Ubuntu中的使用者管理(四)密碼管理

2021-06-08 01:05:12 字數 4594 閱讀 1489

密碼是

linux

安全的重要組成部分,通過這部分的學習,你應該學會怎樣為你的

linux

系統建立乙個密碼策略,密碼儲存在什麼地方,怎樣為你的使用者管理密碼等。

有效的密碼策略是乙個好的系統管理計畫的重要組成部分。這個策略需要包括以下幾點:

密碼檔案是

/etc/passwd

,它是系統上所有使用者的資料庫檔案。每一行的形式如下:

username:password:uid:gid:gecos:homedir:shell

簡要介紹下

gecos

字段。這個欄位是為了記錄使用者的多樣性的資訊。例如,使用者的全名,辦公室的位置,辦公室**,家庭**,簡單備註等。出於安全和隱私上的考慮,這個字段目前已經越來越少的被使用到了。但是,系統管理員要知道這個字段,因為傳統的

unix

程式例如

finger

,mail

會用到這個字段。因此

gecos

字段通常被成為

finger information field

。這個欄位是逗號界限格式,可以通過

chfn

(change finger

)命令更改。如果密碼字段出現乙個星號,那麼這個使用者將不能登陸

linux

系統。系統管理員可以通過修改密碼字段或者使用

passwd -l

命令鎖住使用者。一些系統使用者通常有

root

許可權,因此系統管理員不希望這些使用者可以登陸

linux

系統,可以通過將這些系統使用者的

shell

設定為sbin/nologin

或者bin/false

阻止這些賬戶的登陸。

下面給出

/etc/passwd

檔案的內容形式:

cindy@cindy-thinkpad-x200:~$cat /etc/passwd

root:x:0:0:root:/root:/bin/bash

daemon:x:1:1:daemon:/usr/sbin:/bin/sh

bin:x:2:2:bin:/bin:/bin/sh

sys:x:3:3:sys:/dev:/bin/sh

sync:x:4:65534:sync:/bin:/bin/sync

games:x:5:60:games:/usr/games:/bin/sh

man:x:6:12:man:/var/cache/man:/bin/sh

lp:x:7:7:lp:/var/spool/lpd:/bin/sh

mail:x:8:8:mail:/var/mail:/bin/sh

news:x:9:9:news:/var/spool/news:/bin/sh

uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh

cindy:x:1000:1000:cindy,,,:/home/cindy:/bin/bash

……

我們注意到沒有乙個使用者顯示了密碼,而是在密碼欄位有乙個

x。這是因為使用者密碼是陰影密碼(

shadow passwords

),這屬於

linux

中的乙個安全增強機制。真正的密碼儲存在檔案

/etc/shadow

中。/etc/shadow

檔案只對於系統管理員和

pam可讀。

ubuntu

中自動啟用了

shadow password

。下面給出

/etc/shadow

檔案的內容形式:

cindy@cindy-thinkpad-x200:~$sudo cat /etc/shadow

[sudo]password for cindy:

root:$7$h9prtnf/$zf8pynvbj/m.dfal.q1lgw8zcmegyqkce/47snfev6fuq59unb1ctczvr4.7awtylpizdnwlqxe0f2j/md6th.:15536:0:99999:7:::

daemon:*:15453:0:99999:7:::

bin:*:15453:0:99999:7:::

sys:*:15453:0:99999:7:::

sync:*:15453:0:99999:7:::

games:*:15453:0:99999:7:::

man:*:15453:0:99999:7:::

lp:*:15453:0:99999:7:::

cindy:$6$/imkhjoh$osdelelwe3f11qxlrts2huvismskuptyadexihtyv39.7oaqakaelda4wawxpieeopbmru/zcdakhp/al1gqw1:15536:0:99999:7:::

……

冒號分開的各個欄位的解釋:

1個字段是使用者名稱。

2個字段是編碼後的密碼。

3個字段是上次修改密碼的時間,這個時間是從

2023年1

月1日起計算。這個日子在

unix

領域被成為

epoch

4個字段是再過多少天密碼才可以被再次修改的時間(避免修改密碼到新密碼後快速修改會原始密碼)

5個字段是再過多少天密碼必須被再次修改的時間。

6個字段是密碼過期前多少天,使用者會收到警告。

7個字段是密碼過期後多少天,使用者會被禁用。

8個字段是從

2023年1

月1日起,該帳號

disabled

的天數。

9個字段為保留字段。

需要注意的是密碼過期日期和警告在

ubuntu

中是預設禁用的。如果需要啟用相應的密碼策略,需要系統管理員建立相應的密碼策略。

etc/shadow

的許可權時

600,常規使用者不可讀。

系統管理員可以手動編輯

/etc/shadow

檔案或者使用

chage

命令更改密碼規則(詳細資訊請參考

shadow

和chage

的man

頁)。

系統管理員可通過命令

chpasswd

批量修改使用者密碼。命令接受的輸入為使用者名稱

/密碼對:

sudo chpasswd username:password

可以通過重定向檔案輸入來批量工作。此外,

ubuntu

還提供了

newusers

命令,批量增加文字檔案中的使用者,並為使用者分配群組,分配

/home

目錄等。

Ubuntu中的使用者管理(四)密碼管理

ubuntu中的使用者管理 四 密碼管理 相關鏈結 ubuntu中的使用者管理 一 使用者賬戶 ubuntu中的使用者管理 二 群組管理 ubuntu中的使用者管理 三 使用者管理 密碼是linux安全的重要組成部分,通過這部分的學習,你應該學會怎樣為你的linux系統建立乙個密碼策略,密碼儲存在什...

Ubuntu 破解密碼及使用者管理

ubuntu 16.04 破解密碼 useradd 實現以下要求1.ubuntu16.04破解密碼 2.建立下面的使用者 組和組成員關係 名字為xipudata 的組指定id 1002 使用者yunwei,使用xipudata 作為附屬組 使用者id1003 使用者jiankong,也使用xipud...

ubuntu 使用者管理

在建立使用者時,需要為新建使用者指定一使用者組,如果不指定其使用者所屬的工作組,自動會生成乙個與使用者名稱同名的工作組。建立使用者user1的時候指定其所屬工作組users,例 useradd g users user1 一 建立使用者 1 使用命令 useradd 例 useradd user1 ...