Linux /etc/passwd和etc/shadow 详解

Linux /etc/passwd 内容

Linux 系统中的 /etc/passwd 文件，是系统用户配置文件，存储了系统中所有用户的基本信息，并且所有用户都可以对此文件执行读操作。

[root@localhost ~]# vi /etc/passwd
#查看一下文件内容
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
...省略部分输出...

用户名：密码：UID（用户ID）：GID（组ID）：描述性信息：主目录：默认Shell

用户名

用户名，就是一串代表用户身份的字符串。
前面讲过，用户名仅是为了方便用户记忆，Linux 系统是通过 UID 来识别用户身份，分配用户权限的。/etc/passwd 文件中就定义了用户名和 UID 之间的对应关系。

密码

"x" 表示此用户设有密码，但不是真正的密码，真正的密码保存在 /etc/shadow 文件中（下一节做详细介绍）。
在早期的 UNIX 中，这里保存的就是真正的加密密码串，但由于所有程序都能读取此文件，非常容易造成用户数据被窃取。

虽然密码是加密的，但是采用暴力破解的方式也是能够进行破解的。

因此，现在 Linux 系统把真正的加密密码串放置在 /etc/shadow 文件中，此文件只有 root 用户可以浏览和操作，这样就最大限度地保证了密码的安全。
需要注意的是，虽然 "x" 并不表示真正的密码，但也不能删除，如果删除了 "x"，那么系统会认为这个用户没有密码，从而导致只输入用户名而不用输入密码就可以登陆（只能在使用无密码登录，远程是不可以的），除非特殊情况（如破解用户密码），这当然是不可行的。

UID

UID，也就是用户 ID。每个用户都有唯一的一个 UID，Linux 系统通过 UID 来识别不同的用户。
实际上，UID 就是一个 0~65535 之间的数，不同范围的数字表示不同的用户身份，具体如表 1 所示。

表 1 UID代表不同身份的用户
UID 范围	用户身份
0	超级用户。UID 为 0 就代表这个账号是管理员账号。在 Linux 中，如何把普通用户升级成管理员呢？只需把其他用户的 UID 修改为 0 就可以了，这一点和 Windows 是不同的。不过不建议建立多个管理员账号。
1~499	系统用户（伪用户）。也就是说，此范围的 UID 保留给系统使用。其中，1~99 用于系统自行创建的账号；100~499 分配给有系统账号需求的用户。其实，除了 0 之外，其他的 UID 并无不同，这里只是默认 500 以下的数字给系统作为保留账户，只是一个公认的习惯而已。
500~65535	普通用户。通常这些 UID 已经足够用户使用了。但不够用也没关系，2.6.x 内核之后的 Linux 系统已经可以支持 232 个 UID 了。

描述性信息

这个字段并没有什么重要的用途，只是用来解释这个用户的意义而已。

主目录

也就是用户登录后有操作权限的访问目录，通常称为用户的主目录。

例如，root 超级管理员账户的主目录为 /root，普通用户的主目录为 /home/yourIDname，即在 /home/ 目录下建立和用户名相同的目录作为主目录，如 lamp 用户的主目录就是 /home/lamp/ 目录。

默认的Shell

Shell 就是 Linux 的命令解释器，是用户和 Linux 内核之间沟通的桥梁。

我们知道，用户登陆 Linux 系统后，通过使用 Linux 命令完成操作任务，但系统只认识类似 0101 的机器语言，这里就需要使用命令解释器。也就是说，Shell 命令解释器的功能就是将用户输入的命令转换成系统可以识别的机器语言。

通常情况下，Linux 系统默认使用的命令解释器是 bash（/bin/bash），当然还有其他命令解释器，例如 sh、csh 等。

在 /etc/passwd 文件中，大家可以把这个字段理解为用户登录之后所拥有的权限。如果这里使用的是 bash 命令解释器，就代表这个用户拥有权限范围内的所有权限。例如：

[root@localhost ~]# vi /etc/passwd
lamp:x:502:502::/home/lamp:/bin/bash

我手工添加了 lamp 用户，它使用的是 bash 命令解释器，那么这个用户就可以使用普通用户的所有权限。

如果我把 lamp 用户的 Shell 命令解释器修改为 /sbin/nologin，那么，这个用户就不能登录了，例如：

[root@localhost ~]# vi /etc/passwd
lamp:x:502:502::/home/lamp:/sbin/nologin

因为 /sbin/nologin 就是禁止登录的 Shell。同样，如果我在这里放入的系统命令，如 /usr/bin/passwd，例如：

[root@localhost ~]#vi /etc/passwd
lamp:x:502:502::/home/lamp:/usr/bin/passwd

那么这个用户可以登录，但登录之后就只能修改自己的密码。但是，这里不能随便写入和登陆没有关系的命令（如 ls），系统不会识别这些命令，同时也就意味着这个用户不能登录。

/etc/shadow 内容

如果查看/etc/shadow下存放的普通帐号信息如下：

（1）：帐号名称

（2）：密码：这里是加密过的，但高手也可以解密的。要主要安全问题（代！符号标识该帐号不能用来登录）

（3）：上次修改密码的日期

（4）：密码不可被变更的天数

（5）：密码需要被重新变更的天数（99999表示不需要变更）

（6）：密码变更前提前几天警告

（7）：帐号失效日期

（8）：帐号取消日期

（9）：保留条目，目前没用

例如：abc:!!:14768:0:99999:7:::
基本上， shadow 同样以‘:’作为分隔符号，如果数一数，会发现共有九个栏位啊，这九个栏位的用途是这样的：

