linux账号密码体系理解(centos7.9实验)

最新推荐文章于 2025-10-23 07:00:00 发布
原创 最新推荐文章于 2025-10-23 07:00:00 发布 · 2.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #python

本文详细介绍了Linux系统中用户密码的管理,包括/etc/passwd和/etc/shadow文件的结构,以及密码加密算法如SHA512的工作原理。通过实例展示了如何使用doveadm、openssl和python的crypt库生成密码密文,并提供了交互式和非交互式修改密码的方法。同时,讨论了密码加密的复杂性和安全性问题。
部署运行你感兴趣的模型镜像

账号密码相关文件

/etc/passwd # 用户账号信息 /etc/shadow # 用户的密码信息,此文件是有隐藏属性的,一定程度上保证了密码的安全 /etc/login.defs #用户密码相关配置,ENCRYPT_METHOD SHA512 此变量标明的密码加密的方式

centos7.9 默认的密码加密hash算法是 SHA512 但 密码并不是通过简单的算法,而是通过复杂的一系列逻辑

所以我们通过sha512 算出来的密码和shadow文件中的不一样

技巧:命令行获取目前密码使用的加密算法

authconfig --test| grep hash

/etc/passwd文件

每个用户一行,每行使用 ":" 分隔,共7个字段

  1. 账号名称
  2. 密码:早期密码直接放这里,但是这个文件所有程序都能读取,密码容易被窃取,所以所有密码数据改放到了 /etc/shadow,这里就是一个x
  3. UID:用户标识
  4. GID:用户组标识
  5. 用户信息说明
  6. 主文件目录
  7. shell,用户登录后会取得一个shell来和系统内核通信,完成用户操作

/etc/shadow 文件

每个用户一行,每行使用 ":" 分隔,共9个字段

  1. 账号名称
  2. 密码:加密之后的密码 注意:在此字段前面加上 ! 或 * 改变了密文长度 ,会让密码暂时失效,因为根据用户输入密码 加密后和此处的密码不相等
  3. 最近改动密码的日期:从1970-01-01 到改动日期的天数
  4. 密码不可被更改的天数:修改后多少天里不能再修改
  5. 密码修改更改的天数:隔多长时间修改修改密码
  6. 密码更改期限前的警告天数:密码过期前多少天开始通知用户
  7. 密码过期后,宽限时间:密码过期后多少天之内还能用
  8. 账号失效日期
  9. 保留字段

 

详解密码字段

以 $ 分隔,分为三段

  1. 加密方式:1:md5加密,密文长度22 5:sha256加密,密文长度43 6:sha512加密,密文长度86 4:手动上传password字符串
  2. 盐值:hash加密时使用的salt
  3. 密文

密码密文生成方式

密码密文并不是简单地使用算法生成的,是有一系列复杂的运算的,由于linux是开源的,所以有一些工具帮我们实现了这个功能,使用passwd 等命令修改密码时,系统会自动生成密码密文

目前:admin用户的密码是:#PK1UxTBDZ

salt:$6$6FeAs/Nsgr3/$

1、dovecot包中的doveadm命令的子命令 doveadm pw

doveadm pw -s SHA512-CRYPT -p '#PK1UxTBDZ' 
{SHA512-CRYPT}$6$KSUkKq1yJ7.EwwCk$IdOteWBK/zOXmLPaYM9VY7mXNw.LBm2Trj3YNpNk7ZFiAAyiMYA/yDJzKsL1UN0kFgEg.yMJiRLe5fMnwlkFd1 
# 盐值变了,没找到这个命令加盐的方式,所以密文和上面不一样,但是用上面的密文替换 /etc/shadow 中的密文,是完全可以使用的,系统是从/etc/shadow 中取盐值的

2、openssl 中的passwd子命令

默认是使用unix标准的加密方式去加密的,但只允许8个字符(应该有参数去改变),这个密文放在 /etc/shadow 也是可以用的

# 用md5 加密 
openssl passwd -1 '#PK1UxTBDZ' $1$ovun1wSt$SwYNeqgzJhkKyteY/nfvq/

3、python 自带的crypt库

import crypt 
crypt.crypt('#PK1UxTBDZ', '$6$6FeAs/Nsgr3/$') 
#结果:可以看到,和/etc/shadow中的密文字段完全一样 '$6$6FeAs/Nsgr3/$8uz9LiP0A6SnEC1KvJKYcdxJi/QaI1b4t2QieaWxS9oatx7SBV1myg7mxH4jLXFr/C.TBTI8xiHYb5Q11tx1w0'

