您的位置:

Linux /etc/shadow 文件详解

一、概述

/etc/shadow 是 Linux 系统下的一个隐藏文件,记录系统用户的身份认证信息。当用户登录系统时,操作系统会读取此文件中的信息进行身份验证,确认用户身份后才会进入系统。

本文将从文件结构、文件权限、密码格式、加密算法、防止暴力破解等多个方面对 /etc/shadow 文件进行详细阐述。

二、文件结构

/etc/shadow 文件的每一行都代表了一个用户的身份认证信息,具体结构如下:

username:password:lastchanged:minimum:maximum:warn:inactive:expire:

各字段的含义分别为:

  • username: 用户名,与 /etc/passwd 文件中的用户名对应。
  • password: 经过加密的密码,用冒号隔开的一段字符串。
  • lastchanged: 密码最近一次修改时间,以自 1970 年 1 月 1 日 00:00:00 UTC 的秒数计算。
  • minimum: 密码有效期的最小值,即在未达到此时间前用户不能修改密码。
  • maximum: 密码有效期的最大值,即在超过此时间后用户必须修改密码。0 表示永不过期。
  • warn: 在密码到期之前多少天提醒用户修改密码。
  • inactive: 用户密码失效前的不活动天数。如果设置为 -1,则表示不限制。
  • expire: 以日期表示的用户账号的失效日期。如果设置为 empty 表示不限制。

三、文件权限

/etc/shadow 文件包含了重要的用户身份认证信息,因此只能由 root 用户进行修改。为了保证安全性,文件权限设置如下:

  • -rw-r-----:文件所有者为 root 用户,所属组为 shadow,文件所有者具有读写权限,同组用户只能读取。

四、密码格式

/etc/shadow 文件中的密码字段是经过加密的,加密方式分为两种:

  • DES 加密:此方式已经不再安全,不建议使用。
  • SHA-512 加密:目前较为常用的方式,采用了多次迭代以增加破解难度。

以 SHA-512 加密方式为例,其格式如下:

$6$SALT$ENCRYPTED_PASSWORD

其中,SALT 为自动生成的随机字符串,用于增加加密难度;ENCRYPTED_PASSWORD 是实际的加密后的密码字符串。

五、加密算法

/etc/shadow 文件中的密码加密算法可以通过修改 /etc/login.defs 文件的 ENCRYPT_METHOD 变量来指定。可选的加密方式有 SHA512SHA256MD5BLOWFISHYPT 等。

六、防止暴力破解

为了防止暴力破解密码,我们可以采取以下措施:

  • 设置强密码策略,要求密码长度、复杂度、有效期等。
  • 启用密码锁定,当用户连续多次登录失败后,锁定该用户的账号。
  • 启用 PAM 模块,对用户身份验证进行自定义控制。

七、参考链接