4.1.2用户影子文件— shadow Linux使用不可逆的加密算法如DES来加密口令,由于 加密算法是不可逆的,所以黑客从密文是得不到明文 的。但/etc/ passwd文件是全局可读的,加密的算法是公 开的,恶意用户取得了etc/ passwd文件,便极有可能破 解口令。而且,在计算机性能日益提高的今天,对账 号文件进行字典攻击的成功率会越来越高,速度越来 越快。因此,针对这种安全问题, LinUx/UNIX广泛采 用了“ shadow(影子)文件”机制,将加密的口令转 移到/etc/ shadow文件里,该文件只为root超级用户可读, 而同时 /etc/passwd文件的密文域显示为一个x,从而最 大限度地减少了密文泄露的机会。 回
4.1.2 用户影子文件——shadow Linux使用不可逆的加密算法如DES来加密口令,由于 加密算法是不可逆的,所以黑客从密文是得不到明文 的。但/etc/passwd文件是全局可读的,加密的算法是公 开的,恶意用户取得了/etc/passwd文件,便极有可能破 解口令。而且,在计算机性能日益提高的今天,对账 号文件进行字典攻击的成功率会越来越高,速度越来 越快。因此,针对这种安全问题,Linux/UNIX广泛采 用了“shadow(影子)文件”机制,将加密的口令转 移到/etc/shadow文件里,该文件只为root超级用户可读, 而同时/etc/passwd文件的密文域显示为一个x,从而最 大限度地减少了密文泄露的机会。 返回
该文件的每行是8个冒号分割的9个域,格 式如下: 4 Username: passwd: lastchg min: max warn: inactive expire flag 其中,各个域的含义如下表所示: 使用CAT命令可以显示/tc/ shadow文件的 内容
该文件的每行是8个冒号分割的9个域,格 式如下: Username:passwd:lastchg:min:max : warn :inactive :expire :flag 其中,各个域的含义如下表所示: 使用CAT命令可以显示/etc/shadow文件的 内容
域名含义 username 用户登录名 passwd加密的用户口令 lastchg表示从1970年1月1日起到上次修改口令所 经过的天数 表示两次修改口令之间至少经过的天数 max 表示口令还会有效的最大天数 warn 表示口令失效前多少天内系统向用户发出 警告 inactive表示禁止登录前用户名还有效的天数 expire表示用户被禁止登录的时间 flag 保留域,未使用
域名 含义 username 用户登录名 passwd 加密的用户口令 lastchg 表示从1970年1月1日起到上次修改口令所 经过的天数 min 表示两次修改口令之间至少经过的天数 max 表示口令还会有效的最大天数 warn 表示口令失效前多少天内系统向用户发出 警告 inactive 表示禁止登录前用户名还有效的天数 expire 表示用户被禁止登录的时间 flag 保留域,未使用
41.3用户组账号文件— group etc/ passwd文件中包含着每个用户默认的分组 ID(GID)。在etc/ group文件中,这个GID被 映射到该用户分组的名称以及同一分组中的其 他成员去。 etc/ group文件含有关于小组的信息, etc/ passwd中的每个GD在文件中应当有相应 的入口项,入口项中列出了小组名和小组中的 用户,这样可方便地了解每个小组的用户,否 则必须根据GID在etc/pasd文件中从头至尾 地寻找同组用户,这提供了一个比较快捷的寻 找途径
4.1.3 用户组账号文件——group /etc/passwd文件中包含着每个用户默认的分组 ID(GID)。在/etc/group文件中,这个GID被 映射到该用户分组的名称以及同一分组中的其 他成员去。 /etc/group文件含有关于小组的信息, /etc/passwd中的每个GID在文件中应当有相应 的入口项,入口项中列出了小组名和小组中的 用户,这样可方便地了解每个小组的用户,否 则必须根据GID在/etc/passwd文件中从头至尾 地寻找同组用户,这提供了一个比较快捷的寻 找途径
etc/ group文件对小组的许可权限的控制并不是必 要的,因为系统用来自于et/ passwd文件的UID、 GID来决定文件存取权限,即使/etc/ group文件不 存在于系统中,具有相同的GID用户也可以小组 的存取许可权限共享文件。小组就像登录用户 样可以有口令。如果/etc/ group文件入口项的 第二个域为非空(通常用x表示),则将被认为 是加密口
/etc/group文件对小组的许可权限的控制并不是必 要的,因为系统用来自于/etc/passwd文件的UID、 GID来决定文件存取权限,即使/etc/group文件不 存在于系统中,具有相同的GID用户也可以小组 的存取许可权限共享文件。小组就像登录用户 一样可以有口令。如果/etc/group文件入口项的 第二个域为非空(通常用x表示),则将被认为 是加密口