Linux 帳號管理

⇒

帳號管理

1.0 帳號管理
了解帳號相關設定檔
/etc/passwd
/etc/shadow
passwd 變更密碼
useradd 新增帳號
useradel 刪除帳號
vipw 修改 /etc/passwd
usermod 修改帳號
1.1 個人帳號修改
chfn 修改 finger 指令顯示資訊
chsh 修改登入 Shell
finger 查詢帳號
1.2 其他帳號相關指令
id 顯示帳號 ID
who/w 顯示登入者資訊
lastlog 帳號登錄查詢

1.0 帳號管理
大部份的使用者應該在安裝 Linux 時已透過圖形操作界面建立過帳號,但透文字界面來管理帳號更能作細微的教調,如設定密碼的有效日期或帳號的家目錄位置和或預設的 shell 等動作更可順便了解其原理。

Linux 是多人多工的作業系統,可同時多個使用者和群組使用,故系統管理員管理和維護這些使用者帳號是一基本和必要的工作,更何況有許多 Linux Server 可能不安裝圖形操作界面,只能透過命令方式管理。

了解帳號相關設定檔
由於帳號管理是屬於系統管理員的工作,記得要用〝root〞帳號登入才可完成大部分的操作,且設定帳號大多是維護和變更二個重要的帳號設定檔〝/etc/passwd〞和〝/etc/shadow〞等,故有必要先了解這二個和帳號密切相關的設定檔的定義。

/etc/passwd
設定檔〝/etc/passwd〞望文生義應該記錄帳號登入密碼的地方,古早之前的確是這樣。但〝/etc/passwd〞的權限是〝rw- r-- r--〞每人都能讀取,這麼重要的檔案就這麼大剌剌的攤在陽光下豈不是很容易被駭? 所以後來的演進〝此地無銀三百兩〞這個重的檔案不能再曝光而需找個影子藏起來 ,其影子檔就叫〝/etc/shadow〞。

那〝/etc/passwd〞不記載密碼了那又記載什麼呢?我們來看一下 ,因檔案〝/etc/passwd〞每一列的格式是固定的,故這只用 head 和 tail 來讀取頭尾觀察,如下:

$ head -n3 /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
$ tail -n3 /etc/passwd
gdm:x:42:42::/var/gdm:/sbin/nologin
aaa:x:500:500::/home/aaa:/bin/bash
bbb:x:501:501::/home/bbb:/bin/bash

〝/etc/passwd〞內容每一列以符號〝:〞間隔,共記錄 7 個資訊格式為

User Name:	Password:	UID:	GID:	Remark:	Home Directory:	Shell
↑	↑	↑	↑	↑	↑	↑
1	2	3	4	5	6	7

詳細內容如下:

User Name (帳號):
此欄位記錄帳號的戶名,一般 Superuser 的帳號排第一列,再下來為〝系統帳號〞(系統帳號為預設的,主要執行系統的一些服務和指令,如 sync 或 shutdown 等),最後為使用者帳號(此為故意用識別度高的帳號如〝aaa〞,〝bbb〞)。
Password (密碼):
密碼怎會只是〝x〞?太古時期的 UNIX 密碼原放此,但太容易被看到故後來發展出〝Shadow Suite〞等工具可用指令 pwconv (password convert to shadow password) 將密碼轉換到其影子檔〝/etc/shadow〞而此欄為相容而保留但只顯示〝x〞。
UID :
使用者 ID (User ID), UID 一般的規則為:
- ID=0:
  Superuser 的 ID 。
- ID=0~499
- ID > 500:
每一個帳號都有一對應的UID(雖可重複但不建議),一般來說 UID 愈小優先權愈高。
GID:
群組 ID( Group ID),規則類似 UID,只是由 User 改 Group。
Remark (註解):
如一個公司可能有很多人叫〝michael〞,這欄可輸入全名如〝michae lJordan〞,〝michael jackson〞等來區別, 如不使用可空白。
Home directory 家目錄:
定義使用者的家目錄(一定要用絕對路徑來表示)。
Shell:
使用者預設的 Shell,因為 UNIX/Linux 的 Shell 有許多種,所以我們可依不同使用者的需求來設定該使用者登入後使用的 Shell。

