华南俳烁实业有限公司

　　注意：當(dāng)編輯/etc/passwd文件來建立一個(gè)新賬號(hào)時(shí)，應(yīng)在密碼字段放一個(gè)"*"，(一些偽用戶，例如daemon也如此)以避免用戶未經(jīng)權(quán)而使用該賬號(hào)。直到你為此新建賬號(hào)設(shè)置了真實(shí)密碼。

　　3.2/etc/shadow文件

　　傳統(tǒng)上，/ e t c / p a s s w d文件在很大范圍內(nèi)是可讀的，因?yàn)樵S多程序需要用它來把U I D轉(zhuǎn)換為用戶名。例如，如果不能訪問/ e t c / p a s s w d，那么ls -l命令將顯示數(shù)字U I D而不是用戶名。不幸的是，使用口令猜測(cè)程序，具有加密口令的可讀/ e t c / p a s s w d文件表現(xiàn)出巨大的安全危險(xiǎn)。多數(shù)近來的U N I X產(chǎn)品支持一個(gè)變通方法：影子口令文件。影子口令系統(tǒng)把口令文件分成兩部分： / e t c / p a s s w d和影子口令文件。影子口令文件保存加密的口令;/ e t c / p a s s w d中的c o d e d - p a s s w o r d域都被置為“X”或其他替代符號(hào)。影子口令文件只能被r o o t或像p a s s w d這樣的s e t _ u i d程序在需要合法訪問時(shí)讀取，其他所有非授權(quán)用戶都被拒絕訪問。習(xí)慣上，影子口令文件保存在/ e t c / s h a d o w中，盡管有些系統(tǒng)使用可選的路徑和文件名。例如B S D系統(tǒng)把加密的口令保存在/ e t c / m a s t e r. p a s s w d。

　　/etc/shadow剖析

　　/ e t c / s h a d o w文件包含用戶名和加密口令以及下面一些域：

　　(1) 上一次修改口令的日期，以從1 9 7 0年1月1日開始的天數(shù)表示。

　　(2) 口令在兩次修改間的最小天數(shù)�？诹钤诮�立后必須更改的天數(shù)。

　　(3)口令更改之前向用戶發(fā)出警告的天數(shù)。

　　(4)口令終止后帳號(hào)被禁用的天數(shù)。

　　(5)自從1 9 7 0年1月1日起帳號(hào)被禁用的天數(shù)。

　　(6)保留域。

　　下面是一個(gè)Red Hat Linux系統(tǒng)中/ e t c / s h a d o w文件的例子：

　　root:mGqwuvdF41bc:10612:0:99999:7:::

　　bin:*:10612:0:99999:7:::

　　daemon*:10612:0:99999:7:::

　　adm:*:10612:0:99999:7:::

　　lp*:10612:0:99999:7:::

　　sync:*:10612:0:99999:7:::

　　shutdown:*:10612:0:99999:7:::

　　halt:*:10612:0:99999:7:::

　　mail:*:10612:0:99999:7:::

　　news:*:10612:0:99999:7:::

　　uucp:*:10612:0:99999:7:::

　　operator:*:10612:0:99999:7:::

　　freebird:sdfaBh45ZiQn1llfa:10612:0:99999:7:::

　　缺省情況下，口令更新并不開啟。于是沒有口令更改前的最小天數(shù)，也沒有口令必須更改的日期�？诹钤�99 999天內(nèi)必須更換的聲明幾乎無用，因?yàn)閺默F(xiàn)在起幾乎還有2 5 0年。在口令終止前7天警告用戶的聲明也沒用，除非選擇使用口令更新。在本例中沒有聲明，還可以在口令終止和帳號(hào)禁用之間設(shè)置一個(gè)時(shí)間段。

　　在可選影子口令功能的系統(tǒng)中，用一條相對(duì)簡(jiǎn)單的命令設(shè)置并更新影子口令文件：p w c o n v。該命令在影子口令文件不存在的情況下創(chuàng)建一個(gè)新的。如果已存在一個(gè)影子文件，p w c o n v把/ e t c / p a s s w d中的新用戶添加到/ e t c / s h a d o w中，把/ e t c / p a s s w d中沒有的用戶從影子文件中刪去，并把口令從/ e t c / p a s s w d移到影子文件中。在Red Hat Linux中，p w c o n v把新的/ e t c / p a s s w d文件寫到一個(gè)名為n p a s s w d的文件中，把新影子文件寫到n s h a d o w中。這些新文件需要手工進(jìn)行重命名或拷貝。用戶可以用p w u n c o n v命令返回到不使用影子文件的情況下，它把影子文件中的信息合并回傳統(tǒng)的口令文件中。

　　提示：早期的L i n u x不支持影子口令。

　　注意：在solaris下，必須使用隱蔽口令文件，在Linux下，如果用戶安裝了shadow軟件也可以使用。

　　3.2/etc/master.passwd

　　在BSD下，實(shí)際的口令文件是/etc/master.passwd.,這里的密碼都是簡(jiǎn)單的文本數(shù)據(jù)庫(kù)，每個(gè)用戶占一行，行中字段用":"隔開。 /etc/master.passwd權(quán)限為0600，而/etc/passwd為0644，這就意味著任何人都人存取/etc/passwd.但只有 root才能讀取/etc/master.passwd.

　　在BSD中，/etc/master.passwd是/etc/passwd的超集，它直接生成/etc/passwd文件。所以在BSD中 /etc/passwd文件總是不需要直接進(jìn)行編輯。一旦運(yùn)行vipw,passwd,chfn,chsh或者chpass這些命令,也是對(duì) /etc/master.passwd進(jìn)行修改。并且修改后會(huì)自動(dòng)生成/etc/passwd.(一同生成的還有由pwd_mkdb工具生成的 /etc/master.passwd的散列表形式。)

　　平面文件數(shù)據(jù)庫(kù)(/etc/passwd,/etc/master.passwd)都只對(duì)少量用戶合適，用戶一多，查找速度就慢。因此在BSD 下相應(yīng)的還有兩個(gè)數(shù)據(jù)庫(kù)格式的散列表/etc/pwd.db和/etc/spwd.db,其權(quán)限也和上面兩文件對(duì)應(yīng)。每次運(yùn)行chfn,passwd等命令后,pwd_mkdb都會(huì)自動(dòng)修改這兩個(gè)文件。

　　提示：若希望根據(jù)另一個(gè)FreeBSD重新構(gòu)件用戶列表或者從另一個(gè)FreeBSD機(jī)器移植一個(gè)用戶列表，只須簡(jiǎn)單的把新的master.passwd(比如master.passwd.new)文件置于/etc/下(或/ 下)，然后運(yùn)行如下命令(注意先備份)：

　　%cp /etc/master.passwd /etc/master.passwd.bak

　　%pwd_mkdb -p /etc/master.passwd.new