 

修改密码

1、交互式修改

passwd admin # 密码中可以包含特殊字符

2、直接修改

echo "admin:123456asd" | chapasswd      # 密码中有些特殊字符的组合可能造成最后的密文和正确的密文不一样,chpasswd 会将密码进行加密然后存到 /etc/shadow, 如果有特殊字符,chpasswd读取可能有问题,
echo "admin:123456asd" | chapasswd  -m    # chpasswd 加密密码时,使用md5算法
echo "admin:123456asd" | chapasswd  -c sha256   # chpasswd 加密密码时,使用sha256算法
echo "admin:密文" | chapasswd -e        # 此时密码已经是加密的,只需要chpasswd 将密文存到  /etc/shadow,密文中的特殊字符,chpasswd读取可能有问题
echo "123456asd" | passwd --stdin admin   # 特殊字符可能会导致修改的密码和你输入的密码不一致

 

 

 

您可能感兴趣的与本文相关的镜像

Python3.10

Python3.10

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

MAC(m1)-VMWare Fusion安装CentOS7.9(续)-账号和密码都设置为root
兴趣是最好的老师
01-08 1573
MAC(m1)-VMWare Fusion安装CentOS7.9(续)
Linux账户密码过期安全策略设置
shenxiaomo1688的博客
04-28 3614
Linux系统管理中,有时候需要设置账号密码复杂度(长度)、密码过期策略等,这个主要是由/etc/login.defs参数文件中的一些参数控制的的。它主要用于用户账号限制,里面的参数主要有下面一些: # Password aging controls: # # PASS_MAX_DAYS Maximum number of days a password may be used. ...
CentOS系统安全合规配置
逆水行舟,不进则退。
07-26 4993
CentOS系统作为主流的linux系统分支,目前广泛部署应用于服务器作为服务器系统使用,为了提高服务器系统的安全行,需要根据自身安全工作需求,进一步对安装的CentOS系统进行简单的配置,来提高安全性,本文主要是总结工作中的一些简单安全配置一、CentOS系统密码策略以上主要是根据实际使用中遇到的需求进行收集配置,后续会继续补充。
Linux系统之openssl 命令详解
最新发布
weixin_56303229的博客
10-23 1982
openssl 是一个功能强大的开源命令行工具,用于实现 SSL/TLS 协议 和相关密码学功能。它支持多种加密操作,包括密钥管理、证书生成、消息摘要计算、加密解密、SSL/TLS 测试等。
Dovecot的API简单学习使用
低调说
12-27 998
Dovecot这个东西就是个存邮件的,不具体解释了。然后这个管理命令doveadm官方提供一些API接口 Doveadm HTTP API自v2.2.22起可用。在v2.2.22中被认为是实验性的。从2.2.23开始可以被认为是稳定的。它使您可以通过HTTP传输执行doveadm命令。 所以,使用就得看下dovecot的版本。我们生产上老版本是无法使用API的。在我安装配置的新版的dovecot上已经可以支持API接口了 要启用API (1)你需要在配置文件里给他启用 /home/mail/dovecot/
CentOS 7.6 下如何查看当前用户密码的加密算法是什么?
颐信行的博客
06-18 5551
[root@deepinpc /]# authconfig --test | grep hashing
Centos7安装Chacha20加密算法 (验证成功)
weixin_33826609的博客
02-04 1087
Centos7安装Chacha20加密算法 (验证成功) 有些程序会使用Chacha20加密算法,如果Centos7系统报错Exception: libsodium not found,则缺乏M2Crypto与libsodium依赖环境所致; Salsa20是一种流加密算法,由Daniel J. Bernstein提交到eSTREAM。它创建在基于add-rotate-xor(ARX)操作的伪随机...
centos7.9下部署FTP且创建虚拟账号登录
jiangqingmin的博客
12-31 252
搭建FTP及设置虚拟账号登录访问FTP
在VMware中安装CentOS7.9
weixin_43748495的博客
05-09 1079
本文详细介绍了如何在VMware Workstation中下载、配置和安装CentOS 7操作系统。首先,从CentOS官网下载64位CentOS 7的ISO映像文件。接着,在VMware中创建新的虚拟机,选择Linux系统并配置硬件,包括设置ISO映像路径和网络适配器。安装过程中,选择语言、时区、软件包和分区方式,手动创建/boot、swap和根分区。最后,设置root用户密码并完成安装。整个过程涵盖了从下载到安装的完整步骤,适合初学者参考。
