/etc/shadow文件

/etc/shadow文件

由于/etc/passwd文件是所有用户都可读的，如果用户的密码太简单或规律比较明显的话，一台普通的计算机就能够很容易地将它破解，因此对安全性要求较高的Linux系统都把加密后的口令字分离出来，单独存放在一个文件中，这个文件是/etc/shadow文件。 有超级用户才拥有该文件读权限，这就保证了用户密码的安全性。shadow文件的内容如下：

[root@instance-d619ad0f ~]# cat /etc/shadow
root:$1$axXIDtrl$QZNJJseknb.pKpIg7pBgk0:17686:0:99999:7:::
bin:*:17632:0:99999:7:::
daemon:*:17632:0:99999:7:::
adm:*:17632:0:99999:7:::
lp:*:17632:0:99999:7:::
sync:*:17632:0:99999:7:::
shutdown:*:17632:0:99999:7:::
halt:*:17632:0:99999:7:::
mail:*:17632:0:99999:7:::
operator:*:17632:0:99999:7:::
games:*:17632:0:99999:7:::
ftp:*:17632:0:99999:7:::
nobody:*:17632:0:99999:7:::
systemd-network:!!:17681::::::
dbus:!!:17681::::::
polkitd:!!:17681::::::
libstoragemgmt:!!:17681::::::
abrt:!!:17681::::::
rpc:!!:17681:0:99999:7:::
sshd:!!:17681::::::
postfix:!!:17681::::::
ntp:!!:17681::::::
chrony:!!:17681::::::
tcpdump:!!:17681::::::

它的文件格式与/etc/passwd类似，由9个字段组成，字段之间用”:”隔开。这些字段是：

账号名称:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不修改密码时间:失效时间:标志

1. 登录名

“登录名”是与/etc/passwd文件中的登录名相一致的用户账号。

2. 加密口令（密码）

这个字段内的数据是账号的真正密码，且是经过编码的。虽然加密后的密码很难被破解出来，但还是有可能被破解的。所以这个的文件权限预设为-rw-------或----------，只有root账号才能读写该文件。由于各种密码的编码技术不一样，因此不同的编码系统会造成这个字段的长度不同。由于固定的编码系统产生的密码长度必须一致，因此当该字段的长度被改变后，密码就会失效，通过在该字段前加上*或!改变密码长度，可以让密码失效。

3. 最后一次修改时间

“最后一次修改时间”表示的是从某个时刻起，到用户最后一次修改密码时的天数。时间起点对不同的系统可能不一样。大部分操作系统中，这个时间起点是1970年1月1日。

4. 最小时间间隔

“最小时间间隔”指的是两次修改密码之间所需的最小天数，表示账号密码在被修改之后至少经过几天后才能被修改。

5. 最大时间间隔

“最大时间间隔”指的是口令保持有效的最大天数，表示在修改密码之后，最多要在几天之内修改一次密码，如果不修改，则账号密码就会过期。

6. 警告时间

“警告时间”字段表示的是从系统开始警告用户到用户密码正式失效之间的天数。在这段时间内，系统会发送警告信息给对应用户，告诉用户还有n天密码就要失效。

7. 不修改密码时间

“不修改密码时间”表示的是用户密码过期后，允许不修改密码的天数。在这期间，用户任然可以用对应账号登录系统，但登录后，系统会强制要求你必须重新设定密码才能继续使用。如果过了期限还没更改密码，则密码彻底失效，该账号再也无法用该密码来登录。

8. 失效时间

“失效时间”字段给出的是一个绝对的天数，如果使用了这个字段，那么就给出相应账号的生存期。期满后，该账号就不再是一个合法的账号，也就不能再用来登录了。

9. 标志

该字段被保留，暂无任何内容，以便之后可能加入新字段信息。