Linux常用配置文件

Linux常用配置文件

Linux配置文件非常重要，是后续学习信息安全渗透和防御的重要基础，本文实现环境在CentOS9下进行。

1.用户相关

1.1/etc/passwd文件

/etc/passwd文件中保存的就是系统中所有的用户和用户的重要信息，这个文件的内容非常规律，每行代表一个用户信息

每一行有7个字段，以：作为分隔符，一共6个：，每个字段代表不同的含义

第一个字段为：用户名名称

第二个字段为：密码表示，但是不是真正的密码，密码是在另一个文件中

第三个字段为：UID，也就是用户的ID

第四个字段为：GID，也称为用户的组ID

第五个字段为：用户的说明

第六个字段为：用户的家目录

第七个字段为：shell，也可以理解为用户登录之后所拥有的权限

UID分布：当UID=0时，只属于root，UID=1~500时，属于系统服务的用户，500以后则是分配给普通用户。一般新建用户则是默认从1000开始往后迭代

1.2/etc/shadow文件

/etc/shadow是用户保存密码的文件。

这个文件的每一行代表一个用户，同样 也是以：为分隔符

/etc/shadow这个文件有九个字段，以第一行为例

第一个字段为：用户名称

第二个字段为：该用户加密后的密码，没有密码的用户则是*或者！！，是不能登录的

第三个字段为：密码何时修改过，这里显示的数字是从1970年1月1日作为标准时间算的，每过去一天时间戳加1，如果是10000的话，那就是1970年1月1日后的10000天

第四个字段为：两次修改密码的时间间隔，如果是5，那么密码修改后5天内不能再更改，为0的话表示随时可以修改

第五个字段为：密码的有效期，是从第三字段之后开始算的，默认是99999

第六个字段为：密码到期修改前的警告失效，根据第五个字段算的，默认为7，则是到期前的7天开始警告

第七个字段为：密码到期后的宽限天数，为0是到期立马失效，-1是永不失效

第八个字段为：用户失效的时间，同样是以时间戳表示的

第九个字段：暂时没有功能

有个有意思的事情，如果作为攻击者能够拿到 /etc/shadow的文件，这个时候就可以拿到用户加密后的密码，当然加密算法十分复杂，但是当攻击者有一份明文的密码字典，将密码通过加密后与用户的加密后的密码文字进行比对，如果相同，就可以得到用户的真实密码了。（当然，算法是十分复杂的，实际操作没有这么简单，想深入了解可以去查一下Linux下shadow文件的加密算法具体是什么）

1.3/etc/group文件

Linux用户组的所有信息都存放在 /etc/group文件当中，也就是passwd文件中GID的来源

/etc/group文件分为四个字段，也是以：作为分隔符

第一个字段为：用户组名称

第二个字段为：用户组密码

第三个字段为：对应的GID

第四个字段为：用户列表，本字段可以为空

1.4/gshadow文件

前面讲过在 /etc/passwd中存放的是用户的基本信息，同时考虑到账户的安全性，将用户的密码信息存放在另外一个文件中 /etc/shadow。/etc/gshadow也是如此，组用户的基本信息存放在 /etc/group文件下，而将组用户的密码信息存储在 /etc/gshadow文件中。

文件中每一行代表一个组用户的密码信息，隔行信息用：作为分隔符，有四个字段：

组名：加密密码：组管理员：组附加用户列表