影子口令(影子密码)
Linux/Unix中广泛采用影子机制来加强密码安全性,影子口令一般为两部分:密码文件+影子密码文件以redhat7为例:
redhat中的文件/etc/passwd是默认全部用户可读的,因为加密算法是公开的,密码可能会被人恶意穷举破解。
影子机制可以将/etc/passwd上的密文区域上的密文转移到默认只有root可读的/etc/shadow中,而/etc/passwd原本密文区域上的内容就会变为一个x。如图:普通用户对/etc/shadow没有可读权限。
如果设置/etc/passwd为不可读,普通用户的登录提示符会不显示用户名,当用 ls -l(d) 查看文件时本用户所创文件或目录时会不显示用户名而是显示UID,查看其他用户所创文件或目录时则不显示组名而是显示GID。如图:
启动影子口令pwconv(默认启动)
关闭影子口令pwunconv(关闭后/etc/passwd密文区域上的x会变回密文)
影子口令(影子密码)
Linux/Unix中广泛采用影子机制来加强密码安全性,影子口令一般为两部分:密码文件+影子密码文件以redhat7为例:
redhat中的文件/etc/passwd是默认全部用户可读的,因为加密算法是公开的,密码可能会被人恶意穷举破解。
影子机制可以将/etc/passwd上的密文区域上的密文转移到默认只有root可读的/etc/shadow中,而/etc/passwd原本密文区域上的内容就会变为一个x。如图:普通用户对/etc/shadow没有可读权限。
如果设置/etc/passwd为不可读,普通用户的登录提示符会不显示用户名,当用 ls -l(d) 查看文件时本用户所创文件或目录时会不显示用户名而是显示UID,查看其他用户所创文件或目录时则不显示组名而是显示GID。如图:
启动影子口令pwconv(默认启动)
关闭影子口令pwunconv(关闭后/etc/passwd密文区域上的x会变回密文)