Linux pwconv命令详解

pwconv命令用于将传统密码文件(/etc/passwd)中的密码转换为更安全的shadow密码格式(/etc/shadow)，提升系统密码安全性。

命令简介

pwconv 是Linux系统中用于密码转换的重要工具，它将传统的/etc/passwd文件中的密码信息转移到/etc/shadow文件中，实现密码的分离存储，从而提高系统的安全性。shadow密码格式将加密的密码从公开可读的passwd文件中移动到只有root用户可读的shadow文件中。

命令语法

pwconv [选项]

选项说明

选项	说明
`-h, --help`	显示帮助信息并退出
`-R, --root CHROOT_DIR`	指定chroot目录，在该目录中应用更改
`-s, --sha-rounds ROUNDS`	指定SHA加密算法的迭代次数（仅适用于SHA加密）

常用操作示例

示例1：将passwd密码转换为shadow格式

执行基本的密码转换：

sudo pwconv

此命令将读取/etc/passwd文件，提取密码信息并创建或更新/etc/shadow文件。

示例2：在chroot环境中转换密码

在指定的chroot目录中执行密码转换：

sudo pwconv -R /mnt/chroot

对/mnt/chroot/etc/passwd和/mnt/chroot/etc/shadow文件进行操作。

示例3：指定SHA加密算法的迭代次数

sudo pwconv -s 5000

设置SHA加密算法的迭代次数为5000次，增加密码破解的难度。

pwconv命令的工作原理

pwconv执行过程：

读取/etc/passwd文件中的用户信息
检查每个用户的密码字段（第二个字段）
如果密码字段包含加密密码（不以"x"开头），则将其移动到/etc/shadow文件
在/etc/passwd中将密码字段替换为"x"
如果/etc/shadow不存在则创建，已存在则更新
确保两个文件的用户条目保持一致

相关命令	说明
`pwunconv`	将shadow密码转换回传统的passwd格式（反向操作）
`grpconv`	将组密码从`/etc/group`转换到`/etc/gshadow`
`grpunconv`	将组密码从`/etc/gshadow`转换回`/etc/group`
`passwd`	设置或更改用户密码，使用shadow密码格式
`chpasswd`	批量更改用户密码，自动使用shadow格式

密码文件格式对比

/etc/passwd（传统格式）

username:encrypted_password:UID:GID:user_info:home_dir:shell

特点：

所有人可读（权限644）
密码以加密形式存储在第二个字段
安全性较低，易受密码破解攻击
某些系统仍在使用

/etc/shadow（现代格式）

username:encrypted_password:last_change:min:max:warn:inactive:expire:reserved

特点：

只有root可读（权限600或640）
密码字段包含加密密码和盐值
支持密码过期策略
更安全，现代Linux系统默认使用

转换前后的文件变化

文件/状态转换前转换后

文件/状态	转换前	转换后
`/etc/passwd`	`user1:$1$salt$hash:1001:1001:...:/home/user1:/bin/bash user2:$1$salt$hash:1002:1002:...:/home/user2:/bin/bash`	`user1:x:1001:1001:...:/home/user1:/bin/bash user2:x:1002:1002:...:/home/user2:/bin/bash`
`/etc/shadow`	不存在或密码为空	`user1:$1$salt$hash:18000:0:99999:7::: user2:$1$salt$hash:18000:0:99999:7:::`

/etc/passwd

user1:$1$salt$hash:1001:1001:...:/home/user1:/bin/bash
user2:$1$salt$hash:1002:1002:...:/home/user2:/bin/bash

user1:x:1001:1001:...:/home/user1:/bin/bash
user2:x:1002:1002:...:/home/user2:/bin/bash

/etc/shadow

不存在或密码为空

user1:$1$salt$hash:18000:0:99999:7:::
user2:$1$salt$hash:18000:0:99999:7:::

注意事项

重要提示：

需要root权限：pwconv命令需要超级用户权限才能执行
备份文件：执行转换前建议备份/etc/passwd和/etc/shadow文件
不可逆操作：虽然可以使用pwunconv恢复，但可能丢失密码策略信息
系统兼容性：确保所有系统工具都支持shadow密码格式
权限设置：转换后确保/etc/shadow文件权限为640或600
NIS/YP用户：如果使用NIS（网络信息服务），转换前需要特别配置
密码锁定：转换不会影响已锁定的账户（密码字段以"!"开头）

实用技巧

使用pwck命令检查密码文件的完整性：sudo pwck
转换后验证shadow文件格式：sudo cat /etc/shadow | head -5
查看shadow文件权限：ls -l /etc/shadow
如果转换后出现问题，可以使用备份恢复：sudo cp /etc/passwd.bak /etc/passwd
批量转换用户密码时，确保所有用户都在passwd文件中有对应条目
对于大量用户的系统，转换过程可能需要一些时间

故障排除

常见问题及解决方法：

"Permission denied"：确保以root用户或使用sudo执行命令
"pwconv: cannot lock /etc/passwd"：其他进程正在使用文件，检查并重试
转换后用户无法登录：检查shadow文件权限和格式是否正确
部分用户密码未转换：检查passwd文件中这些用户的密码字段格式
shadow文件格式错误：使用pwck命令检查和修复
转换后系统服务无法启动：某些旧服务可能不支持shadow格式，需要更新配置

实际应用场景

pwconv命令的典型使用场景：

系统升级：将传统Linux系统升级到使用shadow密码的版本
安全性增强：提高现有系统的密码安全性
系统迁移：将用户从传统系统迁移到现代Linux系统
恢复操作：当shadow文件损坏时重新生成
系统一致性：确保所有系统使用相同的密码存储格式

上一章: passwd 命令下一章: rdate 命令

Linux命令手册