系統數據文件和信息之口令文件UNIX系統的口令文件(POSIX.1則將其稱為用戶數據庫)包含了表6-1中所示的各字段�����,這些字段包含在<pwd.h>中定義的passwd結構中。
注意�����,POSIX.1只指定了passwd結構包含的10個字段中的5個���。大多數平臺至少支持其中7個字段���。
表6-1 /etc/passwd文件中的字段
由于歷史原因�����,口令文件存儲在/etc/passwd中�,而且是一個ASCII文件�����。每一行包含6-1中所示的各字段���,字段之間用冒號分隔。例如�����,在linux上���,該文件中可能有下列四行:
root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
關于這些登錄項請注意下列各點:
- 通常有一個用戶名為root的登錄項,其用戶ID是0(超級用戶)�����。
- 加密口令字段包含了一個占位符。在早期的UNIX系統版本中�,該字段存放加密口令。將加密口令存放在一個人人可讀的文件中構成了一個安全性漏洞�,所以現在將加密口令存放在另一個位置�����。
- 口令文件項中某些字段可能是空�����。如果加密口令字段為空�����,這通常就意味著該用戶沒有口令(不推薦這樣做)�。注釋字段為空,不產生任何影響�。
- shell字段包含了一個可執行程序名,它被用作該用戶的登錄shell���。若該字段為空�����,則取系統默認值�,通常是/bin/sh�。注意���,若某登錄項的該字段為/dev/null�,顯然���,這是一個設備���,不能執行�����,因此將其用于此處的目的是�����,阻止任何人以該用戶的名義登錄到該系統。
- 為了阻止一個特定用戶登錄系統���,除使用/dev/null之外�,還有若干種替代方法���。一種常見的方法是�,將/bin/false用作登錄shell�。它簡單地以不成功(非0)狀態終止���,該shell將此種終止狀態判斷為假�。另一種常見的方法是���,用/bin/ture禁止一個賬戶���。它所作的一切是以成功(0)狀態終止。某些系統提供nologin命令���,它打印可自定義的出錯信息�����,然后以非0狀態終止�����。
- 使用nobody用戶名的目的是�����,使任何人都可登錄至系統�,但其用戶ID(65534)和組ID(65534)不提供任何特權�����。該用戶ID和組ID只能訪問人人皆可讀���、寫的文件(假定用戶ID65534和組ID65534并不擁有任何文件,而實際情況就應如此)���。
- 提供finger(1)命令的某些UNIX系統支持注釋字段中的附加信息�。其中�,各部分之間都用逗號分隔:用戶姓名、辦公室地點�����、辦公室電話號碼以及家庭電話號碼等。另外�,如果注釋字段中的用戶姓名是一個&,則將其替換為登錄名�。
即使你所使用的系統并不支持finger命令�����,這些信息仍可存放在注釋字段中�����,該字段只是一個注釋���,并不由系統使用程序解釋�。
某些系統提供了vipw命令�����,允許管理員使用該命令編輯口令文件���。vipw命令串行化對口令文件所作的更改�����,并且確保所作的更改與其他相關文件保持一致���。系統也常常經由圖形用戶界面(GUI)提供類似的功能�����。
POSIX.1只定義了兩個獲取口令文件項的函數�����。在給出用戶登錄名或數值用戶ID后�����,這兩個函數就能查詢相關項���。
#include <pwd.h>struct passwd *getpwuid( uid_t uid );struct passwd *getpwnam( const char *name );兩個函數返回值:若成功則返回指針�,若出錯則返回NULL
getpwuid函數由ls(1)程序使用�,它將i節點中的數值用戶ID映射為用戶登錄名�����。在鍵入登錄名時,getpwnam函數由login(1)程序使用�����。
這兩個函數都返回一個指向passwd結構的指針���,該結構已由這兩個函數在執行時填入信息。passwd結構通常是相關函數內的靜態變量�����,只要調用相關函數�,其內容就會被重寫�。
如果要查看的只是指定的某個登錄名或用戶ID所對應的passwd記錄項,那么這兩個函數能滿足要求�,但是也有些程序要查看整個口令文件。下列三個函數則可用于此種目的�。
#include <pwd.h>struct passwd *getpwent( void );返回值:若成功則返回指針,若出錯或到達文件結尾則返回NULLvoid setpwent( void );void endpwent( void );
調用getpwent時�,它返回口令文件中的下一個記錄項。如果上面所述的兩個POSIX.1函數一樣���,它返回一個由它填寫好的passwd結構的指針�。每次調用此函數時都重寫該結構�。在第一次調用該函數時,它打開它所使用的各個文件���。在使用本函數時�����,對口令文件中各個記錄項的安排順序并無要求。某些系統采用散列算法對/etc/passwd文件中的各項排序�。
函數setpwent反繞它所使用的文件(rewinds to the beginning of the passWord database)�����,endpwent則關閉這些文件(close the password database after all PRocessing has been performed)���。在使用getpwent查看完口令文件后���,一定要調用endpwent關閉這些文件。getpwent知道什么時間它應當打開它所使用的文件(第一次被調用時)���,但是它并不知道何時關閉這些文件���。
程序清單6-1 getpwnam函數的一個實現
[root@localhost apue]# cat prog6-1.c#include <pwd.h>#include <stddef.h>#include <string.h>struct passwd *getpwnam( const char *name ){ struct passwd *ptr; setpwent(); while((ptr = getpwent()) != NULL) if(strcmp(name, ptr->pw_name) == 0) break; /* found a match */ endpwent(); return(ptr); /* ptr is NULL if no match found */}在程序開始處調用setpwent是自我保護性的措施,以便在調用者在此之前已經調用getpwent打開了有關文件情況下�,反繞有關文件使它們定位到文件開始處。getpwent和getpwuid調用完成后不應使有關文件仍處于打開狀態�,所以應調用endpwent關閉它們。
本篇博文內容摘自《UNIX環境高級編程》(第二版)�。關于本書的更多內容可參考:http://www.apuebook.com/。
