linux账号密码体系理解(centos7.9实验)

最新推荐文章于 2025-05-09 17:09:28 发布
最新推荐文章于 2025-05-09 17:09:28 发布
阅读量2.2k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: linux 运维 文章标签: linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fured/article/details/117601598
本文详细介绍了Linux系统中用户密码的管理,包括/etc/passwd和/etc/shadow文件的结构,以及密码加密算法如SHA512的工作原理。通过实例展示了如何使用doveadm、openssl和python的crypt库生成密码密文,并提供了交互式和非交互式修改密码的方法。同时,讨论了密码加密的复杂性和安全性问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

账号密码相关文件

/etc/passwd # 用户账号信息 /etc/shadow # 用户的密码信息,此文件是有隐藏属性的,一定程度上保证了密码的安全 /etc/login.defs #用户密码相关配置,ENCRYPT_METHOD SHA512 此变量标明的密码加密的方式

centos7.9 默认的密码加密hash算法是 SHA512 但 密码并不是通过简单的算法,而是通过复杂的一系列逻辑

所以我们通过sha512 算出来的密码和shadow文件中的不一样

技巧:命令行获取目前密码使用的加密算法

authconfig --test| grep hash

/etc/passwd文件

每个用户一行,每行使用 ":" 分隔,共7个字段

  1. 账号名称
  2. 密码:早期密码直接放这里,但是这个文件所有程序都能读取,密码容易被窃取,所以所有密码数据改放到了 /etc/shadow,这里就是一个x
  3. UID:用户标识
  4. GID:用户组标识
  5. 用户信息说明
  6. 主文件目录
  7. shell,用户登录后会取得一个shell来和系统内核通信,完成用户操作

/etc/shadow 文件

每个用户一行,每行使用 ":" 分隔,共9个字段

  1. 账号名称
  2. 密码:加密之后的密码 注意:在此字段前面加上 ! 或 * 改变了密文长度 ,会让密码暂时失效,因为根据用户输入密码 加密后和此处的密码不相等
  3. 最近改动密码的日期:从1970-01-01 到改动日期的天数
  4. 密码不可被更改的天数:修改后多少天里不能再修改
  5. 密码修改更改的天数:隔多长时间修改修改密码
  6. 密码更改期限前的警告天数:密码过期前多少天开始通知用户
  7. 密码过期后,宽限时间:密码过期后多少天之内还能用
  8. 账号失效日期
  9. 保留字段

 

详解密码字段

以 $ 分隔,分为三段

  1. 加密方式:1:md5加密,密文长度22 5:sha256加密,密文长度43 6:sha512加密,密文长度86 4:手动上传password字符串
  2. 盐值:hash加密时使用的salt
  3. 密文

密码密文生成方式

密码密文并不是简单地使用算法生成的,是有一系列复杂的运算的,由于linux是开源的,所以有一些工具帮我们实现了这个功能,使用passwd 等命令修改密码时,系统会自动生成密码密文

目前:admin用户的密码是:#PK1UxTBDZ

salt:$6$6FeAs/Nsgr3/$

1、dovecot包中的doveadm命令的子命令 doveadm pw

doveadm pw -s SHA512-CRYPT -p '#PK1UxTBDZ' 
{SHA512-CRYPT}$6$KSUkKq1yJ7.EwwCk$IdOteWBK/zOXmLPaYM9VY7mXNw.LBm2Trj3YNpNk7ZFiAAyiMYA/yDJzKsL1UN0kFgEg.yMJiRLe5fMnwlkFd1 
# 盐值变了,没找到这个命令加盐的方式,所以密文和上面不一样,但是用上面的密文替换 /etc/shadow 中的密文,是完全可以使用的,系统是从/etc/shadow 中取盐值的

2、openssl 中的passwd子命令

默认是使用unix标准的加密方式去加密的,但只允许8个字符(应该有参数去改变),这个密文放在 /etc/shadow 也是可以用的

# 用md5 加密 
openssl passwd -1 '#PK1UxTBDZ' $1$ovun1wSt$SwYNeqgzJhkKyteY/nfvq/

3、python 自带的crypt库

import crypt 
crypt.crypt('#PK1UxTBDZ', '$6$6FeAs/Nsgr3/$') 
#结果:可以看到,和/etc/shadow中的密文字段完全一样 '$6$6FeAs/Nsgr3/$8uz9LiP0A6SnEC1KvJKYcdxJi/QaI1b4t2QieaWxS9oatx7SBV1myg7mxH4jLXFr/C.TBTI8xiHYb5Q11tx1w0'

 

修改密码

1、交互式修改

passwd admin # 密码中可以包含特殊字符

2、直接修改

echo "admin:123456asd" | chapasswd      # 密码中有些特殊字符的组合可能造成最后的密文和正确的密文不一样,chpasswd 会将密码进行加密然后存到 /etc/shadow, 如果有特殊字符,chpasswd读取可能有问题,
echo "admin:123456asd" | chapasswd  -m    # chpasswd 加密密码时,使用md5算法
echo "admin:123456asd" | chapasswd  -c sha256   # chpasswd 加密密码时,使用sha256算法
echo "admin:密文" | chapasswd -e        # 此时密码已经是加密的,只需要chpasswd 将密文存到  /etc/shadow,密文中的特殊字符,chpasswd读取可能有问题
echo "123456asd" | passwd --stdin admin   # 特殊字符可能会导致修改的密码和你输入的密码不一致