CentOS7.9安装Gitlab、502问题、配置初始账号密码、设置中文界面、配置邮件服务
捷的博客
07-14 2058
文章目录Gitlab的使用1、CentOS7.9安装Gitlab2、安装后无法访问、502问题3、Gitlab初始账号密码4、Gitlab设置中文显示5、Gitlab配置邮件服务 Gitlab的使用 1、CentOS7.9安装Gitlab 首先安装依赖并在防火墙开放http和ssh端口 # 安装依赖 yum install -y lokkit curl openssh-server openssh-clients postfix cronie service postfix start chkconfi
hue-4.10.0_Centos7.9安装部署手册.rar
07-27
《Hue 4.10.0 在 CentOS 7.9 上的安装与部署详解》 Hue 是一个开源的数据浏览和交互工具,主要用于 Hadoop 生态系统,它提供了直观的 Web 界面,使得用户无需编写代码即可进行数据查询、分析和管理。本篇将详细...
doveadm-tools:doveadm-tools-为Dovecot的管理实用程序doveadm(1)设置的包装脚本
05-12
doveadm工具 doveadm-tools-为Dovecot的管理实用程序doveadm(1)设置的包装脚本: doveadm-backup-从Dovecot的邮件存储到本地目录或通过tcp连接执行邮箱的单向同步。 doveadm-expunge-清除“ Junk Trash和“ Trash文件夹中的邮件,并为每个用户清除邮箱。 doveadm-mdboxrm-删除启用SIS的用户的mdbox存储。 doveadm-report-last-login-以易于阅读的形式打印Dovecot上次登录的字典文件。 doveadm-report-quota-显示当前配额使用情况。 doveadm-rm-savedbefore-删除在给定日期规范之前保存的消息。 dsisck -Dovecot SIS一致性检查和修复。 基于SIS操作的说明 , , 。 该程序的主要目的是删除由于
最新Centos7.9 安装Ldap+SSSD认证
XXxia1XX的博客
08-09 1595
参考视频:https://www.bilibili.com/video/BV1LK4y1T78A/?参考文献:https://www.cnblogs.com/liwanliangblog/p/10584885.html。简要概述流程: 服务端使用ldap提供服务 客户端使用sssd去认证服务器 并获得访问权限。料峭春风吹酒醒,微冷,山头斜照却相迎。回首向来萧瑟处,归去,也无风雨也无晴。莫听穿林打叶声,何妨吟啸且徐行。2.添加配置文件信息(整个信息都需要复制与稍微修改)(2) 修改管理员条目与主域。
Linux操作系统口令加密算法(OpenEuler)
刘元林的博客
12-05 3179
MD5 是一种广泛使用的哈希算法,用于生成 128 位散列值。它是一种不可逆的算法,通常用于检测文件完整性和生成数字签名。MD5 目前被认为是不安全的,因为存在碰撞攻击,即两个不同的输入可以产生相同的哈希值。因此,不建议在安全性要求高的场景中使用 MD5。DES C2 是一个分组密码算法,用于数据加密。DEC C2 是一个修改版的 DES,增加了 C2 安全标准要求的功能。DES C2 目前被认为是不安全的,因为它的密钥长度较短,易受到暴力破解攻击。现代应用通常使用更安全的替代方案,如 AES。
Linux用户管理— 用户管理命令
测试-八戒
08-17 1843
因为修改密码的时候为0,证明该用户从1970年到现在一次密码都没有修改过,Linux系统会认为这是不对的,需要你马上进行修改密码。因为是修改了用户名,而初始组等与用户名对应的信息都没有修改,以后用起来及其痛苦。当我批量创建完用户之后,密码一般都是统一的一个默认值,我需要用户登陆时,第一时间就要修改密码,需要怎么做?可以通过命令,把密码修改日期归零(shadow第3字段),这样用户一登陆就要修改密码,先输入旧密码,在输入新密码,新密码要求符合规范。一般我们不加任何选项,都使用默认值创建用户即可。...
linux操作:用户管理
soinlove36的专栏
12-07 430
用于存储 Linux 系统中用户的密码信息,又称为“
ansible 改密码时带有特殊字符
sujin的博客
08-28 3297
#!/bin/bash echo test:sdhrBNa123\!\@\# |chpasswd ansible xxx -m script -a '/root/shell/testpawd.sh' 如果密码中包含 $ 字符,需要使用反斜线进行转义
linux配置密码过期的安全策略(/etc/login.defs的解读)
hjxloveqsx的博客