故以帳號〝aaa〞為例 ,檔案〝/etc/passwd〞記錄的〝aaa:x:500:500::/home/aaa:/bin/bash〞由左到右為帳號〝aaa〞、密碼欄=〝x〞表示密碼轉換到其影子檔〝/etc/shadow〞、UID 和 GID=500、家目錄為〝h/ome/aaa〞、註解暫無、登入的 Shell 為〝/bin/bash〞。

/etc/shadow
〝/etc/shadow〞為〝/etc/passwd〞帳號密碼欄的影子檔,主要的密碼資訊都記錄在此檔,我們來查看其內容:

# ls -l /etc/passwd /etc/shadow ←看此兩檔的權限有什不同
-rw-r--r-- 1 root root 1736 2011-11-03 01:47 /etc/passwd
-r-------- 1 root root 1147 2011-11-03 01:47 /etc/shadow
↑擁有者和群組皆為〝root〞,且只有〝root〞可讀
# head -n3 /etc/shadow ←記得用〝root〞登入才可讀
root:$1$iTcAPoAy$a28ghr3y112Dxtp1AGpzF0:15280:0:99999:7:::
bin:*:15280:0:99999:7:::
daemon:*:15280:0:99999:7:::
# tail -n3 /etc/shadow
gdm:!!:15280:0:99999:7:::
aaa:$1$01Mc6F6n$09JiVXW1PrT5JANipdaCr/:15280:0:99999:7:::
bbb:$1$oXtIbeRn$u92TjWY.Okkr8SQY2kthr1:15280:0:99999:7:::

觀察得知〝/etc/shadow〞一樣以符號〝:〞間隔,但共記錄 9 個密碼資訊,格式為

User Name:	Password:	Last:	May:	Must:	Warn:	Expire:	Disable:	Reserved:
↑	↑	↑	↑	↑	↑	↑	↑	↑
1	2	3	4	5	6	7	8	9

詳細內容如下:

User Name (帳號):
此帳號和〝/etc/passwd〞是相同的。
Password (密碼):
帳號的密碼真正放到此;但也不要高興太早,密碼用 ASCII〝明碼編暗碼〞,除非是解碼高手不然要還原 user 真正的帳號密碼也沒那麼容易。
如此欄空白,登入時不用輸入密碼;如此欄前加〝!〞或〝!!〞,表示鎖住帳號(此帳號不能登入)。
Last (密碼更動的時間):
此欄記錄帳號密碼最後一次被更動的時間,但並非直接記錄日期,因 UNIX/Linux 大都以〝西元 1970 年 1 月 1 日 00:00〞當作〝UNIX 時間元年〞(UNIX Epoch Time),故例中的〝aaa〞帳號的〝15280〞表示距 UNIX 時間元年過了 15280 天即西元 2011 年 11 月03日 [註1.0]。
May (密碼不可修改天數):
此欄表示更改了或建立密碼後一定要間隔一定天數才可再變更密碼;例如公司來了一個新人,但先試用一個月。如不希望試用期間此員工一直自行改密碼,此欄可填〝30〞,如為〝0〞表示隨時可改密碼。
Must (密碼的有效天數):
此欄有點類似如申請了一張銀行的金融卡,會要求一定時間內變更密碼,否則就會失效。如此欄為九個五的〝99999〞,表示已是〝九五至尊〞了,密碼永久有效。
(如有設密碼有效天數,此 user 一登入系統會發出〝your password will expire in N day〞的提醒。)
Warn (密碼快失效前發出警告訊息):
如第 5 項有設密碼的有效天數,則此欄記錄密碼快失效前 N 天系統會向使用者發出密碼快失效的警告訊息。
Expire (過期容許時間):
如第 5 項有設密碼的有效天數,則此欄容許過了有效 M 天內還可使用或使用者可自行變更其密碼使之合法 ,如不使用則保持空白。
此欄常用於如某員工剛好在密碼的有效天數前剛好出差或生病,回來公司就不能登入了,如有了此欄可減少網管的負擔。
Disable (失效時間):
此項的設定和第 3 項一樣是用〝UNIX 時間元年〞相距的天數,常用於有期限的約聘人員,時間一到帳號就失效,如不使用則保持空白。
例如某員工約聘到 2012 年 12 月 30 日,那相距 UNIX 時間元年的天數要怎麼算呢?(可參考 [註 1.0]) 輸入 date -d '2012/12/30' +%s 會得到相距 UNIX 時間元年的秒數,再除以 86400 (一天的秒數)四捨五入取其整數就是答案了。[註 1.1]
Reserved (保留):
目前保留沒用。

