用户密码的修改

liyihongcug

1、passwd 简单说明；

我们已经学会如何添加用户了，所以我们还要学习设置或修改用户的密码；passwd命令的用法也很多，我们只选如下的几个参数加以说明；想了解更多，请参考man passwd或passwd --help ；


passwd [OPTION...]

passwd 作为普通用户和超级权限用户都可以运行，但作为普通用户只能更改自己的用户密码，但前提是没有被root用户锁定；如果root用户运行passwd ，可以设置或修改任何用户的密码；

passwd 命令后面不接任何参数或用户名，则表示修改当前用户的密码；请看下面的例子；
[root@localhost ~]# passwd   注：没有加任何用户，我是用root用户来执行的passwd 表示修改root用户的密码；下面也有提示；
Changing password for user root.
New UNIX password: 注：请输入新密码；
Retype new UNIX password: 注：验证新密码；
passwd: all authentication tokens updated successfully. 注：修改root密码成功；

如果是普通用户执行passwd 只能修改自己的密码；

如果新建用户后，要为新用户创建密码，则用 passwd 用户名 ，注意要以root用户的权限来创建；

[root@localhost ~]# passwd beinan 注：更改或创建beinan用户的密码；
Changing password for user beinan.
New UNIX password: 注：请输入新密码；
Retype new UNIX password: 注：再输入一次；
passwd: all authentication tokens updated successfully. 注：成功；

普通用户如果想更改自己的密码，直接运行passwd即可；比如当前操作的用户是beinan；

[beinan@localhost ~]$ passwd
Changing password for user beinan. 注：更改beinan用户的密码；
(current) UNIX password: 注：请输入当前密码；
New UNIX password: 注：请输入新密码；
Retype new UNIX password: 注：确认新密码；
passwd: all authentication tokens updated successfully. 注：更改成功；


2、passwd 几个比较重要的参数；

[root@localhost beinan]# passwd --help
Usage: passwd [OPTION...] <accountName>
-k, --keep-tokens       keep non-expired authentication tokens
注：保留即将过期的用户在期满后能仍能使用；
-d, --delete            delete the password for the named account (root only)
注：删除用户密码，仅能以root权限操作；
-l, --lock              lock the named account (root only)
注：锁住用户无权更改其密码，仅能通过root权限操作；
-u, --unlock            unlock the named account (root only)
注：解除锁定；
-f, --force             force operation
注：强制操作；仅root权限才能操作；
-x, --maximum=DAYS      maximum password lifetime (root only) 注：两次密码修正的最大天数，后面接数字；仅能root权限操作；
-n, --minimum=DAYS      minimum password lifetime (root only) 注：两次密码修改的最小天数，后面接数字，仅能root权限操作；
-w, --warning=DAYS      number of days warning users receives before 注：在距多少天提醒用户修改密码；仅能root权限操作；
password expiration (root only)
-i, --inactive=DAYS     number of days after password expiration when an 注：在密码过期后多少天，用户被禁掉，仅能以root操作；
account becomes disabled (root only)
-S, --status            report password status on the named account (root   注：查询用户的密码状态，仅能root用户操作；
only)
--stdin                 read new tokens from stdin (root only)

比如我们让某个用户不能修改密码，可以用-l 参数来锁定：

[root@localhost ~]# passwd -l beinan 注：锁定用户beinan不能更改密码；
Locking password for user beinan.
passwd: Success           注：锁定成功；
[beinan@localhost ~]# su beinan 注：通过su切换到beinan用户；
[beinan@localhost ~]$ passwd 注：beinan来更改密码；
Changing password for user beinan.
Changing password for beinan
(current) UNIX password: 注：输入beinan的当前密码；
passwd: Authentication token manipulation error 注：失败，不能更改密码；


再来一例：

[root@localhost ~]# passwd -d beinan 注：清除beinan用户密码；
Removing password for user beinan.
passwd: Success                        注：清除成功；
[root@localhost ~]# passwd -S beinan 注：查询beinan用户密码状态；
Empty password.                     注：空密码，也就是没有密码；

