发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 管理员安全(9)
发信站: cs3 BBS (Mon Jun 16 13:14:41 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

5./etc/passwd文件
    /etc/passwd文件是UNIX安全的关键文件之一.该文件用于用户登录时校验
用户的口令,当然应当仅对root可写.文件中每行的一般格式为:
    LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL
    每行的头两项是登录名和加密后的口令,后面的两个数是UID和GID,接着的
一项是系统管理员想写入的有关该用户的任何信息,最后两项是两个路径名:
一个是分配给用户的HOME目录,第二个是用户登录后将执行的shell(若为空格则
缺省为/bin/sh).

  (1)口令时效
      /etc/passwd文件的格式使系统管理员能要求用户定期地改变他们的口令.
  在口令文件中可以看到,有些加密后的口令有逗号,逗号后有几个字符和一个
  冒号.如:
      steve:xyDfccTrt180x,M.y8:0:0:admin:/:/bin/sh
      restrict:pomJk109Jky41,.1:0:0:admin:/:/bin/sh
      pat:xmotTVoyumjls:0:0:admin:/:/bin/sh
      可以看到,steve的口令逗号后有4个字符,restrict有2个,pat没有逗号.
      逗号后第一个字符是口令有效期的最大周数,第二个字符决定了用户再次
  修改口信之前,原口令应使用的最小周数(这就防止了用户改了新口令后立刻
  又改回成老口令).其余字符表明口令最新修改时间.
      要能读懂口令中逗号后的信息,必须首先知道如何用passwd_esc计数,计
  数的方法是: .=0  /=1  0-9=2-11  A-Z=12-37  a-z=38-63
      系统管理员必须将前两个字符放进/etc/passwd文件,以要求用户定期的
  修改口令,另外两个字符当用户修改口令时,由passwd命令填入.
      注意:若想让用户修改口令,可在最后一次口令被修改时,放两个".",则下
  一次用户登录时将被要求修改自己的口令.
      有两种特殊情况:
      . 最大周数(第一个字符)小于最小周数(第二个字符),则不允许用户修改
        口令,仅超级用户可以修改用户的口令.
      . 第一个字符和第二个字符都是".",这时用户下次登录时被要求修改口
        令,修改口令后,passwd命令将"."删除,此后再不会要求用户修改口令.

  (2)UID和GID
      /etc/passwd中UID信息很重要,系统使用UID而不是登录名区别用户.一般
  来说,用户的UID应当是独一无二的,其他用户不应当有相同的UID数值.根据惯
  例,从0到99的UID保留用作系统用户的UID(root,bin,uucp等).
      如果在/etc/passwd文件中有两个不同的入口项有相同的UID,则这两个用
  户对相互的文件具有相同的存取权限.

--
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]