1. 帐号名称：由于密码也需要与帐号对应啊～因此，这个档案的第一栏就是帐号，必须要与 /etc/passwd 相同才行！

2. 密码：这个才是真正的密码，而且是经过编码过的密码啦！你只会看到有一些特殊符号的字母就是了！需要特别留意的是，虽然这些加密过的密码很难被解出来，但是‘很难’不等于‘不会’，所以，这个档案的预设属性是‘-rw-------’或者是‘-r--------’，亦即只有 root 才可以读写就是了！你得随时注意，不要不小心更动了这个档案的属性呢！另外，如果是在密码栏的第一个字元为‘ * ’或者是‘ ! ’，表示这个帐号并不会被用来登入的意思。所以万一哪一天你的某个使用者不乖时，可以先在这个档案中，将他的密码栏位的最前面多加一个 * ！嘿嘿！他就无法使用该帐号啰！直到他变乖了，再给他启用啊！

3. 最近更动密码的日期：这个栏位记录了‘更动密码的那一天’的日期，不过，很奇怪呀！在我的例子中怎么会是 12959 呢？呵呵，这个是因为计算 Linux 日期的时间是以 1970 年 1 月 1 日作为 1 ，而 1971 年 1 月 1 日则为 366 啦！所以这个日期是累加的呢！得注意一下这个资料呦！那么最近的 2005 年 1 月 1 日就是 12784 啦，瞭解了吗？

4. 密码不可被更动的天数：第四个栏位记录了这个帐号的密码需要经过几天才可以被变更！如果是 0 的话，表示密码随时可以更动的意思。这的限制是为了怕密码被某些人一改再改而设计的！如果设定为 20 天的话，那么当你设定了密码之后， 20 天之内都无法改变这个密码呦！

5. 密码需要重新变更的天数：由于害怕密码被某些‘有心人士’窃取而危害到整个系统的安全，所以有了这个栏位的设计。你必须要在这个时间之内重新设定你的密码，否则这个帐号将会暂时失效。而如果像上面的 99999 的话，那就表示，呵呵，密码不需要重新输入啦！不过，如果是为了安全性，最好可以设定一段时间之后，严格要求使用者变更密码呢！

6. 密码需要变更期限前的警告期限：当帐号的密码失效期限快要到的时候，就是上面那个‘必须变更密码’的那个时间时，系统会依据这个栏位的设定，发出‘警告’言论给这个帐号，提醒他‘再过 n 天你的密码就要失效了，请尽快重新设定你的密码呦！’，如上面的例子，则是密码到期之前的 7 天之内，系统会警告该用户。

7. 密码过期的恕限时间：如果用户过了警告期限没有重新输入密码，使得密码失效了，也就是说，你在‘必须变更密码的期限前，并没有变更你的密码！’ 那么该组密码就称为‘失效的密码’啰～怎么办？没关系，还有这个栏位的天数设计啊～意思就是说，当密码失效后，你还可以用这个密码在 n 天内进行登入的意思。而如果在这个天数后还是没有变更密码，呵呵！那么您的帐号就失效了！无法登入！

8. 帐号失效日期：这个日期跟第三个栏位一样，都是使用 1970 年以来的总日数设定。这个栏位表示：这个帐号在此栏位规定的日期之后，将无法再使用。这个栏位会被使用通常应该是在‘收费服务’的系统中，你可以规定一个日期让该帐号不能再使用啦！

9. 保留：最后一个栏位是保留的，看以后有没有新功能加入。

最后添加账户和密码

root@dexp:/etc/init.d# adduser fu
Changing password for fu
New password:
Bad password: too weak
Retype password:
passwd: password for fu changed by root

root@dexp:/etc/init.d# cat /etc/passwd
root:x:0:0:root:/root:/bin/sh
daemon:x:1:1:daemon:/usr/sbin:/bin/false
bin:x:2:2:bin:/bin:/bin/false
sys:x:3:3:sys:/dev:/bin/false
sync:x:4:100:sync:/bin:/bin/sync
mail:x:8:8:mail:/var/spool/mail:/bin/false
www-data:x:33:33:www-data:/var/www:/bin/false
operator:x:37:37:Operator:/var:/bin/false
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
nobody:x:65534:65534:nobody:/home:/bin/false
dexp:$1$95VHBnmm$O1FHdHL1ITKsKXA/9FSQL1:1001:1001::/home/dexp:/bin/bash
mysql:x:1002:1002::/var/lib/mysql:/bin/bash
mosquitto:x:1003:1003::/var/run/mosquitto:/bin/bash
dbus:x:1004:1004::/var/run/dbus:/bin/bash
dhcpcd:x:1005:1005::/var/run/dhcpcd:/sbin/nologin
fu:x:1000:1000:Linux User,,,:/home/fu:/bin/sh

root@dexp:/etc/init.d# cat /etc/shadow
root:$5$/KB8meO5CLZJf6m$1mlvCO0mVF4Kt9v6NnM9LJ1oph/5YW6MfM5SybjFTjB:::::::
daemon:*:::::::
bin:*:::::::
sys:*:::::::
sync:*:::::::
mail:*:::::::
www-data:*:::::::
operator:*:::::::
nobody:*:::::::
fu:$1$QgJFai1p$xR6VI3e7/MAGsmjmDiZxG/:19121:0:99999:7:::

root@dexp:/etc/init.d# passwd fu
Changing password for fu
New password:
Bad password: too weak
Retype password:
passwd: password for fu changed by root

参考文献

Linux系统的etc/passwd和etc/shadow文件作用详解-Linux-中存储网