^ back on top ^

passwd 變更密碼
變更密碼的指令就是 passwd(password); 如要變更自己的密碼,只要簡單的用 passwd 即可(變更自己的密碼可省略帳號),如下例。

例:(以一般帳號登入測試,變更自己的帳號密碼)

[aaa@localhost ~]$ passwd ←變更自己的密碼
Changing password for user aaa.
Changing password for aaa.
(current) UNIX password: ←輸入目前的密碼
New UNIX password:←輸入新的密碼
Retype new UNIX password:←再輸入新的密碼(怕打錯字,故會要求輸入兩次)
Passwd: all authenticatin tokens updated successfully.

passwd 具有特殊權限之 SUID ,故一般使用者執行時會暫時提權至 root 而有權去改變〝/etc/shadow〞。(相關指令如 chfn / chsh 也具相同的特殊權限)。雖然以 Superuser 登入後自行修改〝/etc/shadow〞也可完成 passwd 指令的功能,但有 9 個欄位易出錯,用 passwd 來幫你改就好了。

指令 passwd 大部份或進階用法只對 Superuser 才有效,用法如下:

語法:passwd [-otpiton][--option] [USER_NAME]
指令名稱/功能/命令使用者	選項	功能	註
passwd/ (password)變更密碼/ Any	-d	刪除密碼,同把〝/etc/shadow〞中把第 5 欄刪除(留空白)	只適用於 superuser
	-l(小寫 L)	鎖住帳號 (〝/etc/shadow〞中的密碼欄前加〝!〞或〝!!〞)	只適用於 superuser
	-u	解除已鎖住的帳號(拿掉〝/etc/shadow〞密碼欄前加的〝!〞或〝!!〞)	只適用於 superuser
	-f	如沒設密碼但用過 -l 鎖住帳號此時如要解除鎖住的帳號,要配合選項 -u 用 -fu 強迫解除鎖住的帳號	只適用於 superuser
	-n	設密碼不可修改天數,同自行修改〝/etc/shadow〞中的第 4 欄	只適用於 superuser
	-x	設密碼的有效天數,同自行修改〝/etc/shadow〞中的第 5 欄	只適用於 superuser
	-w	設密碼快失效前發出警告的天數,同自行修改〝/etc/shadow〞中的第 6 欄	只適用於 superuser
	-i	設密碼過期容許時間,同自行修改〝/etc/shadow〞中的第 7 欄	只適用於 superuser
	-S	輸出密碼的簡易資訊	只適用於 superuser
	--stdin	用輸入重定向來建立密碼	只適用於 superuser
	--help	指令自帶說明

一般使用者用 passwd 也只能改自己密碼這一功能,如要改別人的密碼,鎖住帳號,設密碼的有效天數等進階管理只有 Superuser 才行,其用法為 passwd 帳號。

如某人留職停薪, Superuser 可用 vipw 在〝/etc/shadow〞的密碼欄(第二欄)的開頭加上〝!〞或〝!!〞代表此帳號暫時鎖住(不能再登入),當復職時再把〝!〞拿掉即可。但建議用指令 passwd -l 和 passwd -u 來修改即可免去自行編輯〝/etc/shadow〞的麻煩。

例:(進階選項,只對 Superuser 有效)

# useradd guest; passwd –d guest ←建立一個不用登入密碼的公用臨時帳號〝guset〞
# passwd aaa ←變更帳號〝aaa〞的密碼
# passwd -l aaa ←鎖住〝aaa〞帳號(同〝/etc/shadow〞的密碼欄(第二欄)的開頭加上〝!〞或〝!!〞)
# passwd -u aaa ←解除〝aaa〞鎖住的帳號(密碼欄開頭的〝!〞或〝!!〞拿掉)
# passwd -S bbb ←輸出帳號〝bbb〞的密碼簡易資訊
# passwd -x 100 bbb ←設定帳號〝bbb〞有效天數為 100天(同修改〝/etc/shadow〞中的第 5 欄為 100)