02-10 4004
长期不更换密码很容易导致密码被破解,而linux的密码过期安全策略主要在/etc/login.defs中配置。
Linux命令之chpasswd命令
月生的静心苑
10-17 9493
chpasswd命令用于同时更改多个用户的密码。它可以从标准输入或指定的文件中读取用户名和密码的组合,并将其应用于系统中的用户。chpasswd命令通常用于批量更改用户密码,特别是在自动化脚本或批处理任务中,该命令需要root账户权限才可以执行。
linux系统centos7.9单台安装nacos
07-18
<think>我们将在CentOS 7.9上安装Nacos。Nacos是一个动态服务发现、配置和服务管理平台。安装步骤包括: 1. 准备环境:确保Java环境已安装(Nacos需要Java 8或更高版本)。 2. 下载Nacos服务器压缩包。 3. 解压并配置。 4. 初始化数据库(可选,如果使用MySQL作为持久化存储)。 5. 启动Nacos服务器。 根据引用[1]中的信息,我们将Nacos安装在`/usr/local/nacos`目录下。 步骤: 1. 安装Java环境(如果尚未安装): ```bash sudo yum install java-1.8.0-openjdk-devel ``` 2. 下载Nacos服务器压缩包(以2.2.0版本为例,注意检查最新版本): ```bash cd /usr/local sudo mkdir nacos cd nacos sudo wget https://github.com/alibaba/nacos/releases/download/2.2.0/nacos-server-2.2.0.tar.gz ``` 3. 解压: ```bash sudo tar -zxvf nacos-server-2.2.0.tar.gz ``` 4. 配置数据库(可选,但生产环境建议配置): 创建数据库`nacos_config`(引用[1]中提到了创建数据库,并运行mysql-schema.sql文件): - 登录MySQL: ```bash mysql -u root -p ``` - 创建数据库和用户: ```sql CREATE DATABASE nacos_config; CREATE USER &#39;nacos&#39;@&#39;%&#39; IDENTIFIED BY &#39;nacos_password&#39;; GRANT ALL PRIVILEGES ON nacos_config.* TO &#39;nacos&#39;@&#39;%&#39;; FLUSH PRIVILEGES; ``` - 导入初始SQL: 解压后的Nacos目录下的`conf/mysql-schema.sql`文件,导入到数据库: ```bash mysql -u root -p nacos_config < /usr/local/nacos/conf/mysql-schema.sql ``` 5. 修改配置文件以使用MySQL: 编辑`conf/application.properties`: ```bash cd nacos vim conf/application.properties ``` 取消注释并修改以下部分: ``` spring.datasource.platform=mysql db.num=1 db.url.0=jdbc:mysql://127.0.0.1:3306/nacos_config?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true db.user=nacos db.password=nacos_password ``` 6. 启动Nacos: - 单机模式(非集群): ```bash sh bin/startup.sh -m standalone ``` 或者,使用以下命令(如果使用systemd管理): 可以创建一个systemd服务文件,例如`/etc/systemd/system/nacos.service`,内容如下: ``` [Unit] Description=Nacos Service After=network.target [Service] Type=forking ExecStart=/usr/local/nacos/bin/startup.sh -m standalone ExecStop=/usr/local/nacos/bin/shutdown.sh PrivateTmp=true [Install] WantedBy=multi-user.target ``` 然后启动: ```bash sudo systemctl daemon-reload sudo systemctl start nacos sudo systemctl enable nacos ``` 7. 验证: 访问`http://<your_server_ip>:8848/nacos`,默认用户名密码为`nacos/nacos`。 