20.3.8
小白学习日记三:/etc/passed和/etc/shadow文件内容解析
认识/etc/passwd和/etc/shadow
两个文件是Linux系统中最重要的文件,与用户和用户组有关的信息都在这些系统文件下,如果出问题则无法正常登录系统。
/etc/passwd文件:
[root@mling ~]# cat /etc/passwd | head
root: x:0:0:root:/root:/bin/bash
bin: x:1:1:bin:/bin:/sbin/nologin
daemon: x:2:2:daemon:/sbin:/sbin/nologin
adm: x:3:4:adm:/var/adm:/sbin/nologin
lp: x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync: x:5:0:sync:/sbin:/bin/sync
shutdown: x:6:0:shutdown:/sbin:/sbin/shutdown
halt: x:7:0:halt:/sbin:/sbin/halt
mail: x:8:12:mail:/var/spool/mail:/sbin/nologin
operator: x:11:0:operator:/root:/sbin/nologin
head是显示开头十行。| 是管道符,作用是把前面命令的输出再输入给后面的命令。
/etc/passwd文件里的内容由7部分组成:
root: x:0:0:root:/root:/bin/bash
用户,密码,uid,gid,信息(注释),家目录,脚本
第1个字段为用户名(如第1行中的root就是用户名), 它是代表用户账号的字符串。用户名中
的字符可以是大小写字母、数字、减号(不能出现在首位)、点或下划线,其他字符不合法。
虽然用户名中可以出现点,但不建议使用,尤其是首位。另外,减号也不建议使用,容易造
成混淆。
第2个字段存放的是该账号的口令。这里为什么是x呢?早期的Unix系统口令确实存放在这
里,但基于安全因素,后来就将其存放到/ete/shadow中了,这里只用一个x代替。
第3个字段为一个数字,这个数字代表用户标识号,也称为uid。系统就是通过这个数字识别
用户身份的。这里的0就是root,也就是说我们可以修改test用户的uid为0,那么系统会认为
root和test为同一个账户。uid的取值范围是0~ 655 35 (但实际上已经可以支持到429496 729 4),
0是超级用户( root) 的标识号,CentOS 7的普通用户标识号从1000开始。 如果我们自定义建
立一个普通用户,你会看到该账户的标识号是大于或等于1000的。
第4个字段也是数字,表示组标识号,也称为gid。 这个字段对应着/et/group中的一条记录,
其实/etc/group和/etc/passwd基本类似。
第5个字段为注释说明,没有实际意义。通常记录该用户的一些属性,例如姓名、电话、地
址等。我们可以使用chfn命令来更改这些信息。
第6个字段为用户的家目录,当用户登录时,就处在这个目录下。root的家目录是/root,普通
用户的家目录则为/home/username,用户家目录是可以自定义的。比如,建立一个普通用户
testl, 要想让test1的家目录在/data目录下, 只要将/etc/passwd文件中对应该用户那行中的本字
段修改为/data即可。
最后一个字段为用户的shell。用户登录后,要启动一个进程,用来将用户下达的指令传给内
核,这就是shell。Linux的shell有sh、 csh、 ksh. tcsh、 bash等多种, 而Red HatCentOS的shell就是
bash。查看/etc/passwd文件,该字段中除了/bin/bash,还有很多/sbin/nologin,它表示不允许该账号
登录。如果想建立一个不允许登录的账号,可以把该字段改成/sbin/nologin,默认是/bin/bash。
/etc/shadow文件:
/etc/shadow文件和/etc/passwwd类似,共有9个部分组成:
[root@mling ~]# cat /etc/shadow | head -n 3
root:$6$/xwi7fpYcJnJtq9G$VKu3p6i4NM7Bcc6MrRZZPWw0gM9DxbSQD7yIreTPMTSvB5U56nQBIwRi0xaf6JCaYJOOIbSIPstuyfOHWKAbq.::0:99999:7:::
bin:*:17834:0:99999:7:::
daemon:*:17834:0:99999:7:::
1用户名,2用户密码,3上次更改密码时间,4换密码的冷却时间,5密码多少天后到期,
6密码到期的警告期限,7账号失效期限,8生命周期,9保留无意义
第1个字段为用户名,与/etc/passwd对应。
第2个字段为用户密码,是该账号的真正密码。这个密码已经加密,但是有些黑客还是能够解密的。所以,将该文件属性设置为000,但root账 户是可以访问或更改的。使用命令ls -1查看该文件的权限,示例命令如下:
[root@mling ~]# ls -l /etc/shadow
----------. 1 root root 585 Mar 8 15:51 /etc/shadow
第3个字段为上次更改密码的日期,这个数字以1970年1月1日和上次更改密码的日期为基准计算而来。例如,上次更改密码的日期为2012年1月1日,则这个值就是365*(2012-1970)+(2012-1970)/4+1=15341。如果是闰年,则有366天。
第4个字段为要过多少天才可以更改密码,默认是0,即不受限制。
第5个字段为密码多少天后到期,即在多少天内必须更改密码。例如,这里设置成30,则30天内必须更改一次密码; 否则,将不能登录系统。默认是99999可以理解为永远不需要改。
第6个字段为密码到期前的警告期限。若这个值设置成7,则表示当7天后密码过期时,系统就发出警告,提醒用户他的密码将在7天后到期。
第7个字段为账号失效期限。如果这个值设置为3,则表示密码已经到期,然而用户并没有在到期前修改密码,那么再过3天,这个账号便失效,即锁定。
第8个字段为账号的生命周期。跟第3个字段一样,这个周期是按距离1970年1月1日多少天算的。它表示的含义是,账号在这个8期前可以使用,到期后账号将作废。
最后一个字段作为保留用的,没有什么意义。