 

 

 

MAC(m1)-VMWare Fusion安装CentOS7.9(续)-账号和密码都设置为root
兴趣是最好的老师
01-08 1496
MAC(m1)-VMWare Fusion安装CentOS7.9(续)
CentOS 7.9 安装zabbix6.0
nybaobao的博客
07-04 1533
来自于工作的记录。为了执行某些命令,需要有适当的权限,如果没有足够的权限,可以使用 sudo 命令来提升权限。
CentOS 7.6 下如何查看当前用户密码的加密算法是什么?
颐信行的博客
06-18 5387
[root@deepinpc /]# authconfig --test | grep hashing
Centos7安装Chacha20加密算法 (验证成功)
weixin_33826609的博客
02-04 1056
Centos7安装Chacha20加密算法 (验证成功) 有些程序会使用Chacha20加密算法,如果Centos7系统报错Exception: libsodium not found,则缺乏M2Crypto与libsodium依赖环境所致; Salsa20是一种流加密算法,由Daniel J. Bernstein提交到eSTREAM。它创建在基于add-rotate-xor(ARX)操作的伪随机...
centos7.9破解root密码
zhang200715quan的博客
05-07 289
1.开机在启动选项里按E键2.更改为rw init=/sysroot/bin/sh3.按ctrl+x进入单机模式4.切换到目录chroot /sysroot5.修改字符编码,解决乱码问题LANG=en_US_utf-86.更改root密码7.touch /.autorelabel,作用是重新标记selinux让你更改的密码生效8.exit9.reboot10.系统启来之后使用root账户登录11.登录系统成功
最新Centos7.9 安装Ldap+SSSD认证
XXxia1XX的博客
08-09 1462
参考视频:https://www.bilibili.com/video/BV1LK4y1T78A/?参考文献:https://www.cnblogs.com/liwanliangblog/p/10584885.html。简要概述流程: 服务端使用ldap提供服务 客户端使用sssd去认证服务器 并获得访问权限。料峭春风吹酒醒,微冷,山头斜照却相迎。回首向来萧瑟处,归去,也无风雨也无晴。莫听穿林打叶声,何妨吟啸且徐行。2.添加配置文件信息(整个信息都需要复制与稍微修改)(2) 修改管理员条目与主域。
Linux命令之chpasswd命令
月生的静心苑
10-17 8576
chpasswd命令用于同时更改多个用户的密码。它可以从标准输入或指定的文件中读取用户名和密码的组合,并将其应用于系统中的用户。chpasswd命令通常用于批量更改用户密码,特别是在自动化脚本或批处理任务中,该命令需要root账户权限才可以执行。
linux之/etc/login.defs文件
z19861216的博客
10-13 2182
linux之/etc/login.defs文件
linux centos7.9升级openssh9.8过程
Mr_hwt_123的博客
07-31 8390
因漏洞扫描扫描出openssh相关的高危漏洞,处理新发布的CVE-2024-6387关于openssh的漏洞,需要升级openssh到9.8版本。
centos7.9下部署FTP且创建虚拟账号登录
jiangqingmin的博客
12-31 207
搭建FTP及设置虚拟账号登录访问FTP
在VMware中安装CentOS7.9
最新发布
weixin_43748495的博客
05-09 988
本文详细介绍了如何在VMware Workstation中下载、配置和安装CentOS 7操作系统。首先,从CentOS官网下载64位CentOS 7的ISO映像文件。接着,在VMware中创建新的虚拟机,选择Linux系统并配置硬件,包括设置ISO映像路径和网络适配器。安装过程中,选择语言、时区、软件包和分区方式,手动创建/boot、swap和根分区。最后,设置root用户密码并完成安装。整个过程涵盖了从下载到安装的完整步骤,适合初学者参考。
doveadm-tools:doveadm-tools-为Dovecot的管理实用程序doveadm(1)设置的包装脚本
05-12
doveadm工具 doveadm-tools-为Dovecot的管理实用程序doveadm(1)设置的包装脚本: doveadm-backup-从Dovecot的邮件存储到本地目录或通过tcp连接执行邮箱的单向同步。 doveadm-expunge-清除“ Junk Trash和“ Trash文件夹中的邮件,并为每个用户清除邮箱。 doveadm-mdboxrm-删除启用SIS的用户的mdbox存储。 doveadm-report-last-login-以易于阅读的形式打印Dovecot上次登录的字典文件。 doveadm-report-quota-显示当前配额使用情况。 doveadm-rm-savedbefore-删除在给定日期规范之前保存的消息。 dsisck -Dovecot SIS一致性检查和修复。 基于SIS操作的说明 , , 。 该程序的主要目的是删除由于
linux 新建用户配置文件 /etc/login.defs 简介
热门推荐
whatday的专栏
05-08 1万+
