一、什麼是/etc/shadow文件
/etc/shadow文件存儲了操作系統中所有用戶的密碼哈希值等用戶信息,是Linux系統安全性的重要組成部分。在計算機安全領域中,密碼哈希值是一種被廣泛使用的技術,它充分利用了哈希算法的不可逆性及其輸入輸出不同的特點,保證密碼傳輸和存儲的安全性。/etc/shadow文件只有root用戶可讀取,並且只有在系統內部調用才會啟用。
二、/etc/shadow文件的格式
root:$6$hPdqehM/$ocAQs9Pn7esFrx3CCJKTt9Ft9xGlf8CVJUW5L2SmOqzhdGPU2iSGiXlC5fN83vxNCUf67uBQrUJ/gfvhh8prw.:17113:0:99999:7:::
bin:*:17062:0:99999:7:::
daemon:*:17062:0:99999:7:::
adm:*:17062:0:99999:7:::
lp:*:17062:0:99999:7:::
sync:*:17062:0:99999:7:::
shutdown:*:17062:0:99999:7:::
halt:*:17062:0:99999:7:::
mail:*:17062:0:99999:7:::
nobody:*:17062:0:99999:7:::
/etc/shadow文件是一個文本文件,每個用戶對應着一行,每行包含9個字段,字段間用「:」分隔。字段意義如下:
1. 用戶名: 用戶的登錄名,必選字段,長度最大為8個字符
2. 密碼哈希值: 密碼的哈希值,必選字段
3. 最近修改時間: 上次修改密碼的時間,是一個數字類型的字段,表示的是從1970年1月1日0時0分0秒開始到上次修改時間的天數,可以通過date命令將其轉換為人類可讀的日期格式
4. 密碼最短使用期限: 表示設置的密碼最小使用時間,單位是天數;0表示可以立即修改密碼
5. 密碼最長使用期限: 表示設置的密碼最大使用時間,單位是天數;99999表示永不過期
6. 密碼過期提前警告天數: 表示密碼到期之前,提前N天向用戶發出提示,建議設置為7天
7. 密碼過期後寬限時間: 表示密碼過期之後,還能夠使用N天,建議設置為0天
8. 賬戶失效時間: 表示賬戶失效時間,是一個數字類型的字段,表示的是從1970年1月1日0時0分0秒開始到用戶的賬戶失效時間的天數;表示賬戶過期的日期,一旦過期,用戶在登錄的時候,系統就會提示賬戶已經過期
9. 保留字段: 該字段暫時沒有被使用,用於以後擴展。
三、/etc/shadow文件中密碼哈希值的類型
/etc/shadow文件中的密碼哈希值是由不同的算法生成的,常用的算法有md5、sha-256、sha-512等。不同的算法生成的哈希值長度不同,也會影響加密速度和安全程度。以$6$開頭的是sha-512,以$5$開頭的是sha-256,以$1$開頭的是md5。
四、如何修改/etc/shadow文件
如果需要修改用戶密碼或者其他信息,可以使用passwd命令。passwd命令會先提示輸入當前用戶的密碼,如果密碼正確才能修改。修改過程中,passwd會自動更新/etc/shadow文件。
$ passwd
Changing password for user xxx.
Current password:
New password:
Retype new password:
除了使用passwd命令,也可以手動編輯/etc/shadow文件,但千萬不要直接使用文本編輯器進行編輯,因為這樣容易出錯,並且導致系統安全性問題。需要使用專門的工具進行編輯,比如vipw或者usermod命令。
五、如何保護/etc/shadow文件
/etc/shadow文件是非常敏感的系統文件,只有root用戶才可以讀取。如果其他用戶可以讀取這個文件,他們就可以看到所有用戶的密碼哈希值,從而造成系統安全性問題。
在Linux系統中,保護/etc/shadow文件的方法有很多,比如將其改為只讀文件,只允許root用戶讀寫,使用ACL控制用戶訪問等。具體的方法可以通過修改文件權限來進行,如下所示:
$ chmod 600 /etc/shadow
將/etc/shadow文件的權限改為600,即只有root用戶可以讀寫訪問。這樣可以最大程度保護系統的安全性。
原創文章,作者:TQEY,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/137979.html
微信掃一掃 
支付寶掃一掃 