另外如系統管理員一次要建立一堆帳號或要更改一堆密碼可用選項〝--stdin〞(時常用於 Scrip Langauge) 用輸入重定向和管線來批次大量建立/更改密碼,如下範例。

例:

# echo "123abc" | passwd --stdin aaa ←此時帳號〝aaa〞密碼為〝123abc〞

^ back on top ^

useradd 新增帳號
新增帳號指令 useradd 只有 Superuser 可執行,useradd 直接接帳號名稱就可增一新帳號,如沒其他的選項會伴隨的建立和帳號同名的群組。

例:

# useradd mandino ←新增帳號〝mandino〞
# cat /etc/passwd | grep '/home/mandino' | cut -d":" -f1 ←驗證一下〝/etc/passwd〞看有沒加入〝mandino〞帳號
mandino
# passwd mandino ←不要忘記,要馬上為新增的帳號設密碼

新增了一帳號後還沒用 passwd 設密碼之前如觀察〝/etc/passwd〞會發現其密碼欄(第二欄)為〝!!〞表示其帳號是鎖住的(因空有帳號還沒密碼故暫時先鎖住),故一般第二個動作會用 passwd 為此新的帳號設密碼,也可用 passwd -uf USER_NAME 強迫解除已鎖住的帳號,但因沒設密碼,所以此帳號不用密碼就可登入,雖可請此帳號的使用者登入後自行用 passwd 設自己喜歡的密碼,但不建議如此。

指令 useradd 帳號新增後相關的資訊記錄在〝/etc/shadow〞和〝/etc/passwd〞,進階用法如下:

語法:useradd [-otpiton][--option] [USER_NAME]
指令名稱/功能//命令使用者	選項	功能
useradd/ (user added)新增帳號/ Superuser	-c	增加註解,同自行修改〝/etc/passwd〞中的第 5 欄
	-d PATH	指定家目錄(PATH 為絕對路徑),同自行修改〝/etc/passwd〞中的第 6 欄
	-D	顯示或變更預設帳號的值,可接的項目有 [-b]家目錄 [-e]密碼失效目期 (格式為 YYYY-MM-DD) [-f]密碼過期容許時間 [-g]預設群組 [-G]附加群組 (supplementary groups) [-s]設登入時預設的 shell
	-e	設密碼失效日期,同自行修改〝/etc/shadow〞中的第 8 欄
	-f	設密碼過期容許時間,同自行修改〝/etc/shadow〞中的第 7 欄 (如值為〝-1〞則會在〝/etc/shadow〞中的第 7 欄保持空白)
	-g	設預設群組(群組名稱要存在於 /etc/group )
	-G	設附加群組(附加的群組名稱要存在於 /etc/group ),附加群組用法參考群組管理
	-m	自動建立家目錄
	-M	不自動建立家目錄
	-r	建立系統帳號(系統帳號規則為密碼欄不會過期 & 不產生家目錄 & UID 小於 500)
	-s	指定登入時預設的 shell
	--help	指令自帶說明

帳號建立的規則,可用 useradd -D 來查詢和變更。

例:

# useradd -D ←查詢新增帳號的規則
GROUP=100 ←群組 id=100(不過 Fedora 等發行版預設的群組名稱就是帳號名稱,此設定是無作用)
HOME=/home ←家目錄
INACTIVE=-1 ←密碼過期容許時間,值〝-1〞表示〝/etc/shadow〞中的第 7 欄空白
EXPIRE= ←密碼失效目期
SHELL=/bin/bash ←登入時預設的 shell
SKEL=/etc/skel ←新增帳號時要複製到家目錄內的檔案(一般為環境變數設定檔,且為隱藏檔)
CREATE_MAIL_SPOOL=yes ←建立 email 多工緩衝區(會在〝/var/spool/mail〞目錄下產生一對應的檔案)

