（转）linux口令相关文件（/etc/passwd和/etc/shadow）

在linux中，口令文件在/etc/passwd中，早期的这个文件直接存放加密后的password，前两位是"盐"值，是一个随机数。后面跟的是加密的password。为了安全，如今的linux都提供了 /etc/shadow这个影子文件。password放在这个文件中面，而且是仅仅有root可读的。

以下来分析一下/etc/passwd文件，他的每一个条目有7个域。各自是名字：password：用户id：组id：用户信息：主文件夹：shell 比如：test:x:509:510::/home/test:/bin/bash

在利用了shadow文件的情况下。password用一个x表示，普通用户看不到不论什么password信息。

假设你细致的看看这个文件。会发现一些奇怪的username，她们是系 统的缺省账号，缺省账号是攻击者入侵的经常使用入口。因此一定要熟悉缺省账号，特别要注意password域是否为空。以下简介一下这些缺省账号

adm拥有账号文件，起始文件夹/var/adm通常包含日志文件

bin拥实用户命令的可运行文件

daemon用来运行系统守护进程

games用来玩游戏

halt用来运行halt命令

lp拥有打印机后台打印文件

mail拥有与邮件相关的进程和文件

news拥有与usenet相关的进程和文件

nobody被NFS（网络文件系统）使用

shutdown运行shutdown命令

sync运行sync命令

uucp拥有uucp工具和文件

传统上，/etc/passwd文件在非常大范围内是可读的，由于很多应用程序须要用他来把UID转换为username。比如，假设不能訪问/etc/passwd，那么ls -l命令将显示UID而不是username。可是使用口令推測程序。具有加密口令的可读/etc/passwd文件有巨大的安全危急。

所以出现了影子文件/etc/shadow。

影子口令系统把口令文件分成两部分：/etc/passwd和/etc/shadow。影子口令文件保存加密的口令；/etc/passwd文件里的password所有变成x。Shadow仅仅能是root可读，从而保证了安全。/etc/shadow文件每一行的格式例如以下：

username：加密口令：上一次改动的时间（从1970年1月1日起的天数）：口令在两次改动间的最小天数：口令改动之前向用户发出警告的天数：口令终止后账号被禁用的天数：从1970年1月1日起账号被禁用的天数：保留域。

比如：root:$1$t4sFPHBq$JXgSGgvkgBDD/D7FVVBBm0:11037:0:99999:7:-1:-1:1075498172

bin:*:11024:0:99999:7:::

daemon:*:11024:0:99999:7:::缺省情况下，口令更新并不开启。

假设你的系统没有启动影子文件，那么执行pwconv程序。

有关命令

pwconv

依据/etc/passwd文件生成/etc/shadow。它把全部口令从/etc/passwd移到/etc/shadow中。

pwunconv

将/etc/shadow中的信息尽可能地恢复到/etc/passwd。