/etc/login.defs 是设置用户帐号限制的文件。该文件里的配置对root用户无效。/etc/login.defs 文件用于在Linux创建用户时,对用户的一些基本属性做默认设置,例如指定用户 UID 和 GID 的范围,用户的过期时间,密码的最大长度,等等。 需要注意的是,该文件的用户默认配置对 root 用户无效。并且,当此文件中的配置与 /etc/passwd 和 /etc/...
/etc/shadow——影子文件
Cool_001的博客
01-15 1061
文件每行代表一个用户 第1字段:用户名 第2字段:加密密码 加密算法为SHA512散列加密算法 如果为“!!”或“*”代表没有密码,不能登录(在加密密码前加!,相当于暂时禁用该用户) 第3字段:密码最后一次修改日期 使用1970年1月1日作为标准时间,每过一天时间戳+1 如果为0,那么用户第一次登陆就需要修改密码 第4字段:密码的修改间隔时间(单位:天。必须经过间隔时间之后才能更改密码) 第5字段:密码有效期(单位:天) 第6字段:密码过期前的警告天数(每次用户登录给出警告) 第7字段:密码过
CentOS 7.9安全加固
Tinmax的博客
01-07 2264
写在前面:CentOS即将停止更新服务,对于已经安装CentOS的用户来说,系统安全加固就显得更加重要。本文将基于最小化安装的CentOS 7.9,并参考《等级保护2.0》测评指导书(二级)的通用部分,从“身份鉴别”、“访问控制”、“安全审计”、“入侵防御”、“恶意代码防范”、“剩余信息保护”六个方面,介绍Linux安全加固。
linux 密码过期策略,Linux账户密码过期安全策略设置
weixin_39875503的博客
04-30 1161
Linux账户密码过期安全策略设置、Linux账号密码过期会导致crontab作业不能执行最近因用oracle用户执行shell脚本做定时备份脚本任务,在执行crontab命令有如下报错:$crontab-lYou(oracle)arenotallowedtoaccessto(crontab)becauseofpamconfiguration.在网上找了些资料解决方式说...
centos7设置账号密码复杂度、密码有效期、账号锁定、会话超时策略
qq_44707856的博客
07-20 1933
注意:修改文件前可以先把文件备份,或者重要数据备份。
Linux总结(二十二):linux的用户组/etc/gshadow、初始组和附加组、/etc/login.defs
科大小笨的博客
07-09 1293
一、Linux /etc/gshadow文件 /etc/passwd 文件存储用户基本信息,同时考虑到账户的安全性,将用户的密码信息存放另一个文件 /etc/shadow 中。本节要将的 /etc/gshadow 文件也是如此,组用户信息存储在 /etc/group 文件中,而将组用户的密码信息存储在 /etc/gshadow 文件中。 1、 vimLinux /etc/...
Centos Linux防护操作,Centos 6.4安全防护设置指南
weixin_39882271的博客
05-16 239
## If useradd should create home directories for users by default# On RH systems, we do. This option is overridden with the -m flag on# useradd command line.#CREATE_HOME yes# The permission mask i...
linux安装centos7.9,原本有系统重装的
01-25
### 如何在已有系统的电脑上全新安装 CentOS 7.9 并替换原有操作系统 #### 准备工作 为了确保顺利安装,在开始之前需备份重要数据。准备一张可启动的CentOS 7.9 安装介质,可以是USB闪存盘或DVD。 #### 创建启动介质 创建启动U盘可以通过多种工具完成,如Rufus(Windows下)、Etcher(跨平台)。下载ISO镜像文件并写入到选定的存储设备中[^1]。 #### 设置BIOS/UEFI 进入计算机BIOS/UEFI设置界面,调整引导顺序使系统优先从所制作的启动盘加载。保存更改退出重启机器。 #### 开始安装流程 当通过光驱或USB驱动器成功启动后,屏幕会显示欢迎页面,选择“Install CentOS 7”。之后进入到图形化安装向导: - **语言和地区**:挑选适合的语言环境配置。 - **日期和时间**:设定正确的地理位置与时区信息。 - **键盘布局**:指定输入法类型。 - **软件包选择**:可根据需求勾选额外组件;对于大多数情况,默认选项已足够满足基本用途。 - **磁盘分区方案**:这是关键环节之一,因为要替代现有的操作系统,所以建议采用自动分配空间模式,这将会清除硬盘上的全部现存资料,请提前做好相应防范措施以防意外丢失珍贵文档。 #### 配置网络与主机名 如果联网,则能在线获取最新更新以及后续服务支持。同时定义独一无二的计算机名称以便识别管理。 #### 用户账户建立 创建root超级管理员密码和其他常规登录账号供日常操作使用。 #### 结束语 一旦上述各项参数都确认无误点击“Begin Installation”,等待进度条走完即宣告整个重装作业结束。最后移除外部媒介装置按提示正常开机即可体验全新的Linux发行版带来的改变。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值