譯者 | 趙青窕

最糟糕的密碼不是弱密碼，而是根本沒有密碼。作為系統管理員，您必須確保每個用戶帳戶都有一個強密碼。接下來我將簡要的解釋如何在 Linux 中查找密碼為空的帳戶。

在進入主題之前，讓我們快速回顧一下Shadow文件及其用途。

1.目錄

• Shadow文件介紹
• 查找Linux上所有沒有設置密碼的賬戶
• 查找特定狀態的密碼狀態
• 在Linux中，如何設置賬戶密碼
• 在Linux中，如何對賬戶上鎖
• 在Linux中，如何對賬戶進行解鎖操作
• 總結

2.Shadow文件

在 RHEL 系統中，用戶密碼經過哈希處理并存儲在名為 /etc/shadow 的安全文件中。Shadow密碼文件包含用戶帳戶的用戶身份驗證信息和密碼過期策略(password aging)的詳細信息。

Shadow文件歸 root 用戶所有，且只有超級用戶才能讀取。您可以使用以下命令驗證Shadow文件的所有權和權限：

#  ls  -l /etc/shadow 
---------- 1 root root 618 Apr  7 07:52 /etc/shadow

下面給出了影子文件中示例行的典型結構：

user1:$6$5ps/XV21$EFmQ463GJZnsdF/:19089:0:99999:7:::

您可能已經知道，Shadow文件有九個字段，每個字段間采用冒號分隔。

接下來我們快速瀏覽一下每個字段。

• 字段1(登錄名)- 標識了一個登錄帳號，同文件/etc/passwd中的相同。
• 字段2(加密后密碼) -包含用戶對應的采用散列加密方式加密后的密碼。如果此字段開頭有一個感嘆號 (!)，則表示該用戶帳戶已被鎖定。如果此字段為空，則該用戶沒有密碼。
• 字段3(上次更改)- 此字段顯示最后一次修改密碼的時間。如果此字段包含 0，則用戶在下次登錄時將被強制更改密碼。
• 字段4(最短天數)- 此字段顯示在允許用戶更改密碼之前必須經過的最短天數(mindays)。您可以使用帶有 -m 選項的 chage 命令來更改此字段的值。
• 字段5(最大天數)- 顯示用戶密碼過期前密碼有效的最大天數 (maxdays)。如果該字段為 0，則表示此功能已禁用。可以使用帶有 -M 選項的 chage 命令來更改該字段的值。
• 字段6(警告)- 表示用戶在密碼過期前收到更改密碼警告的天數(警告日)。您可以使用帶有 -W 選項的 chage 命令或帶有 -w 選項的 passwd 命令來更改此值。
• 字段7(密碼過期)- 定義用戶能夠使用過期密碼登錄的最大允許天數。這可以使用帶有 -I 標志的 chage 命令或帶有 -i 標志的 passwd 命令來更改。
• 字段8(帳戶到期) - 定義用戶的帳戶將到期且不再可用的天數。您可以使用帶有 -E 選項的 chage 命令更改此字段的值。
• 字段 9(保留)- 該字段保留供將來使用。

如上所述，加密后的密碼存儲在Shadow文件中每個條目的第二個字段中，就在用戶名之后。

因此，如果影子文件中的第二個字段為空，則用戶沒有密碼。下面，我向您展示一個查找所有無密碼用戶帳戶的示例。

3.查找所有沒有密碼的賬戶

要檢測所有沒有密碼的本地用戶帳戶，只需以 root 用戶身份運行以下命令：

# awk -F: '$2 == "" { print $1, "has empty password!. Please set a strong password ASAP!!" }' /etc/shadow

下面是上述命令的輸出示例：

ostechnix has empty password!. Please set a strong password ASAP!!

您還可以使用 getent 命令，同時結合 grep 和 cut 命令來識別 Linux 中的無密碼的本地用戶帳戶，其命令如下所示：

# getent shadow | grep -Po '^[^:]*(?=::)'

也可以采用下面的命令：

# getent shadow | grep '^[^:]*::' | cut -d: -f1

以上所有命令將僅列出密碼為空的本地用戶帳戶。如果要同時列出所有密碼為空的帳戶，下面的兩個命令都可以實現該功能：

# getent shadow | grep -Po '^[^:]*(?=:.?:)'
# getent shadow | grep '^[^:]*:.\?:' | cut -d: -f1

圖 1：查找無密碼的賬戶

4.查看特定賬戶的密碼狀態

上述命令將列出所有沒有密碼的帳戶。您還可以使用帶有 -S 標志的 passwd 命令檢查特定用戶帳戶的密碼狀態。

# passwd -S ostechnix

下面是一個上述命令的輸出示例：ostechnix NP 2022-04-07 0 99999 7 -1 (Empty password.)

passwd命令將指示給定用戶帳戶的密碼狀態?？赡艿闹凳牵?/p>

• LK – 該帳戶被鎖定。
• NP - 該帳戶沒有密碼。
• PS – 該帳戶有一個可用的密碼。

注意：在基于 Debian 的系統中，密碼狀態將分別用L、N、P來標識。

5.在Linux中設置賬戶密碼

您可以作為無密碼用戶登錄，但并不推薦!您必須設置至少包含 8 個字符的強密碼，且密碼中要包括大寫字母、小寫字母、特殊字符和數字。

要在 Linux 中為用戶帳戶設置密碼，請以 root 用戶身份執行passwd 命令，如下所示：

作為根用戶：

# passwd ostechnix

使用上述命令時，請將ostechnix 替換為您自己的用戶名。

現在我們用passwd命令來檢查帳戶的密碼狀態：

# passwd -S ostechnix

輸出示例如下：

ostechnix PS 2022-04-07 0 99999 7 -1 (Password set, SHA512 crypt.)

圖 2：在Linux中設置賬戶密碼

在Linux中鎖定賬戶

有時，您想要鎖定一個沒有密碼的賬戶。如果是這樣，首先如上所述找到密碼為空的用戶，以root用戶的身份執行帶有 -l 標志的 passwd 命令來鎖定賬戶，其命令如下所示：

# passwd -l ostechnix

下面是上述命令的輸出示例：

Locking password for user ostechnix.

passwd: Success

現在我們再來檢查下帳戶的狀態：

# passwd -S ostechnix

其輸出示例如下：

ostechnix LK 2022-04-07 0 99999 7 -1 (Password locked.)

從輸出情況可以看出用戶已被鎖定，且不能再登錄系統了。

您還可以使用帶有 -L(大寫 L)標志的 usermod 命令來鎖定用戶。

# usermod -L ostechnix

在Linux中解鎖賬戶

要在 Linux 中解鎖無密碼用戶，請以root身份執行 passwd 命令或帶有-p的usermod命令，其命令如下：

# passwd ostechnix

輸入兩次密碼以解鎖密碼。

使用 usermod 命令解鎖用戶密碼為空的用戶是不可能的，您可以使用 usermod -p 設置密碼來解鎖用戶的密碼。

# usermod -p <password-here> ostechnix

6.總結

在本教程中，我們解釋了什么是shadow文件以及該文件在 Linux 中的用途。然后，我們討論了在 Linux 中查找所有沒有密碼帳戶的各種命令。最后，我們學習了如何為用戶設置密碼，以及如何在 Linux 中鎖定和解鎖用戶。

原文鏈接：https://ostechnix.com/find-user-accounts-with-empty-password-in-linux/

譯者介紹

趙青窕，51CTO社區編輯，從事多年驅動開發。研究興趣包含安全OS和網絡安全領域，發表過網絡相關專利。