注意:防火墙需要开放8848端口: ```bash sudo firewall-cmd --zone=public --add-port=8848/tcp --permanent sudo firewall-cmd --reload ``` 以上步骤完成了在CentOS 7.9上安装Nacos。 根据引用[2]和[3],我们注意到在安装过程中可能需要一些额外的配置(如命令行补全等),但那些不是安装Nacos所必需的,所以这里没有采用。 引用[1]中提到了创建数据库并导入SQL文件,我们已经在步骤4中完成。 引用[3]中提到了主从配置,但Nacos本身支持集群模式,如果后续需要配置集群,可以参考官方文档。这里我们只安装单机模式。 因此,完整的安装过程如上所述。 生成相关问题: 1. 如何配置Nacos集群? 2. Nacos如何实现配置管理? 3. 如何将Nacos作为服务注册中心使用?</think>### 在 CentOS 7.9 上安装 Nacos 的完整指南 #### 1. **环境准备** - **安装 Java** Nacos 依赖 Java 8+: ```bash sudo yum install -y java-1.8.0-openjdk-devel java -version # 验证安装 ``` - **安装必要工具** 增强命令行功能(参考引用[2]): ```bash sudo yum install -y bash-completion bash-completion-extras vim ``` #### 2. **安装 Nacos** - **创建目录并下载**(参考引用[1]): ```bash sudo mkdir -p /usr/local/nacos cd /usr/local/nacos sudo wget https://github.com/alibaba/nacos/releases/download/2.2.0/nacos-server-2.2.0.tar.gz sudo tar -zxvf nacos-server-2.2.0.tar.gz --strip-components 1 ``` #### 3. **配置 MySQL 持久化**(可选但推荐) - **创建数据库**(参考引用[1]): ```sql CREATE DATABASE nacos_config; USE nacos_config; SOURCE /usr/local/nacos/conf/mysql-schema.sql; # 导入初始化脚本 ``` - **修改配置文件**: 编辑 `conf/application.properties`: ```properties spring.datasource.platform=mysql db.num=1 db.url.0=jdbc:mysql://127.0.0.1:3306/nacos_config?characterEncoding=utf8 db.user=your_db_user db.password=your_db_password ``` #### 4. **启动 Nacos** - **单机模式启动**: ```bash sh bin/startup.sh -m standalone # 单机模式 ``` - **验证运行**: ```bash tail -f logs/start.out # 查看日志 curl http://localhost:8848/nacos # 验证服务 ``` #### 5. **配置防火墙** ```bash sudo firewall-cmd --zone=public --add-port=8848/tcp --permanent sudo firewall-cmd --reload ``` #### 6. **访问控制台** - 浏览器访问:`http://服务器IP:8848/nacos` - 默认账号:`nacos`,密码:`nacos` --- ### 关键注意事项 1. **数据库备份**:定期备份 `nacos_config` 数据库[^1]。 2. **集群部署**:生产环境建议集群部署(至少3节点)[^1]。 3. **配置主从**:若需高可用,参考引用[3]配置数据库主从复制。 --- ### 相关问题 1. **如何配置 Nacos 集群模式?** 需修改 `cluster.conf` 并指定节点IP列表[^1]。 2. **如何将 Nacos 注册为系统服务?** 可通过 `systemd` 创建服务文件实现开机自启。 3. **Nacos 如何实现配置的动态更新?** 通过长轮询机制监听配置变更,支持秒级推送[^1]。 4. **如何迁移旧配置到 Nacos?** 可使用 `config-export` 工具导出,再通过控制台导入。 [^1]: [Nacos 官方 GitHub 文档](https://github.com/alibaba/nacos) [^2]: [CentOS 7 基础环境配置指南] [^3]: [MySQL 主从复制配置方法]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值