實際上 useradd -D 是顯示設定檔〝/etc/default/useradd〞的內容,可自行用編輯器來變更建立一新帳號的規則,但還是建議用 useradd -D [-option] 方式來變更,比較不會出錯。

例如暑假期間公司來了一堆工讀生,都只上班到 9月 1 日,我可如下用 useradd -D [-option] 來更改設定檔〝/etc/default/useradd〞而改變新帳號的建立規則。

例:

# useradd -D -b /home -e 2016-09-01

如上改變了設定檔〝/etc/default/useradd〞,往後用 useradd 新增帳號會發現〝/etc/shadow〞的失效時間欄(第 8 欄)都自行幫你填好了。

其他例子如下:

# useradd -m -s /bin/csh joe ←指定新增的帳號〝joe〞登入的 Shell 為〝C sehll〞
# useradd -e 2016-10-30 frank ←指定帳號失效時間為〝2016 10 月 30 日〞
# useradd -u 507 phoebe ←指定帳號的 UID=507 (一般不用特別指定 UID)
# useradd -g qa kiwi ←建立帳號〝kiwi〞並指定群組為〝qa〞(群組名稱要已存在〝/etc/group〞)
# useradd -g qa kiwi -G factory ←同上例,但額外指定〝factroy〞為附加群組(附加的群組名稱要已存在〝/etc/group〞)

^ back on top ^

userdel 刪除帳號
和大多數帳號管理指令一樣,可自行編輯〝/etc/shadow〞和〝/etc/passwd〞來把帳號拿掉,但用指令 userdel 較方便和簡單,用法如下:

語法:userdel [-otpiton][--option] [USER_NAME]
指令名稱/功能/命令使用者	選項	功能
userdel/ (user delete)刪除帳號/ Superuser	-r	連同此帳號的家目錄和 email spool 都一並刪除
userdel/ (user delete)刪除帳號/ Superuser	--help	指令自帶說明

例:

# userdel -r john ←連同帳號〝john〞和其家目錄和 email spool 一並刪除

^ back on top ^

vipw 修改 /etc/passwd
修改檔案〝/etc/passwd〞即可針對帳號作個別的設定,故許多 Linux 發行版怕 user 忘了要修改那個檔案,〝好心〞的提供指令 vipw ,此指令是用 vi 來開啟檔案和編輯〝/etc/passwd〞,如果〝/etc/passwd〞異動過更會好人做到底問你要不要順便修改另一檔案〝/etc/shadow〞;vipw 只有 Superuser 才可執行。

因自行編輯〝/etc/passwd〞和〝/etc/shadow〞因欄位太多容易弄錯,(且許多人對〝惡毒的介面〞的 vi 很反感) 建議用接下來介紹的 usermod 來設定比較安全。

usermod 修改帳號
修改帳號指令 usermod 有點類似 useradd 和 passwd 的綜合體,可修改帳號名稱、所屬群組、密碼的有效期限等;當然只有 Superuser 才可執行,用法如下:

語法:usermod [-otpiton][--option] [USER_NAME][NEW USER_NAME OLD_USER_NAME]
指令名稱/功能/命令使用者	選項	功能
usermod/ (user modify)修改帳號/ Superuser	-a	配合 -G 追加附加群組
	-c	修改註解,同自行修改〝/etc/passwd〞中的第 5 欄
	-d PATH	修改家目錄(PATH 為絕對路徑),同自行修改〝/etc/passwd〞中的第 6 欄
	-e	修改密碼失效目期,同自行修改〝/etc/shadow〞中的第 8 欄
	-f	修改密碼過期容許時間,同自行修改〝/etc/shadow〞中的第 7 欄 (如值為〝-1〞表示〝/etc/shadow〞中的第 7 欄空白)
	-g GROUP	修改主群組為 GROUP
	-G GROUP	新加附加群組 GROUP
	-l	(小寫的 L)修改帳號名稱,同自行修改〝/etc/shadow〞和〝/etc/passwd〞中的第 1 欄
	-L	鎖住帳號 (〝/etc/shadow〞中密碼欄前加〝!〞或〝!!〞)
	-s	修改登入時預設的 shell
	-u	修改帳號的 UID
	-U	解除鎖住的帳號
	--help	指令自帶說明