注意： 当我们清除一个用户的密码时，登录时就无需密码；这一点要加以注意；


3、chage 修改用户密码有效期限的命令；

chage 用语法格式：

chage [-l] [-m 最小天数] [-M 最大天数] [-W 警告] [-I 失效日] [-E 过期日] [-d 最后日] 用户

前面已经说的好多了，这个只是一笔带过吧，知道有这个命令就行，自己实践实践再说，大体和psswd有些参数的用法差不多；

密 码时效命令-----chage

格式为：chage [<选项>] <用户名>
下面列出了chage命令的选项说明：
-m days： 密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M days： 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口令。
-d days： 指定从1970年1月1日起，口令被改变的天数。
-I days： 指定口令过期后，帐号被锁前不活跃的天数。如果值为0，帐号在口令过期后就不会被锁。
-E date： 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。
-W days： 指定口令过期前要警告用户的天数。
-l： 列出指定用户当前的口令时效信息，以确定帐号何时过期。
例如下面的命令要求用户user1两天内不能更改口令，并且口令最长的存活期为30天，并且口令过期前5天通知用户
chage -m 2 -M 30 -W 5 user1
可以使用如下命令查看用户user1当前的口令时效信息：chage -l user1
提示：1）可以使用chage <用户名>进入交互模式修改用户的口令时效。
2）修改口令实质上就是修改影子口令文件/etc/shadow中与口令时效相关的字段值。

liyihongcug

http://hi.baidu.com/ubuntu2me/bl ... c83781c91768fe.html

http://lolo6062.javaeye.com/blog/174033

03-20
linux命令创建和修改用户及密码



linux下创建用户
1、添加ftp用户
useradd ftpname -d /home/ftp
passwd ftppwd
以下操作都以root权限进行：
service vsftpd start 启动Linux自带的FTP服务
2. 添加普通用户
useradd nagios –d /usr/local/nagios
chown nagios.nagios /usr/local/nagios
将用户切换到nagios 用户，添加nagios的访问用户：
su nagios
htpasswd –c /usr/local/nagios/etc/htpasswd.users nagiosadmin
系统会提示输入两次密码，例如两次输入nagios。
注: 这是第一次创建用户，需要“-c”选项，表示创建一个存放用户名和密码的文件，当再次添加用户或修改密码时不用“-c”选项。

添加新的用户账号使用useradd命令，其语法如下：

　　useradd 选项 用户名

　　其中各选项含义如下：

　　-c comment 指定一段注释性描述。

　　-d 目录 指定用户主目录，如果此目录不存在，则同时使用-m选项，可以创建主目录。

　　-g 用户组 指定用户所属的用户组。

　　-G 用户组，用户组 指定用户所属的附加组。

　　-s Shell文件 指定用户的登录Shell。

　　-u 用户号 指定用户的用户号，如果同时有-o选项，则可以重复使用其他用户的标识号。

　　用户名 指定新账号的登录名。

　　例如：

　　# useradd –d /usr/sam -m sam

　　此命令创建了一个用户sam，其中-d和-m选项用来为登录名sam产生一个主目录/usr/sam（/usr为默认的用户主目录所在的父目录）。

　　# useradd -s /bin/sh -g group –G adm,root gem

　　此命令新建了一个用户gem，该用户的登录Shell是/bin/sh，它属于group用户组，同时又属于adm和root用户组，其中group用户组是其主组。

　　增加用户账号就是在/etc/passwd文件中为新用户增加一条记录，同时更新其他系统文件如/etc/shadow, /etc/group等。这几个文件的内容在后面会做详细介绍。

　　Linux提供了集成的系统管理工具userconf，它可以用来对用户账号进行统一管理。

　　如果一个用户的账号不再使用，可以从系统中删除。删除用户账号就是要将/etc/passwd等系统文件中的该用户记录删除，必要时还删除用户的主目录。删除一个已有的用户账号使用userdel命令，其格式如下：

　　userdel 选项 用户名

　　常用的选项是-r，它的作用是把用户的主目录一起删除。

　　例如：

　　# userdel sam

　　此命令删除用户sam在系统文件中（主要是/etc/passwd, /etc/shadow, /etc/group等）的记录，同时删除用户的主目录。

　　修改用户账号就是根据实际情况更改用户的有关属性，如用户号、主目录、用户组、登录Shell等。

　　修改已有用户的信息使用usermod命令，其格式如下：

　　usermod 选项 用户名

　　常用的选项包括-c, -d, -m, -g, -G, -s, -u以及-o等，这些选项的意义与useradd命令中的选项一样，可以为用户指定新的资源值。另外，有些系统可以使用如下选项：

