Solaris10用户密码四种状态转换-包括锁定账号和解锁账号

Solaris10 用户密码四种状态转换 在 Solaris10 中用户密码状态主要有四种，分别是 PS、NL、LK、NP。 PS：示用户密码已设置。 NL：表示用户帐号是不可登录帐号。 LK：表示用户已被锁定。 NP：表示用户没有密码，登录时不需要密码认证。 使用 passwd -s username 命令可以查看用户帐号的密码状态。 下面看看几种状态的区别： 1. NL 与 LK 的区别 LK 是表示用户已被锁定。除了无法登录外，被锁定的用户还无法执行 cron 等后台任务。 NL 表示用户帐号是不可登录的，login, telnet, ftp, ssh 等都不能执行。但可以执行后台任务。 适合于不允许登录但允许执行 cron job 的用户。 2. NL 与 NP 的区别 NL 是不可登录的账号，但 NP 是不需要密码就能登录。另外需要说明的是：在建立用户帐 号且未设置密码时状态不是 NP 而是 LK。 相关的操作命令，使用 root 账号登陆 Solaris： passwd -s username 查看用户账号状态 passwd -l username 锁定用户账号 passwd -u username 解锁用户账号 passwd -N username 将用户账号变为不可登录账号，但不锁定。相当于将状态变为 NL passwd -d username 删除密码，解锁账号。相当于将状态变为 NP 以下是 solaris10 四种用户密码状态转换图。 PS – > LK : 用户由 PS 状态转换为 LK 状态常见的原因是设置了系统安全策略（如 lock_after_retries 参 数），当条件符合时用户会被系统自动锁定。 另一种方式就是使用 passwd –l username 命令设置。 root@jumpstart:/ #>passwd -s jyu jyu PS root@jumpstart:/ #> root@jumpstart:/ #>grep jyu /etc/shadow jyu:02ys0CwD8q0Pk:15383:::::: root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 用户初始状态是 PS, 设置了用户密码。 root@jumpstart:/ #>passwd -l jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu LK root@jumpstart:/ #>grep jyu /etc/shadow jyu:*LK*02ys0CwD8q0Pk:15383:::::: root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 使用命令锁定用户后，用户状态变为 LK. 并且/etc/shadow 中也增加了 LK 标志. LK – > PS : LK 状态一般可分为两种情况，一是锁定的用户原来设过密码，二是锁定的用户无密码。这 两种情况可以从/etc/passwd 文件分辨出来。是看/etc/shadow 中是否有加密密码部分， 如果有则说明用户原来设过密码，如果没有则说明用户原来未设置过密码。例如： root@jumpstart:/ #>grep jyu /etc/shadow jyu:*LK*02ys0CwD8q0Pk:15383:::::: 用户原来设过密码。其中 LK 表示用户是“锁定”状态，02ys0CwD8q0Pk 是加过密的用户 密码 root@jumpstart:/ #>grep jyu /etc/shadow jyu:*LK*:15383:::::: 用户原来没设过密码。其中 LK 表示用户是“锁定”状态，没有加密密码说明用户没设密 码。（新建用户未设置密码时就是这种状态） 将用户状态由 LK 转换为 PS 一般有两种方法：一是使用 passwd -u 命令为用户解锁，二是 为用户新设密码。方法二与 solaris 的版本有关。根据我的测试，在 Solaris10u9 上可以使 用方法二，而 Solaris10u10 上方法二无效。 对于用户原来有密码的情况，建议使用 passwd -u 命令为用户解锁，解锁后用户密码不改 变，用户原密码仍可用。当然也可以为用户重设密码，若新设密码与原密码不一致，设置 后还需要通知用户新密码，否则使用原密码无法登录。 对于用户原来没有密码的情况，建议为用户重设密码。如果使用 passwd -u 为用户解锁， 则用户状态会变成 NP，即不用密码就可以登录，当用户登录时，系统会提示设置新密码。 root@jumpstart:/ #>passwd -s jyu jyu LK root@jumpstart:/ #>grep jyu /etc/shadow jyu:*LK*02ys0CwD8q0Pk:15383:::::: root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 用户初始状态为 LK，且设置过密码 root@jumpstart:/ #>passwd -u jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu PS root@jumpstart:/ #>grep jyu /etc/shadow jyu:02ys0CwD8q0Pk:15383:::::: root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 使用 passwd –u 解锁后状态变成 PS，用户密码未改变。 PS –> NP: 使用 passwd -d 命令可以将用户状态由 PS 转换为 NP. root@jumpstart:/ #>passwd -s jyu jyu PS root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:TIcJl0DQ58els:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 用户初始状态为 PS root@jumpstart:/ #>passwd -d jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu NP root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu::15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 使用 passwd -d 命令使用用户状态由 PS 转换为 NP. 注意此时/etc/shadow 中没有加密密码 部分，也说明用户没有密码. 此晨用户登录不需要密码验证。 NP –> PS: 为用户设置密码后，状态即由 NP 转换为 PS. root@jumpstart:/ #>passwd -s jyu jyu NP root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu::15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 初始状态为 NP. root@jumpstart:/ #>passwd jyu New Password: Re-enter new Password: passwd: password successfully changed for jyu root@jumpstart:/ #> root@jumpstart:/ #>passwd -s jyu jyu PS root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:uHwarumWL5eDA:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 设置用户密码后，状态由 NP 转换为 PS. NP –> LK: 使用 passwd -l 命令可将用户状态由 NP 转换为 LK. root@jumpstart:/ #>passwd -s jyu jyu NP root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu::15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 用户初始状态为 NP. root@jumpstart:/ #>passwd -l jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu LK root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:*LK*:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 使用 passwd -l 命令将用户由 NP 状态变为 LK 状态。注意此时/etc/shadow 中没有加密密码 部分，说明用户没有密码。创建用户未设置密码之前，用户就是这种 lock 且无密码状态。 LK –> NP: LK 分为 lock 无密码状态和 lock 有密码状态。两种状态下都可以使用 passwd -d 命令将用户 状态由 LK 变为 NP. 