首页 > 系统 > Linux > 正文

Linux 网管 123 --- 第6章. 一般系统管理问题 -5.Linux 密码及 S

2024-07-26 00:30:34
字体:
来源:转载
供稿:网友

传统的 Unix 系统保留使用者帐号资料,包括单向加密的密码,存放在一个称做``/etc/passwd'' 的文字档。 
既然这个档案会被很多工具 (像是 ``ls'') 用做显示档案的拥有者等,为了用来比对 user id # 和使用者名称,
这个档案必须是可读的。 结果, 这造成安全上的风险。 
另一个存放帐号的方法,我常使用的一个,是 shadow 密码格式。和传统方法一样,这个方法以相容的方式存放
帐号资料於  /etc/passwd 档案中。 然而,密码的部分是一个“x” 符号 (换言之. 并非真正放在档案中)。
另一个档案,称作  ``/etc/shadow'',存放加密过的密码以及其他资料像是帐号及密码的期限值等。  /etc/shadow 
这个档案只能由 root 读取因此减少了风险。 

有时一些 linux 发行版本会强迫安装 Shadow 密码套件 以便使用 shadow 格式, Red Hat 让它变得很简单。
要在两者之间切换, 键入(以 root 身分): 
    /usr/sbin/pwconv      转换到 shadow 格式
  /usr/sbin/pwunconv    转换回传统格式
 


使用 shadow 密码时, ``/etc/passwd'' 档内含帐号资料,看起来像这个样子: 
  smithj:x:561:561:Joe Smith:/home/smithj:/bin/bash
 


每一项目栏位都由“:”冒号所分隔,意义如下: 

使用者名称,最多 8 个符号,可以用大小写,通常都是小写 
一个“x”在密码栏。密码存放在 ``/etc/shadow'' 档中。 

user id 数值。由``adduser'' script 所分配。 Unix 使用这个栏位,以及後面的群组栏以辨别档案属於
哪个使用者。 
group id 数值。 Red Hat 使用 group id 作为很独特的强化档案安全的方法。通常 group id 会和 user id
 相同。 

使用者全名。我不大确定这个栏位的最大长度,但是尽量保持合理 (30个字元以下). 

使用者的 home 目录。 通常是 /home/username (例如. /home/smithj). 所有使用者个人档案,网页,回覆信
件等。会放在这里。 

使用者的“shell 帐号”。常被设为``/bin/bash'' 提供取用 bash shell (我个人最喜欢的 shell)。

也许您不想提供给使用者 shell 帐号。您可以建立一个名为 ``/bin/sorrysh''的 script档。例如显示错误讯
息以及把使用者 log off,然後将这个 script 视为他们的预设 shell。 
   注意: 如果帐号需要提供“FTP”传送更新网页等。 shell 帐号要被设定为 ``/bin/bash'' -- 使用者的
    home 目录必须设定特别的权限以防 shell 登入。 查看第7章,网页伺服器及 HTTP 快取代理主机管理 
    一节 有关的细节。 

``/etc/shadow'' 档案内含使用者的密码及帐号期限资料 ,看起来像这个样子: 
  smithj:Ep6mckrOLChF.:10063:0:99999:7:::
 

像密码档一样,shadow 档的每一个栏位也是由“:” 冒号所分开,意义如下: 

使用者名称,最多 8 个符号,可以用大小写,通常都是小写。直接对应 /etc/passwd 档案中的使用者名称。 
密码,加密过的 13 个字元。一个空格 (就是. ::) 表示登入时不需密码 (不是个好主意),一个 ``*'' 项目 
(就是 :*:) 指出帐号已经关闭。 

密码最後一次变更起所经过的日数 (从1970年一月一日起 ) 。 

密码经过几天可以变更 (0 表示可以随时变更) 

密码经过几天必须变更 (99999 表示使用者可以保留他们的密码很多很多年不变) 

密码过期之前几天要警告使用者  (7 为一) 

密码过期几天後帐号会被取消 

从1970年一月一日起,帐号经过几天会被取消 

保留栏位

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表