　　-l 新用户名

　　这个选项指定一个新的账号，即将原来的用户名改为新的用户名。

　　例如：

　　# usermod -s /bin/ksh -d /home/z –g developer sam

　　此命令将用户sam的登录Shell修改为ksh，主目录改为/home/z，用户组改为developer。

　　用户管理的一项重要内容是用户口令的管理。用户账号刚创建时没有口令，但是被系统锁定，无法使用，必须为其指定口令后才可以使用，即使是指定空口令。

　　指定和修改用户口令的Shell命令是passwd。超级用户可以为自己和其他用户指定口令，普通用户只能用它修改自己的口令。命令的格式为：

　　passwd 选项 用户名

　　可使用的选项：

　　-l 锁定口令，即禁用账号。

　　-u 口令解锁。

　　-d 使账号无口令。

　　-f 强迫用户下次登录时修改口令。

　　如果默认用户名，则修改当前用户的口令。

　　例如，假设当前用户是sam，则下面的命令修改该用户自己的口令：

　　$ passwd

　　Old password:******

　　New password:*******

　　Re-enter new password:*******

　　如果是超级用户，可以用下列形式指定任何用户的口令：

　　# passwd sam

　　New password:*******

　　Re-enter new password:*******

　　普通用户修改自己的口令时，passwd命令会先询问原口令，验证后再要求用户输入两遍新口令，如果两次输入的口令一致，则将这个口令指定给用户；而超级用户为用户指定口令时，就不需要知道原口令。

　　为了系统安全起见，用户应该选择比较复杂的口令，例如最好使用8位长的口令，口令中包含有大写、小写字母和数字，并且应该与姓名、生日等不相同。

　　为用户指定空口令时，执行下列形式的命令：

　　# passwd -d sam

　　此命令将用户sam的口令删除，这样用户sam下一次登录时，系统就不再询问口令。

　　passwd命令还可以用-l(lock)选项锁定某一用户，使其不能登录，例如：

　　# passwd -l sam

liyihongcug

useradd -u 0 -o -g 0 youname
建一和root权限一样的帐号youname:
-u 0 就是建一个uid=0的帐号
-o (注意是字母o，不是数字0)就是允许使用重复的id号
-g 0 就是建一个gid=0的帐号
youname就是你建的帐号名.


useradd -c likeroot -d /home/likeroot -u 501 -g root likeroot
mkdir /home/likeroot
vi /etc/passwd文件，改uid为0
likeroot:0:0:likeroot:/home/likeroot:


修改/etc/password 文件,把你添加的用户id 修改成0 就可以和root一样的权限了！
或者修改/etc/vsftp*开头的两个文件，把root注释掉，然后把/etc/pam.d/login里面的第一行注释掉！
这样你就可以用root 进行远程登陆和ftp了，不过这样不安全！

liyihongcug

/etc/passwd中一行记录对应着一个用户，每行记录又被冒号(分隔为7个字段，其格式和具体含义如下：


用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell


  1）“用户名”是代表用户账号的字符串。通常长度不超过8个字符，并且由大小写字母和/或数字组成。登录名中不能有冒号(，因为冒号在这里是分隔符。为了兼容起见，登录名中最好不要包含点字符(.)，并且不使用连字符(-)和加号(+)打头。

  2）“口令”一些系统中，存放着加密后的用户口令字。。虽然这个字段存放的只是用户口令的加密串，不是 明文，但是由于/etc/passwd文件对所有用户都可读，所以这仍是一个安全隐患。因此，现在许多 Linux 系统（如SVR4）都使用了shadow技术，把真正的加密后的用户口令字存放到/etc/shadow文件中，而在/etc/passwd文件的口令字段中只存放一个特殊的字符，例如“x”或者“*”。

