一、概述
/etc/shadow 是 Linux 系统下的一个隐藏文件,记录系统用户的身份认证信息。当用户登录系统时,操作系统会读取此文件中的信息进行身份验证,确认用户身份后才会进入系统。
本文将从文件结构、文件权限、密码格式、加密算法、防止暴力破解等多个方面对 /etc/shadow 文件进行详细阐述。
二、文件结构
/etc/shadow 文件的每一行都代表了一个用户的身份认证信息,具体结构如下:
username:password:lastchanged:minimum:maximum:warn:inactive:expire:
各字段的含义分别为:
username
: 用户名,与 /etc/passwd 文件中的用户名对应。password
: 经过加密的密码,用冒号隔开的一段字符串。lastchanged
: 密码最近一次修改时间,以自 1970 年 1 月 1 日 00:00:00 UTC 的秒数计算。minimum
: 密码有效期的最小值,即在未达到此时间前用户不能修改密码。maximum
: 密码有效期的最大值,即在超过此时间后用户必须修改密码。0 表示永不过期。warn
: 在密码到期之前多少天提醒用户修改密码。inactive
: 用户密码失效前的不活动天数。如果设置为 -1,则表示不限制。expire
: 以日期表示的用户账号的失效日期。如果设置为 empty 表示不限制。
三、文件权限
/etc/shadow 文件包含了重要的用户身份认证信息,因此只能由 root 用户进行修改。为了保证安全性,文件权限设置如下:
-rw-r-----
:文件所有者为 root 用户,所属组为 shadow,文件所有者具有读写权限,同组用户只能读取。
四、密码格式
/etc/shadow 文件中的密码字段是经过加密的,加密方式分为两种:
- DES 加密:此方式已经不再安全,不建议使用。
- SHA-512 加密:目前较为常用的方式,采用了多次迭代以增加破解难度。
以 SHA-512 加密方式为例,其格式如下:
$6$SALT$ENCRYPTED_PASSWORD
其中,SALT
为自动生成的随机字符串,用于增加加密难度;ENCRYPTED_PASSWORD
是实际的加密后的密码字符串。
五、加密算法
/etc/shadow 文件中的密码加密算法可以通过修改 /etc/login.defs
文件的 ENCRYPT_METHOD
变量来指定。可选的加密方式有 SHA512
、SHA256
、MD5
、BLOWFISH
、YPT
等。
六、防止暴力破解
为了防止暴力破解密码,我们可以采取以下措施:
- 设置强密码策略,要求密码长度、复杂度、有效期等。
- 启用密码锁定,当用户连续多次登录失败后,锁定该用户的账号。
- 启用 PAM 模块,对用户身份验证进行自定义控制。