Linux口令管理之 etc passwd檔案

2021-08-23 14:00:55 字數 2201 閱讀 1133

/etc/passwd檔案是linux/unix安全的關鍵檔案之一.該檔案用於使用者登入時校驗 使用者的口令,當然應當僅對root可寫.檔案中每行的一般格式為:

logname:password:uid:gid:userinfo:home:shell

每行的頭兩項是登入名和加密後的口令,後面的兩個數是uid和gid,接著的 一項是系統管理員想寫入的有關該使用者的任何資訊,最後兩項是兩個路徑名: 乙個是分配給使用者的home目錄,第二個是使用者登入後將執行的shell(若為空格則 預設為/bin/sh).

(1)口令時效

/etc/passwd檔案的格式使系統管理員能要求使用者定期地改變他們的口令. 在口令檔案中可以看到,有些加密後的口令有逗號,逗號後有幾個字元和乙個 冒號.如:

steve:xydfcctrt180x,m.y8:0:0:admin:/:/bin/sh

restrict:pomjk109jky41,.1:0:0:admin:/:/bin/sh

pat:xmottvoyumjls:0:0:admin:/:/bin/sh

可以看到,steve的口令逗號後有4個字元,restrict有2個,pat沒有逗號.

逗號後第乙個字元是口令有效期的最大週數,第二個字元決定了使用者再次 修改口信之前,原口令應使用的最小週數(這就防止了使用者改了新口令後立刻 又改回成老口令).其餘字元表明口令最新修改時間.

要能讀懂口令中逗號後的資訊,必須首先知道如何用passwd_esc計數,計 數的方法是:

.=0 /=1 0-9=2-11 a-z=12-37 a-z=38-63

系統管理員必須將前兩個字元放進/etc/passwd檔案,以要求使用者定期的 修改口令,另外兩個字元當使用者修改口令時,由passwd命令填入.

注意:若想讓使用者修改口令,可在最後一次口令被修改時,放兩個".",則下 一次使用者登入時將被要求修改自己的口令.

有兩種特殊情況:

. 最大週數(第乙個字元)小於最小週數(第二個字元),則不允許使用者修改 口令,僅超級使用者可以修改使用者的口令.

. 第乙個字元和第二個字元都是".",這時使用者下次登入時被要求修改口 令,修改口令後,passwd命令將"."刪除,此後再不會要求使用者修改口令.

(2)uid和gid

/etc/passwd中uid資訊很重要,系統使用uid而不是登入名區別使用者.一般 來說,使用者的uid應當是獨一無二的,其他使用者不應當有相同的uid數值.根據慣 例,從0到99的uid保留用作系統使用者的uid(root,bin,uucp等).

如果在/etc/passwd檔案中有兩個不同的入口項有相同的uid,則這兩個用 戶對相互的檔案具有相同的訪問許可權.

/etc /group檔案含有關於小組的資訊,/etc/passwd中的每個gid在本檔案中 應當有相應的入口項,入口項中列出了小組名和小組中的使用者.這樣可方便地了 解每個小組的使用者,否則必須根據gid在/etc/passwd檔案中從頭至尾地尋找同組 使用者.

/etc/group檔案對小組的許可許可權的控制並不是必要的,因為系統用uid,gid (取自/etc/passwd)決定檔案訪問許可權,即使/etc/group檔案不存在於系統中,具 有相同的gid使用者也可以小組的訪問許可許可權共享檔案.

小組就像登入使用者一樣可以有口令.如果/etc/group檔案入口項的第二個域 為非空,則將被認為是加密口令,newgrp命令將要求使用者給出口令,然後將口令加 密,再與該域的加密口令比較.

給 小組建立口令一般不是個好作法.第一,如果小組內共享檔案,若有某人猜 著小組口令,則該組的所有使用者的檔案就可能洩漏;其次,管理小組口令很費事, 因為對於小組沒有類似的passwd命令.可用/usr/lib/makekey生成乙個口令寫入 /etc/group.

以下情況必須建立新組:

(1)可能要增加新使用者,該使用者不屬於任何乙個現有的小組.

(2)有的使用者可能時常需要獨自為乙個小組.

(3)有的使用者可能有乙個sgid程式,需要獨自為乙個小組.

(4)有時可能要安裝執行sgid的軟體系統,該軟體系統需要建立乙個新組.

要 增加乙個新組,必須編輯該檔案,為新組加乙個入口項. 由於使用者登入時,系統從/etc/passwd檔案中取gid,而不是從/etc/group中 取gid,所以group檔案和口令檔案應當具有一致性.對於乙個使用者的小組,uid和 gid應當是相同的.多使用者小組的gid應當不同於任何使用者的uid,一般為5位數,這 樣在檢視/etc/passwd檔案時,就可根據5位資料的gid識別多使用者小組,這將減少 增加新組,新使用者時可能產生的混淆.

Linux口令管理和口令時效

生成密碼命令mkpasswd 設定使用者組群密碼命令gpasswd 管理使用者密碼時效命令chage 系統建立後,預設是沒有設定密碼,只有成功設定好密碼後,才可以登入系統,修改linux使用者的密碼可以使用passwd命令。普通使用者只能修改自己的密碼,超級使用者root可以修改任何使用者的密碼 為...

linux安全 linux口令管理

口令老化 password aging 是一種增強的系統口令生命期認證機制,雖然它會一定程式的削弱使用者使用的便利性,但是它能夠確保使用者的口令定期更換,這是一種非常好的安全措施。大部分的linux發行版預設都不會開啟口令老化功能,但是我們可以很容易地啟用它。password aging contr...

oracle口令管理

password entries where file name of password file mand password password for sys mand entries maximum number of distinct dba and opers opt there are n...