例:(以 root 登入)

# usermod -l micle micheal ←將帳號〝micheal〞改為〝micle〞
# usermod -e 2016-10-30 micle ←修改帳號失效時間為〝2016 10月 30 日〞
# usermod alice -G sales ←為帳號〝alice〞加附加群組〝sales〞(附加群組要先用指令 groupadd 加過其名稱)
# usermod alice -a -G sub_grp ←為帳號〝alice〞再追加一加附加群組〝sub_grp〞

最後一個例子用選項〝-a G〞可加超過一個以上的附加群組。

^ back on top ^

1.1 個人帳號修改
上述介紹過的帳號管理指令,除了 passwd 外都只有 superuser 才可執行,其實一般的使用者也可有限度的更改一些設定,例如可變更自己習慣的 shell,變更全名或查詢帳號等,下列為一般使用者也可執行的帳號管理指令。

chfn 修改 finger 指令顯示資訊
chfn 會影響指令 finger 的顯示,其實際是更改〝/etc/passwd〞的第 5 欄,即註解的部分,其註解以逗號〝,〞分隔依序各為全名、公司名稱、公司電話、家裡電話等。

chfn 其用法如下:

語法:chfn-otpiton [USER_NAME]
指令名稱/功能/命令使用者	選項	功能
chfn/ (change finger information)修改帳號註解/ Any	-f	修改全名
	-o	修改公司名稱
	-p	修改公司電話
	-h	修改家裡電話
	--help	指令自帶說明

大部份發行版只有系統管員才有權用執行此指令 chfn 指令。

例:

# chfn -f "John Doe" -h "123-456-7890" jonn ←依序更帳號〝john〞的全名、家裡電話

chsh 修改登入 Shell
系統管理員幫你建帳號時所預設的 shell 可能並不是你習慣的,此時可用 chsh 自行變更,用法如下:

語法:chsh[-otpiton][--option] [USER_NAME]
指令名稱/功能/命令使用者	選項	功能
chsh/ (change shell)修改登入 Shell/ Any	-s	指定登入的 Shell
	-l	列出可用的 Shell
	--help	指令自帶說明

例:

$ chsh -l ←查詢有那些 shell 可用
/bin/sh
/bin/bash
/sbin/nologin
/bin/zsh
$ chsh -s /bin/zsh ←指定〝Z Shell〞為此帳號以後預設的 Shell(要登出後再登入才會生效)

chsh -s 是直接修改〝/etc/passwd〞中的 Shell 欄(第 7 欄)而 chsh -l 為直接讀取設置案〝/etc/shells〞所列出有效的 Shell。

另外比較特殊的 Shell 為〝sbin/nologin〞,配置此 shell 的帳號不能用於本機登入(不會分配家目錄和登入時載入 shell),主要用在遠端登入和系統帳號。

如系統在維護時不希望有人登入, superuser 可下指令 echo > /etc/nologin 產生此檔案後此時除 root 外其他人皆無法登入。

finger 查詢帳號
指令 finger 會去搜尋帳號並顯示帳號的資訊
(如 CentOS/Redhat/Fedora 沒收錄此工具,以系統管理員執行 yum -y install finger 來安裝)
finger 可搜尋本機或遠端的使用者,並顯示如下資訊:

Login Name (登入帳號)
User Name (全名,其他註解)
Home directory (家目錄)
Shell (登入 shell)
Login status (登入狀態 )
mail status (郵件狀態)
~/.plan (計劃檔)[註 1.0A]。
~/.project(專案檔)
~/.forward (要轉發的 email )
~/.pgpkey (PGP key)

用法如下:

