-]: user22

　　Enter full name []:

　　Enter shell bash csh date no sh [sh]:

　　Enter home directory (full path) [/home/user22]:

　　Uid [1007]:

　　Enter login class: default []:

　　Login group user22 [user22]:

　　Login group is ``user22''. Invite user22 into othergroups: guest no

　　[no]:

　　Enter password []:

　　Use an empty password? (y/n) [y]:

　　Name: user22

　　Password: ****

　　Fullname: user22

　　Uid: 1007

　　Gid: 1007 (user22)

　　Class:

　　Groups: user22

　　HOME: /home/user22

　　Shell: /bin/sh

　　OK? (y/n) [y]:

　　Added user ``user22''

　　Send message to ``user22'' and: no root second_mail_address

　　[no]:

　　your account ``user22'' was created.

　　Have fun!

　　See also chpass(1), finger(1), passwd(1)

　　Add anything to default message (y/n) [n]:

　　Send message (y/n) [y]:

　　Add another user? (y/n) [y]:n

　　因此可以使用-s参数使adduser直接进入增加用户的操作步骤，这将询问增加用户的必要数据，包括用户名、口令等数据。adduser将使用adduser.conf中的一些内容作为缺省提示，通常有提示的步骤可以直接利用缺省提示进行操作。

　　比adduser命令功能更复杂的命令为pw，治理员能使用它来完成各种复杂的用户治理任务，包括增加、删除用户，以及修改用户的各项参数设置。

　　另一种更直接的治理用户的方式是直接编辑口令文件的内容。这是Unix早期常见的做法，但随着Unix的发展，当前的Unix使用shadow的方法保存加密口令数据，用户数据不仅保存在passwd文件中，而真实的口令等内容被系统保存在另一个口令文件中，必须同时修改这两个口令文件，使其保持一致才可以。因此不能直接使用vi等编辑器来编辑一个/etc/passwd文件，而应该使用系统提供的vipw命令修改这口令文件，并同时写入两个文件。出于安全的考虑，vipw将使用一个内部编辑器（与vi相同）编辑master.passwd文件，保存时同步这两个口令文件。事实上master.passwd文件才是真正的口令文件，单独改变/etc/passwd文件，对用户数据没有影响。

　　由于系统中会反复读取用户口令，而在普通文本形式的passwd文件中查找用户的速度与用户数量是一种线性关系，当用户数量一多，查找效率就急剧下降。而数据库的形式更适合这些经常发生的查找任务，因为数据库将自动维护数据的索引，这些索引可以用来提高查找效率。FreeBSD中提供了一种简单的的标准数据库文件格式，口令文件可以使用这种 db数据格式来提高性能。因此口令文件有对应的数据库形式：/etc/pwd.db和/etc/spwd.db，用来获得用户信息的系统调用事实上首先查询这两个数据库文件，而由系统来自动维护这两个数据库文件与前两个passwd文件同步。系统治理者可以使用pwd_mkdb来从文本形式的口令文件来生成数据库文件。通常，普通文本形式的passwd 文件只适合于有几百帐号的系统，而db数据库形式适合一万以上帐号的系统。

　　在其他Unix系统中，第二个口令文件的名字与bsd系统使用的文件名不同，大部分Unix System V 系统使用/etc/shadow文件。使用不同的名字只是习惯的问题，文件格式都是passwd文件格式。因此假如要求兼容，可以为/etc/master.passwd建立一个叫shadow的符号连接。

　　组能帮助权限的分配，与治理用户类似，治理组也可以通过sysinstall来完成，或直接改动/etc/group 文件。用户除了属于passwd文件中定义的组之外，还可以被邀请进入其他组中。adduser添加用户时会询问是否将用户加入其他组，假如在用户生成之后在将用户加入其他组，就需要直接改动/etc/group文件。例如 group文件中有这样一行：

　　wheel:*:0:root,admin

　　admin:*:100:admin

　　这表示用户admin不但属于自己在passwd中规定的组，还属于wheel和admin组。可以使用groups 命令来获得用户的属组列表。