[RHEL5系統管理攻略]--第1章 使用者與組管理（2）

<b>1.3 </b><b>密碼的管理</b>

<b>   </b><b>  </b><b>賬号好似一張通行證，有了賬号才能順利地使用RHEL。不過，RHEL如何确認某賬号的人是這個賬号的真正擁有者呢？此時RHEL會根據使用者的密碼來确認使用者的身份。</b>

<b>1.3</b><b>．1</b> <b>加密解密原理</b>

<b>    </b><b>事實上，DES與MD5都隻是單向式雜湊演算法，雜湊演算法是具備下面所有條件的數學算法。</b>

<b>⑴輸入的長度可不固定，但輸出的長度是固定的。</b>

<b>⑵輸入改變，輸出也會改變；輸入不變，輸出就不變。</b>

<b>⑶無法由輸出推算出輸入的值。</b>

<b></b>

<b>①和③是123456的MD5哈希值。</b>

<b>②和④是amani的MD5哈希值。</b>

<b>    123456</b><b>與amani的兩個輸入不同長度的資料，但它們的哈希值都是32個字元。驗證了：</b>

<b>⑵輸入改變，輸出也會改變；輸入不變，輸出就不變。</b>     

<b>    </b><b>由于，雜湊演算法會為每一個資料提供一個獨一無二的指紋。若輸入資料的内容改變了，計算出來的哈希值也會跟着改變；若輸入的資料的内容相同，則哈希值也會相同。</b>

<b>    </b><b>黑客要破解出原始的密碼就挺簡單了，為了增加破解的難度，RHEL使用“加料”的DES/DM5演算法。</b>

<b>    </b><b>第一步，先産生一個固定長度的随機數。</b>

<b>    </b><b>第二步，把随機數連同原始的密碼一并交給單向雜湊演算法，計算出密碼與随機數的哈希值。</b>

<b>    </b><b>這樣即使是相同的密碼，也會産生不同的密碼哈希值，增加了破譯的困難度。</b>

<b>1.3</b><b>．2</b> <b>修改使用者密碼</b>

     在RHEL中，用useradd指令建立一個使用者時，則會鎖定使用者的密碼，如此一來，使用者暫不能使用RHEL了。必須要修改其密碼後，建立的使用者才能用他的賬号登入RHEL。

<b>     </b><b>修改使用者賬号的密碼的指令是passwd,其文法是：</b>

<b>      Passwd [-d] [-k] [-l] [-S] [</b>--<b>stdin] username</b>

<b>-d :  </b><b>删除使用者密碼，即清空/etc/passwd、/etc/shadow檔案中的密碼字段。</b>

<b>      一旦删除使用者密碼，則不要密碼直接登入RHEL。切記！危險！！！</b>

<b>-l </b><b>： 鎖定賬号，一經鎖定，使用者再也不能登入，即使輸入的    密碼是正确的。</b>

<b>-S </b><b>： 此參數是大寫的S，顯示密碼的狀況。如加密算法的種類、是否已設定密碼  等。此參數僅root有權執行！</b>

--<b>stdin :  </b><b>由标準輸入（Standard Input, stdin）讀入密碼的本文，再由passwd指令加密成為密文類型的密碼。</b>

<b>     </b><b>好啦，我們來使用passwd指令來管理koma的密碼例子：</b>

①慣例，先查詢是否有将要建立的使用者koma,此為沒有。

②使用useradd指令添加koma這個使用者。

③因剛才添加的使用者koma，會被鎖定，故當用passwd -S(大寫)查詢時，會出現“password locked”,意即，koma的密碼已被鎖定了。

④直接讓passwd從标準輸入讀入密碼資料amani後，設定為koma的密碼。

⑤再次查詢可知，密碼已加密設定且為MD5加密。

 <b>1.3</b><b>．2</b> <b>修改使用者密碼</b>

            RHEL可以為每一個組設定一個密碼，稱之為組密碼。

如果該組沒有指定密碼，則RHEL隻允許組的成員可以使用newgrp修改主要組的身份；如果組設定了密碼，則組成員仍可以不用密碼就切換主要組身份，但非組的成員必須提供正确的密碼才可以。

          請看下面的例子：

①是koma查詢自己的賬戶資訊的結果。koma加入了koma和fans兩個組且koma目前的

  主要組是koma。

②koma使用newgrp以fans的組身份開啟一個新的shell。

③koma再次查詢自己的賬号資料，而現在koma的主要組已經變為fans。

④若id指定查詢koma的賬戶資訊，則koma的主要組還koma。

⑤使用exit指令退回到原來的shell環境。

⑥用id查詢可知，koma已經恢複到原來的狀态了。

    在RHEL中建立的組賬号預設會被鎖定密碼，這樣就沒有人能使用這個建立的組作為主要組了。如何設定組的密碼呢？請看下面：

    gpasswd [-r] [-R] groupname

-r  : 用來删除組的密碼。

-R  : 是鎖定group的組密碼。

無參數 : 預設是修改group的組密碼。 

 51CTO部落格，原文連結：http://blog.51cto.com/beyondhdf/139924 ，如需轉載請自行聯系原作者