  3）“用户标识号”是一个整数，系统内部用它来标识用户。一般情况下它与用户名是一一对应的。如果几个用户名对应的用户标识号是一样的，系统内部将把它们视为同一个用户，但是它们可以有不同的口令、不同的主目录以及不同的登录Shell等。

  通常用户标识号的取值范围是0～65 535。0是超级用户root的标识号，1～99由系统保留，作为管理账号，普通用户的标识号从100开始。在Linux系统中，这个界限是500。

  4）“组标识号”字段记录的是用户所属的用户组。它对应着/etc/group文件中的一条记录。

  5)“注释性描述”字段记录着用户的一些个人情况，例如用户的真实姓名、电话、地址等，这个字段并没有什么实际的用途。在不同的Linux 系统中，这个字段的格式并没有统一。在许多Linux系统中，这个字段存放的是一段任意的注释性描述文字，用做finger命令的输出。

  6)“主目录”，也就是用户的起始工作目录，它是用户在登录到系统之后所处的目录。在大多数系统中，各用户的主目录都被组织在同一个特定的目录下，而用户主目录的名称就是该用户的登录名。各用户对自己的主目录有读、写、执行（搜索）权限，其他用户对此目录的访问权限则根据具体情况设置。

  7)用户登录后，要启动一个进程，负责将用户的操作传给内核，这个进程是用户登录到系统后运行的命令解释器或某个特定的程序，即Shell。Shell 是用户与Linux系统之间的接口。Linux的Shell有许多种，每种都有不同的特点。常用的有sh(Bourne Shell), csh(C Shell), ksh(Korn Shell), tcsh(TENEX/TOPS-20 type C Shell), bash(Bourne Again Shell)等。系统管理员可以根据系统情况和用户习惯为用户指定某个Shell。如果不指定Shell，那么系统使用sh为默认的登录Shell，即这个字段的值为/bin/sh。

  用户的登录Shell也可以指定为某个特定的程序（此程序不是一个命令解释器）。利用这一特点，我们可以限制用户只能运行指定的应用程序，在该应用程序运行结束后，用户就自动退出了系统。有些Linux 系统要求只有那些在系统中登记了的程序才能出现在这个字段中。

liyihongcug

作用
　　
　　passwd命令原来修改账户的登陆密码，使用权限是所有用户。
　　
　　2.格式
　　
　　passwd [选项] 账户名称
　　
　　3.主要参数
　　
　　-l：锁定已经命名的账户名称，只有具备超级用户权限的使用者方可使用。
　　
　　-u：解开账户锁定状态，只有具备超级用户权限的使用者方可使用。
　　
　　-x, --maximum=DAYS：密码使用最大时间（天），只有具备超级用户权限的使用者方可使用。
　　
　　-n, --minimum=DAYS：密码使用最小时间（天），只有具备超级用户权限的使用者方可使用。
　　
　　-d：删除使用者的密码, 只有具备超级用户权限的使用者方可使用。
　　
　　-S：检查指定使用者的密码认证种类, 只有具备超级用户权限的使用者方可使用。
　　
　　4.应用实例
　　
　　$ passwd
　　Changing password for user cao.
　　Changing password for cao
　　(current) UNIX password:
　　New UNIX password:
　　Retype new UNIX password:
　　passwd: all authentication tokens updated successfully.
　　
　　从上面可以看到，使用passwd命令需要输入旧的密码，然后再输入两次新密码。Linux联盟收集整理