語法:finger [-otpiton] [USER_NAME][@HOST]
指令名稱/功能/命令使用者	選項	功能
finger/ 查詢帳號/ Any	-l	(小寫的 L)此為預設值(沒這選項效果相同)為顯示帳號全名、家目錄、登入 shell、登入狀態、郵件狀態和顯示此帳號家目錄下如下的隱藏檔內容:(有則顯示,沒有這些隱藏檔則不顯示) 〝~/.plan〞[註 1.0A]。〝~/.forward〞〝~/.project〞〝~/.pgpkey〞
	-m	排除搜尋全名
	-p	排除顯示此帳號家目錄下如下隱藏檔內容: 〝~/.plan〞〝~/.project〞〝~/.pgpkey〞
	-s	排除顯示家目錄、登入 shell、郵件狀態
	--help	指令自帶說明

finger 的帳號查詢是不分大小寫的,且搜尋的關鍵字除了登入的帳號外還會搜尋全名(全名中的 1st name), 例如帳號〝aaa〞全名是〝john smith〞,另一帳號〝john〞全名是〝RD. lewis〞,輸入 finger john 此兩個帳號都會列出。

例:

$ finger john ←查詢帳號或全名符合〝john〞的使用者
Login: aaa                              Name: john smith ←全名有〝john〞
Directory: /home/aaa                    Shell: /bin/bash
Office: ABC Tech, 123                   Home Phone: 456
Last login Wed Aug 29 14:55 (CST) on tty2
No mail.
No Plan.

Login: john ←帳號為〝john〞              Name: H.R. lewis
Directory: /home/john                   Shell: /bin/bash
Office: ABC Tech, 789                   Home Phone: 777
Last login Wed Aug 29 14:54 (CST) on tty1
Mail forwarded to aaa@localhost ←如有〝.forward〞檔,會顯示轉信給誰
No mail.
PGP key: ←如有〝~/.pgpkey〞檔會顯示內容
tg3G58yQYCqw
Project: ←如有〝~/.project〞檔會顯示內容
Release Beta2 for HR Dep.
Plan: ←如有〝~/.plan〞檔會顯示內容
clean my vehicle @SUNDAY

如只想查登入者的帳號而不想包含全名,就用 finger -m 來排除。

finger 也可用來查詢遠端的登入者,格式為 finger user@host 或 finger@host 。

例:

$ finger john@abcd.com.tw ←若格式為 finger user@host 時其預設選項為〝-l〞的顯示模式
[abcd.com.tw]
Login Name: john
Directory:/home/john Shell:/bin/sh
On since May 8 08:13:22 on console
No Plan.
$ finger @abcd.com.tw ←當格式為 finger @host 時預設選項為〝-s〞的顯示模式
[abcd.com.tw]
Login Name TTY Idle When
brown Bob Brown console 2d Mar 15 13:19
sunny sunny kao tty00 15: Mar 15 13:01

某些發行版,其配置略有不同.且可能涉及隱私問題,可能限制或禁用 finger 命令

^ back on top ^

;

1.2 其他帳號相關指令
id 顯示帳號 ID
有時可能會忘記自己的 UID (User ID)或擁有那些的群組,id 指令會提供相關的資訊,id 除了可查自己的 ID,也可查其他帳號的 ID 。

語法:id [-otpiton][--option] [USER_NAME]
指令名稱/功能/命令使用者	選項	功能
id/(print user identity)顯示帳號 ID / Any	-a	顯示帳號所有資訊(此為預設值)
	-Z	顯示帳號和安全有關的資訊
	-g	顯示有效群組 ID
	-G	顯示所有的群組成員 ID
	-n	顯示帳號或群組名稱(需配合〝-g〞、〝-G〞或〝-u〞使用)
	-r	和〝-n〞相反,顯示帳號的 UID/GID 號碼(需配合〝-g〞、〝-G〞或〝-u〞使用)
	-u	顯示帳號有效的 UID 號碼
	--help	指令自帶說明

例:

$ id ←顯示帳號所有資訊
uid=500(aaa) gid=500(aaa) grpups=500(aaa),502(sub_grp) context=unconfined_u:syst
em_r:unconfined_t:s0
$ id -G ←查詢使用者有那些群組成員 ID
501 502
$ id -Gn ←同上,但顯示名稱
aaa sub_grp
$ id austin ←也可顯示其他帳號資訊

^ back on top ^

who / w 顯示登入者資訊
有時可能想了解目前有多少人登入系統;如果是系統管理員,要下關機指令前最好確定已沒有人在線上,免的有人工作到一半被關機。顯示目前有多少人登入的指令是 who 和其姊妹指令 w 。

who 用法如下:

