如何在Linux中管理密码哈希 Linux shadow文件解析

答案：管理Linux密码哈希需理解/etc/shadow文件结构及使用工具。该文件每行9个字段，依次为用户名、加密密码（含算法标识如$6$为SHA512）、上次修改天数、最短/最长使用天数、警告天数、不活动天数、过期日期和保留字段。密码哈希通过passwd命令安全更新，系统自动采用默认算法（如SHA512）。需精细控制时可用chage设置策略，usermod管理账户状态。手动重置可进入救援模式清空密码字段或用openssl passwd -6生成SHA512哈希替换。常见算法包括MD5（$1$）、SHA256（$5$）、SHA512（$6$）和bcrypt（$2a$），推荐使用SHA512或bcrypt以增强抗暴力破解和彩虹表能力。直接编辑/etc/shadow风险高，须先备份，优先使用封装命令确保安全。

在Linux系统里，密码哈希的管理，说白了，就是围绕着那个神秘的

/etc/shadow

解决方案

要管理Linux中的密码哈希，核心在于理解并恰当操作

/etc/shadow

最直接的密码管理方式，自然是使用

passwd

passwd <username>

/etc/shadow

然而，管理哈希不仅仅是改密码这么简单。有时我们需要更精细的控制，比如设置密码过期策略、禁用账户、甚至直接生成哈希并手动替换（虽然这不常推荐，但了解其原理很重要）。

usermod

chage

usermod

chage

如果你需要生成一个特定的密码哈希，比如为了自动化部署或者某个特殊场景，

openssl passwd

mkpasswd

whois

/etc/shadow

/etc/shadow

passwd

usermod

/etc/shadow

登录后复制

文件结构解析：每个字段的含义是什么？

/etc/shadow

一行典型的

/etc/shadow

:

1. 用户名 (Login Name): 这是用户账户的名称，和

   /etc/passwd

   登录后复制
   中的用户名一致。
2. 加密密码 (Encrypted Password): 这是最重要的字段，存储着用户密码的哈希值。这个哈希值前缀通常会指示所使用的哈希算法（例如，

   $1$

   登录后复制
   表示MD5，

   $5$

   登录后复制
   表示SHA256，

   $6$

   登录后复制
   表示SHA512，

   $2a$

   登录后复制
   或

   $2b$

   登录后复制
   表示bcrypt）。如果这个字段是

   !

   登录后复制
   或

   *

   登录后复制
   ，表示账户被锁定或密码未设置，用户无法通过密码登录。如果为空，则表示无需密码即可登录，这非常危险。
3. 上次密码修改日期 (Last Password Change): 这是一个数字，表示自Epoch（1970年1月1日UTC）以来，密码最后一次被修改的天数。比如，

   18990

   登录后复制
   可能意味着密码在2021年12月25日左右被修改过。
4. 密码最短使用天数 (Minimum Days): 密码被修改后，用户在多少天内不能再次修改密码。这有助于防止用户立即改回旧密码。通常设置为0，意味着可以随时修改。
5. 密码最长使用天数 (Maximum Days): 密码必须在多少天内被修改。如果超过这个天数，用户将被强制修改密码才能登录。这是强制密码轮换策略的核心。
6. 密码过期警告天数 (Warning Days): 在密码即将过期前的多少天开始，系统会向用户发出密码即将过期的警告。
7. 账户不活动天数 (Inactive Days): 如果用户在密码过期后，连续多少天没有登录，账户将被禁用。这通常用于清理不活跃账户。
8. 账户过期日期 (Expiration Date): 这是一个绝对日期，表示自Epoch以来，账户将被完全禁用的天数。一旦达到这个日期，用户就无法登录了，无论密码是否有效。
9. 保留字段 (Reserved Field): 这个字段目前未使用，通常为空。

通过

cat /etc/shadow | grep your_username

myuser:$6$saltsalt$hashedpassword:19000:0:90:7:::

myuser

如何手动更改或重置Linux用户的密码哈希？

手动更改或重置密码哈希，这操作听起来有点“黑客”的味道，但实际上在某些特殊场景下，确实需要我们深入到这一层面。当然，日常操作我们还是会用

passwd

最常见且推荐的方法，当然是使用

passwd

sudo passwd <username>

/etc/shadow

但如果我们谈论“手动”更改哈希，那可能意味着我们需要自己生成哈希，然后将其插入到

/etc/shadow

1. 救援模式下重置Root密码： 当你忘记了root密码，无法登录系统时，你可能需要进入救援模式（或单用户模式），挂载根文件系统，然后直接编辑

   /etc/shadow

   登录后复制
   。在这种情况下，你可以将root用户的密码字段清空（

   root::...

   登录后复制
   ），然后重启系统以root身份登录（无需密码），再用

   passwd root

   登录后复制
   设置新密码。或者，更高级一点，在救援模式下用

   openssl passwd -6 -salt <your_salt> <your_new_password>

   登录后复制
   生成一个SHA512哈希，然后将这个哈希值复制粘贴到root用户的密码字段中。
2. 自动化脚本或特殊部署： 虽然不常见，但有些自动化脚本可能需要生成密码哈希，然后通过脚本的方式更新

