/etc/passwd和/etc/shadow是linux用户管理的核心文件,前者存储用户基本信息如UID、家目录和Shell,后者保存加密密码及安全策略,通过字段分隔实现登录认证与权限控制,二者协同构成影子密码机制,保障系统安全。
在linux系统中,用户账户信息的管理主要依赖两个关键文件:/etc/passwd 和 /etc/shadow。它们各自承担不同的角色,理解其结构和作用对系统管理和安全至关重要。
/etc/passwd 文件详解
/etc/passwd 是一个传统的用户信息数据库文件,所有用户都可以读取。它不存储密码,而是保存用户的基本属性。每一行代表一个用户账户,字段之间用冒号(:)分隔,共7个字段:
username:x:UID:GID:GEcos:home_Directory:shell
各字段含义如下:
- 用户名(Username):用户登录系统时使用的名称,如 root、alice。
- 密码占位符(x):早期密码存于此,现在通常为 x,表示真实密码已移至 /etc/shadow。
- 用户ID(UID):系统通过 UID 识别用户。root 的 UID 为 0,普通用户一般从 1000 起。
- 组ID(GID):用户所属主组的 ID,对应 /etc/group 中的组记录。
- 用户描述(GECOS):可选字段,常用于保存用户全名或联系方式。
- 家目录(Home Directory):用户登录后的默认工作目录,如 /home/alice。
- 登录Shell:用户登录后启动的命令解释器,如 /bin/bash 或 /sbin/nologin(禁止登录)。
示例:
alice:x:1001:1001:Alice Smith:/home/alice:/bin/bash
/etc/shadow 文件详解
/etc/shadow 存储用户的加密密码及相关安全信息,只有 root 用户或特定系统进程可读。每行对应一个用户,同样以冒号分隔,共9个字段:
username:encrypted_password:last_change:min_age:max_age:warn:inactive:expire:reserved
核心字段说明:
- 用户名(Username):与 /etc/passwd 中一致,用于关联用户。
- 加密密码:使用 SHA-512 等算法加密的密码字符串,若为 ! 或 * 表示账户被锁定或无密码。
- 上次修改时间:距 1970年1月1日 的天数,如 19487 表示最近一次改密时间。
- 最小密码周期:两次修改密码之间的最少天数,0 表示无限制。
- 最大密码周期:密码有效天数,如 99999 表示约273年,实际视为永不过期。
- 警告期:密码过期前多少天开始提示用户修改。
- 宽限期:密码过期后仍可登录的天数,之后账户被禁用。
- 账户过期时间:账户完全失效的绝对日期(按天计算)。
- 保留字段:目前未使用,留作将来扩展。
示例:
alice:$6$salt…hashed:19487:0:99999:7:::
两个文件的关系与安全机制
/etc/passwd 和 /etc/shadow 协同工作,实现用户认证与权限控制。
- 当用户登录时,系统先在 /etc/passwd 查找用户名,获取 UID、家目录等信息。
- 然后检查 /etc/shadow 中对应的加密密码,并进行验证。
- 将密码相关数据分离到 shadow 文件,避免普通用户获取加密哈希,防止暴力破解。
这种分离设计是 Linux 安全体系的重要组成部分,称为“影子密码机制”(Shadow Passwords)。
常用命令与维护建议
直接编辑这些文件风险高,推荐使用专用工具:
- 添加用户:useradd 自动同步更新 passwd 和 shadow。
- 修改密码:passwd 命令更新 shadow 中的密码字段。
- 查看用户状态:chage -l username 可显示密码策略详情。
- 禁止账户登录:使用 usermod -L 锁定账户,shadow 中密码前加 !。
定期检查这两个文件的权限也很重要:
- /etc/passwd 应为 644(-rw-r–r–)
- /etc/shadow 应为 600(-rw——-)或 640,仅 root 可写。
基本上就这些。掌握这两个文件的结构和用途,有助于深入理解Linux用户管理系统的工作原理。虽然日常操作多用高级命令完成,但在排查登录问题或脚本自动化时,直接分析这些文件非常有用。