Linux 系统通过加盐哈希算法将用户密码加密存储在 /etc/shadow 文件中,而非明文保存,这是保障系统安全的核心机制,这种设计确保了即使攻击者获取了密码文件,也无法直接还原出原始密码,同时结合 PAM(可插拔认证模块)实现复杂的密码策略控制,从而在存储与认证两个层面构建起严密的安全防线。
核心存储文件 /etc/shadow 的机制
在 Linux 系统的早期版本中,用户密码是存储在 /etc/passwd 文件中的,由于该文件对所有用户可读,存在极大的安全隐患,现代 Linux 发行版已将密码哈希值迁移至 /etc/shadow 文件,该文件仅对 root 用户具有可读权限(权限通常为 600 或 000),从文件系统层面杜绝了普通用户窥探密码哈希的可能性。
/etc/shadow 文件中的每一行代表一个用户,由冒号分隔为九个字段,第二个字段是经过加密处理的密码哈希串,该字段的结构通常包含三个部分:加密算法标识、加盐值和最终的哈希结果。$6$salt$hash 表示使用 SHA-512 算法,这种分离存储的设计是 Linux 安全架构的基础,确保了密码信息的隐蔽性。
加密算法与加盐技术的安全原理
Linux 并不直接存储密码,而是存储密码的哈希值,哈希函数是一种单向数学函数,可以将任意长度的输入转换为固定长度的输出,且在计算上不可逆,这意味着系统在验证用户身份时,是将用户输入的密码经过同样的哈希计算,然后与存储的哈希值进行比对,而非解密存储的哈希值。
为了抵御彩虹表攻击(预先计算好的哈希表用于反向查询密码),Linux 引入了加盐技术,在计算哈希之前,系统会生成一段随机字符串(即“盐”)与原始密码拼接,由于盐是随机且唯一的,即使两个用户设置了相同的密码,其生成的哈希值也完全不同,主流 Linux 发行版默认使用 SHA-512 算法(标识符为 $6$),它提供了 512 位的输出长度,相比旧式的 MD5 或 DES 算法,具有更高的抗碰撞性和计算复杂度,极大地增加了暴力破解的难度。
PAM 模块与密码策略管理
密码的保存不仅仅是静态存储,更涉及动态的复杂度管理,Linux 通过 PAM(Pluggable Authentication Modules) 机制实现了灵活的密码策略控制,PAM 并不直接进行认证,而是作为中间层,协调应用程序与认证机制。
管理员可以通过配置 /etc/pam.d/common-password 或 /etc/security/pwquality.conf(取决于发行版)来定义严格的密码规则,可以强制要求密码最小长度、必须包含数字、大小写字母及特殊字符、设置密码历史记录以防止重复使用旧密码,以及定义密码过期策略,这些策略在用户使用 passwd 命令修改密码时实时生效,从源头保证了保存到 /etc/shadow 中的密码具备足够的强度,PAM 的存在使得 Linux 的密码管理既标准化又高度可定制,是企业级合规性的重要保障。
超越密码保存的专业安全解决方案
尽管 Linux 的密码保存机制已经非常成熟,但在高安全需求的场景下,仅依赖传统的密码保存是不够的,作为专业的安全实践,建议采取以下进阶措施:
强制推行多因素认证(MFA),利用 Google Authenticator 或 YubiKey 等 U2F 设备,结合 SSH 公钥认证,使得即使密码泄露,攻击者无法通过单一凭证获取系统访问权。
实施账户锁定策略,通过配置 /etc/login.defs 和 PAM 的 pam_faillock.so 模块,设定在连续多次登录失败后临时锁定账户,这可以有效防止针对特定用户的在线暴力破解攻击,保护 /etc/shadow 中的哈希值不被离线破解。
定期审计与异常检测,使用工具如 auditd 监控 /etc/shadow 文件的访问和修改事件,任何非 root 或非授权进程对该文件的读取尝试都应被视为严重安全事件并触发警报,对于关键服务器,应考虑使用 Cgroups 或 Namespaces 进行隔离,进一步限制潜在的权限提升风险。
相关问答
Q1:为什么 Linux 修改密码后,/etc/shadow 文件中的哈希值每次都会变化?
A1: 这是因为 Linux 在每次生成密码哈希时都会使用一个新的随机加盐值,盐值是哈希计算的一部分,由于盐值是随机生成的,即使密码内容不变,每次计算出的最终哈希串也会不同,这种机制极大地提高了安全性,防止攻击者通过对比哈希值来判断两个用户是否使用了相同的密码。
Q2:如何查看当前 Linux 系统使用的密码加密算法?
A2: 可以通过检查 /etc/shadow 文件中密码哈希字段的前缀来判断,如果哈希字符串以 $1$ 开头,表示 MD5;$5$ 表示 SHA-256;$6$ 表示 SHA-512(当前默认且推荐的标准),也可以使用 authconfig 或 pam-config 等命令查看当前的 PAM 配置,确认系统默认的加密算法设置。
如果您在配置 Linux 密码策略或加固系统安全方面有任何疑问,欢迎在评论区留言讨论,我们一起探讨更优的解决方案。
