手動生成/etc/shadow文件中的密碼

shadow文件的格式就不說了。就說說它的第二列——密碼列。

通常，passwd直接為用戶指定密碼就ok了。但在某些情況下，要為待創建的用戶事先指定密碼，還要求是加密后的密碼，例如kickstart文件中的rootpw指令，ansible創建用戶時提前指定密碼等，這時候不得不手動生成合理的密碼。

 

先說說shadow文件中第二列的格式，它是加密后的密碼，它有些玄機，不同的特殊字符表示特殊的意義：

• ①.該列留空，即"::"，表示該用戶沒有密碼。
• ②.該列為"!"，即":!:"，表示該用戶被鎖，被鎖將無法登陸，但是可能其他的登錄方式是不受限制的，如ssh公鑰認證的方式，su的方式。
• ③.該列為"*"，即":*:"，也表示該用戶被鎖，和"!"效果是一樣的。
• ④.該列以"!"或"!!"開頭，則也表示該用戶被鎖。
• ⑤.該列為"!!"，即":!!:"，表示該用戶從來沒設置過密碼。
• ⑥.如果格式為"$id$salt$hashed"，則表示該用戶密碼正常。其中$id$的id表示密碼的加密算法，$1$表示使用MD5算法，$2a$表示使用Blowfish算法，"$2y$"是另一算法長度的Blowfish,"$5$"表示SHA-256算法，而"$6$"表示SHA-512算法，

目前基本上都使用sha-512算法的，但無論是md5還是sha-256都仍然支持。$salt$是加密時使用的salt，hashed才是真正的密碼部分。

下文都以生成明文"123456"對應的加密密碼為例。

要生成md5算法的密碼，使用openssl即可。

openssl passwd -1 '123456'
openssl passwd -1 -salt 'abcdefg' '123456'

生成密碼后，直接將其拷貝或替換到shadow文件的第二列即可。例如：替換root用戶的密碼

shell> field=$(awk -F ':' '/^root/{print $2}' /etc/shadow)
shell> password=$(openssl passwd -1 123456)
shell> sed -i '/^root/s%'$field'%'$password'%' /etc/shadow

但openssl passwd不支持生成sha-256和sha-512算法的密碼。在CentOS 6上，可以借助grub提供的密碼生成工具grub-crypt生成。

[root@server1 ~]# grub-crypt -h
Usage: grub-crypt [OPTION]...
Encrypt a password.

  -h, --help              Print this message and exit
  -v, --version           Print the version information and exit
  --md5                   Use MD5 to encrypt the password
  --sha-256               Use SHA-256 to encrypt the password
  --sha-512               Use SHA-512 to encrypt the password (default)

Report bugs to <bug-grub@gnu.org>.
EOF

[root@server1 ~]# grub-crypt --sha-512
Password: 
Retype password: 
$6$nt4hMDAYqYjudvfo$AKIZ3Z0o6/6HV6GKXqq21VEmh.ADFAZUQw2mvbIlplKx7gu9MQiEWjdmHnF2YPnYzgce1cP/bzDguVnUkMg/N.

grub-crypt其實是一個python腳本，交互式生成密碼。以下是grub-crypt文件的內容。

[root@server1 ~]# cat /sbin/grub-crypt 
#! /usr/bin/python

'''Generate encrypted passwords for GRUB.'''

import crypt
import getopt
import getpass
import sys

def usage():
    '''Output usage message to stderr and exit.'''
    print >> sys.stderr, 'Usage: grub-crypt [OPTION]...'
    print >> sys.stderr, 'Try `$progname --help\' for more information.'
    sys.exit(1)

def gen_salt():                      # 生成隨機的salt
    '''Generate a random salt.'''
    ret = ''
    with open('/dev/urandom', 'rb') as urandom:
        while True:
            byte = urandom.read(1)
            if byte in ('ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'
                        './0123456789'):
                ret += byte
                if len(ret) == 16:
                    break
    return ret

def main():
    '''Top level.'''
    crypt_type = '$6$' # SHA-256
    try:
        opts, args = getopt.getopt(sys.argv[1:], 'hv',
                                   ('help', 'version', 'md5', 'sha-256',
                                    'sha-512'))
    except getopt.GetoptError, err:
        print >> sys.stderr, str(err)
        usage()
    if args:
        print >> sys.stderr, 'Unexpected argument `%s\'' % (args[0],)
        usage()
    for (opt, _) in opts:
        if opt in ('-h', '--help'):
            print (
'''Usage: grub-crypt [OPTION]...
Encrypt a password.

  -h, --help              Print this message and exit
  -v, --version           Print the version information and exit
  --md5                   Use MD5 to encrypt the password
  --sha-256               Use SHA-256 to encrypt the password
  --sha-512               Use SHA-512 to encrypt the password (default)

Report bugs to <bug-grub@gnu.org>.
EOF''')
            sys.exit(0)
        elif opt in ('-v', '--version'):
            print 'grub-crypt (GNU GRUB 0.97)'
            sys.exit(0)
        elif opt == '--md5':
            crypt_type = '$1$'
        elif opt == '--sha-256':
            crypt_type = '$5$'
        elif opt == '--sha-512':
            crypt_type = '$6$'
        else:
            assert False, 'Unhandled option'
    password = getpass.getpass('Password: ')
    password2 = getpass.getpass('Retype password: ')
    if not password:
        print >> sys.stderr, 'Empty password is not permitted.'
        sys.exit(1)
    if password != password2:
        print >> sys.stderr, 'Sorry, passwords do not match.'
        sys.exit(1)
    salt = crypt_type + gen_salt()
    print crypt.crypt(password, salt)      # 生成最終的加密密碼

if __name__ == '__main__':
    main()

很不幸，CentOS 7上默認安裝的是grub2，它不提供grub-crypt。因此參照grub-crypt內容，使用下面的python語句簡單代替grub-crypt，這同樣也是交互式的。

python -c 'import crypt,getpass;pw=getpass.getpass();print(crypt.crypt(pw) if (pw==getpass.getpass("Confirm: ")) else exit())'

如果不想交互式，再改成如下形式：

python -c 'import crypt,getpass;pw="123456";print(crypt.crypt(pw))'

現在就方便多了，直接將結果賦值給變量即可。

[root@server1 ~]# a=$(python -c 'import crypt,getpass;pw="123456";print(crypt.crypt(pw))')
[root@server1 ~]# echo $a
$6$uKhnBg5A4/jC8KaU$scXof3ZwtYWl/6ckD4GFOpsQa8eDu6RDbHdlFcRLd/2cDv5xYe8hzw5ekYCV5L2gLBBSfZ.Uc166nz6TLchlp.

例如，ansible創建用戶並指定密碼：

a=$(python -c 'import crypt,getpass;pw="123456";print(crypt.crypt(pw))')
ansible  192.168.100.55 -m user -a 'name=longshuai5 password="$a" update_password=always'