語法:id [-otpiton][--option]
指令名稱/功能/命令使用者	選項	功能
who/( who is logged on)顯示登入資訊 / Any	-a	all
	-b	最後開機時間
	-d	顯示死進程(dead processes)
	-H	顯示各欄位元的標題資訊列
	-r	顯示 runlevel
	-q	顯示登入用戶和人數
	-w 或 -T	顯示使用者的資訊狀態列
	i am	顯示自己的登入資訊

例:

$ who -q ←顯示登入用戶和人數
root alice frank austin
#user=4
$ who -r ←顯示 runlevel
run-level 5 2016-06-13 05:20
$ who -b ←顯示最後開機時間
system boot 2016-06-11 05:20
$ who i am ←顯示自己的登入資訊
alice pts/0 2016-06-13 05:21 (:0)

w 能能顯示的資訊包含登入者在執行什麼指令。
例:

$ w
17:22:40 up 1:16, 5 users, load average: 0.06, 0.12, 0.08
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty1     -                16:07    3:59   0.06s 0.00s vi
john     tty2     -                16:37   38.00s 0.07s 0.01s man consolehelp
peter    tty4     -                16:37   38.00s 0.07s 0.01s -bash

lastlog 帳號登錄查詢
lastlog 可查詢某個帳號最後登入的時間,用法如下:

語法:id [-otpiton][--option] [USER_NAME]
指令名稱/功能/命令使用者	選項	功能
lastlog/(last login)帳號登錄查詢 / Any	-b DAYS	顯示從目前算起早於 DYAS 之前的登人者
	-t DAYS	顯示從目前算起 DYAS 天內的登人者
	--u USER	只顯示指定的帳號
	--help	指令自帶說明

$ lastlog -b 30 ←顯示 30 天前有誰登入
$ lastlog -t 7 ←顯示一星期內有誰登入
$ lastlog -u leona ←只顯示帳號〝leona〞上次的登入時間

^ back on top ^

[註1.0]:輸入 date +%s 可得知目前的時間距〝UNIX 時間元年〞過了幾秒或輸入 date -d 'YYYY/MM/DD' +%s (YYYY 為西元時間如〝2012〞)會顯示日期距〝1970 1月 1 日 00:00〞過過了幾秒。

[註 1.0A]:finger 顯示在家目錄這些隱藏檔應用如下:
finger 也可用來查看離線留言,算是古早可離線留言 MSN ;例如在自己家目錄下用文字編輯器寫入訊息在〝.project〞和〝.plan〞這兩個隱藏檔,別入 finger 你的帳號時就會顯示此二個檔案的訊息。因別人要可進入你的家目錄才有辦法看到此兩個檔案的內容(Superuser 除外),故家目錄的權限需設為〝rwx --x --x〞(711) ,且這兩個檔案 other 要設可讀的(例如〝rw- rw- r--〞)。

如家目錄內有〝.forward〞檔, finger 其帳號會顯示要轉信給誰 ,上例中帳號〝john〞的〝.forward〞檔內容範例如下:

$ cat ~john/.forward
aaa@localhost ←要轉寄的 email
john@localhost ←轉寄一份給自己(如自己要保留,因系統不會保留轉寄的 email)

如果家目錄下有設轉信檔〝.forward〞但轉信卻不成功,請檢查此檔的 other 和 group 不可有〝w〞權限(用〝chmod go-w .forward〞來設定)否則系統會因安全問題而拒絕轉信。

此外如有許多的 email 帳號,如不想收信時要一一檢查每個 email 帳號,可用〝.forward〞來設定轉寄至某一 email 帳號來統一收信,效率高很多。

另一個隱藏檔〝.pgpkey〞為〝PGP key〞。

[註1.1]:實際應用如 Linux 的系統設為 UTC + 8 (以台北時間為例)輸入 date -d '1970/01/01 08:00:00' +%s 輸出才是 0,因〝UNIX 時間元年〞是以 UTC(世界標準時間)的〝1970 1月 1 日 00:00〞為準,實際應用要考慮本地時間和 UTC 的〝時差〞。