另外在 lock 无密码状态，还可以使用 passwd -u 命令将用户状态由 LK 变成 NP. lock 无密码状态：（使用 passwd -d 命令） root@jumpstart:/ #>passwd -s jyu jyu LK root@jumpstart:/ #> root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:*LK*:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 初始为 LK 无密码状态. root@jumpstart:/ #>passwd -d jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu NP root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu::15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management passwd -d 命令将用户由 LK 状态变为 NP 状态。 lock 无密码状态：（使用 passwd -u 命令） root@jumpstart:/ #>passwd -s jyu jyu LK root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:*LK*:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 初始状态为 LK 无密码. root@jumpstart:/ #>passwd -u jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu NP root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu::15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 使用 passwd -u 命令将用户由 LK 无密码变为 NP 状态. lock 有密码状态： root@jumpstart:/ #>passwd -s jyu jyu LK root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:*LK*fk5mPrjIYPsxc:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 初始状态为 LK 有密码. root@jumpstart:/ #>passwd -d jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu NP root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu::15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management passwd -d 命令将用户由 LK 状态变为 NP 状态。 NP –> NL: passwd -N 命令可以将用户由 NP 状态变为 NL 状态。 root@jumpstart:/ #>passwd -s jyu jyu NP root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu::15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 初始状态为 NP. root@jumpstart:/ #>passwd -N jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu NL root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:NP:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 使用 passwd -N 将用户状态变为 NL. 注意此时/etc/shadow 中密码处显示为 NP. 此 NP 与 passwd -s 显示的 NP 意义应该是不同的。我理解/etc/shadow 中的 NP 等同于 NL，可以理 解为 No Permission. 用户是否有密码应该是通过/etc/shadow 中有无加密密码串来判断，而 不是通过“NP”标志。 NL –> NP: passwd -d 命令可以将用户由 NL 状态变为 NP 状态。 root@jumpstart:/ #>passwd -s jyu jyu NL root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:NP:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 初始为 NL 状态. root@jumpstart:/ #>passwd -d jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu NP root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu::15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management passwd -d 命令可以将用户变为 NP 状态. LK –> NL: 无论用户状态是 lock 无密码或 lock 有密码，passwd –N 都可以将用户由 LK 状态变为 NL 状态。 lock 无密码情况: root@jumpstart:/ #>passwd -s jyu jyu LK root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:*LK*:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 用户初始状态为 lock 无密码. root@jumpstart:/ #>passwd -N jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu NL root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:NP:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management passwd -N 命令将用户变为 NL 状态. lock 有密码情况: root@jumpstart:/ #>passwd -s jyu jyu LK root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:*LK*FSzVP0tNiiXJI:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 初始状态为 lock 有密码状态. root@jumpstart:/ #>passwd -N jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu NL root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:NP:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management passwd -N 命令将用户状态由 lock 有密码变为 NL 状态. NL –> LK: 目前还没有找到由 NL 状态直接转换成 LK 的命令或方法。可以通过 PS 或 NP 作为中间状态， 间接进行转换。 PS –> NL: 使用 passwd -N 命令可以将用户由 PS 状态变为 NL 状态。 root@jumpstart:/ #>passwd -s jyu jyu PS root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:qTpgBTG2yIQ8w:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 初始状态为 PS 状态. root@jumpstart:/ #>passwd -N jyu passwd: password information changed for jyu root@jumpstart:/ #>passwd -s jyu jyu NL root@jumpstart:/ #>grep jyu /etc/passwd jyu:x:100:1::/export/home/jyu:/bin/bash root@jumpstart:/ #>grep jyu /etc/shadow jyu:NP:15383:::::: root@jumpstart:/ #>grep jyu /etc/user_attr jyu::::type=normal;profiles=Printer Management 使用 passwd -N 命令可以将用户变为 NL 状态. NL –> PS: 此转换也与 Solaris 版本有关，在 Solaris10U10 上没有找到直接转换的，只能通过 NP 作为中间状态进行间接转换。而在 Solaris10U9 上可以通过 passwd username 重设密码的方 式直接转换。 备注：根据 Solaris10 版本的不同，以上有些状态变化可能有所不同。上述示例都是在 Solaris10U10 上的测试结果。