shadow密码文件
登录Linux会要求输入用户名和密码。通常本地文件中会存储一份用户密码,并与用户输入对比,如果相同就允许用户登录。起初用户密码存储与/etc/passwd中,但由于/etc/passwd必须供所有用户读取,因此为了避免密码破译,unix系统将加密后的密码存储于/etc/shadow中,仅供超级用户可读。
/etc/shadow中密码格式:
$id$salt$encrypted
id表示hash算法。起初密码用DES算法加密,单随着DES加密破解难度的降低,已用其他加密算法替代DES。在shadow文件中,密码字段如果以“$”打头,则表示非DES加密,如:
$1$2eWq10AC$NaQqalCk3
即表示非DES加密密码,而$1$表示使用了基于MD5的加密算法。
$2a$04$NZJWn7W2skvQRC5lW3H7q.ZTE8bz4xbC
$2a$表示Blowfish算法。常见的标识与算法:
ID | 算法 |
$1$ | MD5 |
$2a$ | Blowfish |
$5$ | SHA-256 |
$6$ | SHA-512 |
/etc/passwd文件的格式:
username:passwd:UID:GID:full_name:directory:shell
从shadow文件中摘录数行:
root:$1$TCVDVaiT$JC7TbKjvIZpIprdehWFH/1:15157:0:99999:7::: bin:*:15157:0:99999:7::: daemon:*:15157:0:99999:7:::
/etc/shadow文件的每行由9个字段组成,以“:”作为字段分隔符。每个字段的说明:
1. 用户名
2. 加密后的密码。如果密码是“*”或“!”,则表示不会用这个帐号来登录(通常是一些后台进程)
3. 密码最后修改时间。 从1970年1月1日起计算的天数。
4. 不可修改密码的天数。 如果是0,则表示可以随时修改密码。如果是N,表示N天后才可修改密码。
5. 密码可以维系的天数。如果设置为N,表示N天后必须更新密码。设置为99999通常表示无需更新密码。
6. 在密码必须修改前的N天,就开始提示用户需要修改密码。
7. 密码过期的宽限时间。
8. 帐号失效时间。也是UNIX时间戳格式。
9. 保留字段。
pwconv系列命令
pwconv命令从/etc/passwd生成/etc/shadow。它将密码从passwd文件中抽取出来放到shadow文件中。
运行pwunconv命令则会关闭shadow功能,并把加密密码转移到passwd中。
系统启动时,就默认开启了pwconv
1 ls -l /etc/passwd /etc /shadow 2 -rw-r--r-- 1 root root 2342 Mar 29 18:55 /etc/passwd 3 -rw-r----- 1 root shadow 1393 Mar 29 18:55 /etc/shadow
取root用户对比两个文件的记录:
1 $ cat /etc/shadow | grep ^root 2 root:x:0:0:root:/root:/bin/bash 3 4 $ cat /etc/shadow|grep ^root 5 root:$6$0fa52kBa$5rQfmjjrmvVmepfQylZINajIUp/cTWi9GjdgONbYVRPlstFbjD54DXUgA2yE5QxdWm0ZX4.z238E/IPv0yAxY0:15946:0:99999:7:::
关闭shadow:
1 $ pwunconv
此时shadow文件消失。
再次查看passwd文件:
1 cat /etc/passwd | grep ^root 2 root:$6$0fa52kBa$5rQfmjjrmvVmepfQylZINajIUp/cTWi9GjdgONbYVRPlstFbjD54DXUgA2yE5QxdWm0ZX4.z238E/IPv0yAxY0:0:0:root:/root:/bin/bash
可以看到shadow中的加密密码被转移到了passwd中。
运行pwconv,即可恢复shadow文件