   /etc/shadow

   登录后复制
   （当然，这需要极高的权限和严格的安全控制）。

生成哈希的工具：

代码小浣熊

代码小浣熊是基于商汤大语言模型的软件智能研发助手，覆盖软件需求分析、架构设计、代码编写、软件测试等环节

51

查看详情

• openssl passwd

  登录后复制
  ： 这是一个非常强大的工具，支持多种哈希算法。
  • 生成MD5哈希（不推荐）：

    openssl passwd -1 -salt MySalt MyPassword

    登录后复制
  • 生成SHA512哈希（推荐）：

    openssl passwd -6 -salt MySalt MyPassword

    登录后复制
  • 生成bcrypt哈希（某些系统支持）：

    openssl passwd -a bcrypt -salt MySalt MyPassword

    登录后复制
    这里的

    MySalt

    登录后复制
    是一个随机字符串，用于增加哈希的安全性，防止彩虹表攻击。

    MyPassword

    登录后复制
    是你想设置的明文密码。

• mkpasswd

  登录后复制
  ： 如果你的系统安装了

  whois

  登录后复制
  包，通常会包含

  mkpasswd

  登录后复制
  。

  • mkpasswd -m sha-512 MyPassword MySalt

    登录后复制
    这与

    openssl passwd -6

    登录后复制
    类似，但语法略有不同。

生成哈希后，你需要：

1. 备份

   /etc/shadow

   登录后复制
   ： 这是黄金法则。在进行任何直接编辑之前，务必备份！

   sudo cp /etc/shadow /etc/shadow.bak

   登录后复制
2. 编辑

   /etc/shadow

   登录后复制
   ： 使用

   vi

   登录后复制
   或

   nano

   登录后复制
   等文本编辑器以root权限打开

   /etc/shadow

   登录后复制
   。

   sudo vi /etc/shadow

   登录后复制
3. 替换哈希： 找到目标用户的行，将第二个字段（加密密码）替换为你生成的哈希值。 例如，如果原来是

   user:$6$oldhash:....

   登录后复制
   ，替换为

   user:$6$newhash:....

   登录后复制
   。
4. 保存并退出。
5. 验证： 尝试用新密码登录。

这种直接编辑的方式，虽然提供了极致的控制，但也伴随着巨大的风险。一个不小心，文件格式错误，或者哈希值粘贴不完整，都可能导致用户无法登录，甚至系统崩溃。所以，除非你真的知道自己在做什么，并且没有其他选择，否则请坚持使用

passwd

Linux中常见的密码哈希算法及其选择的重要性

在Linux世界里，密码哈希算法的选择，远不止是技术细节那么简单，它直接关系到用户数据的安全防线有多坚固。从早期的MD5到现在的SHA512、bcrypt，每一次算法的演进，都是为了应对日益增长的计算能力和更复杂的攻击手段。

最初，Linux（以及许多Unix系统）使用基于DES的

crypt()

随着时间的推移，新的、更强大的算法被引入：

• MD5 (

  $1$

  登录后复制
  ): MD5哈希算法在一段时间内被广泛使用。它比DES更安全，能处理任意长度的密码，并引入了“盐值”（salt）的概念。盐值是一个随机字符串，与密码一起哈希，确保即使两个用户设置了相同的密码，它们的哈希值也不同，这有效地阻止了彩虹表攻击。然而，MD5本身已被证明存在碰撞漏洞，虽然对密码哈希的直接影响有限，但其计算速度快，使其仍然容易受到暴力破解。
• SHA256 (

  $5$

  登录后复制
  ) 和 SHA512 (

  $6$

  登录后复制
  )： 这些是SHA-2家族的哈希算法，比MD5更安全，计算强度更高。它们也使用盐值。SHA512是当前许多Linux发行版（如CentOS、Ubuntu等）的默认密码哈希算法。它的计算成本更高，意味着攻击者需要更多的计算资源才能进行暴力破解。
• bcrypt (

  $2a$

  登录后复制
  ,

  $2b$

  登录后复制
  ,

  $2y$

  登录后复制
  ): bcrypt是一个专门为密码哈希设计的算法，它基于Blowfish密码，并引入了“工作因子”（work factor）或“成本因子”（cost factor）的概念。这意味着你可以调整算法的计算强度，使其随着计算能力的提升而变得更慢。bcrypt的慢速特性使其对暴力破解和GPU加速攻击具有很强的抵抗力。
• scrypt 和 Argon2： 这两种算法是更现代的密码哈希算法，旨在解决bcrypt的一些局限性，特别是针对ASIC和GPU的内存攻击。它们不仅计算成本高，而且内存消耗也大，使得大规模并行攻击变得极其困难。虽然它们在Linux系统中的普及度不如SHA512和bcrypt，但在一些对安全性要求极高的应用中，它们正变得越来越受欢迎。

为什么算法选择如此重要？

1. 抵抗暴力破解： 算法越慢，攻击者尝试每个密码所需的时间就越长，从而显著增加了暴力破解的难度。
2. 抵抗彩虹表攻击： 盐值的引入，以及算法本身的复杂性，使得预计算的彩虹表几乎无效。
3. 抵抗GPU/ASIC攻击： 像bcrypt、scrypt和Argon2这样的算法，通过增加计算或内存消耗，专门设计来对抗使用GPU或专用硬件进行的并行攻击。
4. 前瞻性安全： 随着计算技术的发展，今天看起来安全的算法，明天可能就不够用了。选择一个当前被认为是健壮且有未来潜力的算法，是维护长期系统安全的关键。

所以，在配置系统或选择哈希算法时，我总是倾向于使用那些被广泛认可且计算成本高的算法，比如SHA512或bcrypt。虽然它们会略微增加密码验证的时间，但这种微小的性能牺牲，换来的是用户数据安全性的巨大提升，这绝对是值得的。别忘了，密码安全，永远是系统安全的第一道防线。

以上就是如何在Linux中管理密码哈希 Linux shadow文件解析的详细内容，更多请关注php中文网其它相关文章！