Понимание файла /etc/shadow

Существует несколько разных схем аутентификации, которые можно использовать в системах Linux. Наиболее часто используется и стандартная схема для выполнения аутентификации файлов /etc/passwd и /etc/shadow.

/etc/shadow – это текстовый файл, содержащий информацию о паролях пользователей системы. Он принадлежит пользователю root и группе shadow и имеет 640 разрешений.

Формат /etc/shadow

Файл /etc/shadow содержит одну запись в каждой строке, каждая из которых представляет собой учетную запись пользователя. Вы можете просмотреть содержимое файла с помощью текстового редактора или команды, такой как cat:

sudo cat /etc/shadow

Как правило, первая строка описывает пользователя root, затем системные и обычные учетные записи пользователей. Новые записи добавляются в конец файла.

Каждая строка файла /etc/shadow содержит девять полей, разделенных запятыми:

mark:$6$.n.:17736:0:99999:7:::
[--] [----] [---] - [---] ----
|      |      |   |   |   |||+-----------> 9. Неиспользованный
|      |      |   |   |   ||+------------> 8. Срок годности
|      |      |   |   |   |+-------------> 7. Период бездействия
|      |      |   |   |   +--------------> 6. Период предупреждения
|      |      |   |   +------------------> 5. Максимальный возраст пароля
|      |      |   +----------------------> 4. Минимальный возраст пароля
|      |      +--------------------------> 3. Последнее изменение пароля
|      +---------------------------------> 2. Зашифрованный пароль
+----------------------------------------> 1. Имя пользователя

1. Имя пользователя. Строка, которую вы вводите при входе в систему. Учетная запись пользователя, которая существует в системе.
2. Зашифрованный пароль. Пароль использует формату $type$salt$hashed. $type является методом криптографического алгоритма хеширования и может иметь следующие значения:
   • $1$ – MD5
   • $2a$ – Blowfish
   • $2y$ – Eksblowfish
   • $5$ – SHA-256
   • $6$ – SHA-512

   Если поле пароля содержит звездочку ( *) или восклицательный знак ( !), пользователь не сможет войти в систему с использованием аутентификации по паролю. Другие методы входа, такие как аутентификация на основе ключей или переключение на пользователя, по-прежнему разрешены

   В старых системах Linux зашифрованный пароль пользователя хранился в файле /etc/passwd.

3. Последнее изменения пароля. Это дата последнего изменения пароля. Количество дней исчисляется с 1 января 1970 года (дата эпохи).
4. Минимальный срок действия пароля. Количество дней, которое должно пройти, прежде чем пароль пользователя может быть изменен. Как правило, он установлен на ноль, что означает отсутствие минимального срока действия пароля.
5. Максимальный срок действия пароля. Количество дней после смены пароля пользователя. По умолчанию этот номер установлен на 99999.
6. Период предупреждения. Количество дней до истечения срока действия пароля, в течение которого пользователь получает предупреждение о необходимости изменения пароля.
7. Период бездействия. Количество дней после истечения срока действия пароля пользователя до отключения учетной записи пользователя. Обычно это поле пустое.
8. Срок хранения. Дата, когда учетная запись была отключена. Это представляется как дата эпохи.
9. Неиспользованный. Это поле игнорируется. Оно зарезервированно для будущего использования.

Файл /etc/shadow не стоит редактировать вручную, если вы не знаете, что вы делаете. Всегда используйте команду, которая предназначена для этой цели. Например, чтобы изменить пароль пользователя, используйте команду passwd, а для изменения информации об устаревании пароля используйте команду chage.

Пример записи

Давайте посмотрим на следующий пример:

andreyex:$6$zHvrJMa5Y690smbQ$z5zdL...:18009:0:120:7:14::

Запись выше содержит информацию о пароле пользователя andreyex:

• Пароль зашифрован с помощью SHA-512 (пароль сокращен для лучшей читаемости).
• Последний раз пароль изменялся 23 апреля 2019 года 18009.
• Минимального срока действия пароля нет.
• Пароль необходимо менять как минимум каждые 120 дней.
• Пользователь получит предупреждающее сообщение за семь дней до истечения срока действия пароля.
• Если пользователь не попытается войти в систему через 14 дней после истечения срока действия пароля, учетная запись будет отключена.
• Нет срока действия аккаунта.

Вывод

Файл /etc/shadow хранит запись о паролях зашифрованы пользователями, а также других паролях связанной с ними информацию.

Если у вас есть какие-либо вопросы или отзывы, не стесняйтесь оставлять комментарии.