liyihongcug

http://xuguang.blog.51cto.com/418892/264659 登陆密码忘记了，怎么办啊重装系统又太浪费时间，心有不甘啊，前几天我就遇到了这种情况，刚装好的windows server 2008 就给忘记了，又没有做系统密码恢复盘，这下傻了，我那个恨啊。经过几天的寻找，终于找到了一种可以在没有密码的情况下登陆系统的方法。拿来给大侠分享一下。
用找一张2008的安装盘，放入光驱，然后重启，从光盘启动，然后点击修复计算机。  
   进入命令行提示
仔细看好下面的这一步，这是最关键的。首先先备份一下magnify.exe（windows 放大镜程序）
rename magnify.exe magnify.bak  
然后用cmd.exe 替换掉magnify.exe
重启电脑，到了2008登录界面。点击轻松访问，然后选上 放大屏幕的项目（放大镜）应用。
看看出来的是什么，激动不，看看咱们是什么身份，输入whoami ，system 咱们就是权威。
现在可以输入explorer,看看屏幕有什么变化，任务栏出来了。你可以为所欲为了
现在可以运行net user administrator ****** 设置你的密码了。

    好，一般情况下可以选择切换用户，选择新用户，名字输入administrator看看能否进入
    回答者：计划iuy[高中生] 回答时间：2011-05-05 14:59:44
    采纳为答案

    一般情况下可以选择切换用户，选择新用户，名字输入administrator看看能否进入
    回答者：1033979063[经理] 回答时间：2011-05-11 21:52:01
    采纳为答案

    但是破解登陆口令，需要有两个必要的前提：
    　1.安装Windows XP的分区必须采用FAT32文件系统；
    　2.用户名中没有汉字。

    在确认满足这两个条件后，即可执行以下步骤，来破解登陆口令。

    　1.开机启动Win XP，当运行到“正在启动Windows XP”的提示界面时，按“F8”键调出系统启动选择菜单，选择“带命令行安全模式”；
    　2.当运行停止后，会列出“Administrator”和其它用户的选择菜单(本例的其他用户以xpuser01为例)，选择“Administrator”后回车，进入命令行模式；
    　3.键入命令““net user xpuser01 1234/ADD”这是更改该用户密码的命令，命令中的“1234”是更改后的新密码，如果键入的用户不存在（xpuser01），那么系统会自动添加这个用户。
    　4.另外还可以使用“net 1oca1group administrator xpuser01 /ADD”命令把xpuser01这个用户升为超级用户，即可拥有所有权限。
    　5.最后一步，就是重新启动计算机，在登录窗口中输入刚刚更改的新密码便可成功登陆。

    　对于NTFS系统

    　可用windows 2000 的光盘启动电脑，在安装选择界面选择修复 windows 2000 (按R键)，然后选择使用故障控制台修复(按C键)，系统会扫描现有的 window 2000/XP 版本，过一会儿，就列出了登陆选择，选择一个，回车。见到了吗。。是不是不需要输入管理员密码就可以直接登入写故障恢复控制台模式(用windows XP 的安装光盘启动是要求输入密码的)
    　进入了故障恢复控制台，当然就可以进行任何的系统级别的操作。包括：复制，移动，删除文件，启动、停止服务，甚至格式化，重新分区等破坏性操作。
    此破解不但在XP下通过，而且在XP+SP1，甚至XP+SP3英文版都通过
    注意：windows 2000 的安装光盘有的有显示故障控制台登陆选项，有的没有。(主要是有的盗版光盘为了节约，呵呵)

liyihongcug

可以把PE写入到您的U盘上面,用U盘来启动系统,非常适合没有光驱的用户.

1、首先将U盘插入电脑的USB接口，重要提示：制作过程U盘会被格式化，注意备份资料

2、运行 UltraISO.exe  (下载包中已自带) 程序，选择“文件”——“打开”，选择WindowsPE.iso文件

3、然后选择“启动光盘”——“写入硬盘映像”

4、在“硬盘驱动器”项目中选择你要制作成启动盘的U盘盘符

5、在“写入方式”项目中选择USB-HDD+或者USB-ZIP+，个人建议选择USB-ZIP+，兼容性比较好

6、最后，点击“写入”，等待数秒，程序提示制作成功完成后，就可以拔出U盘了。



PS：可以使用VDRIVE虚拟光驱加载 WindowsPE.ISO 文件查看光盘的内容。

可以用U盘引导启动PE,用PE来安装 Ghost系统非常方便, 建议大家到 http://www.xp222.com/ 下载 Ghost 版本的系统光盘来安装系统.

另外您也可以将WindowsPE.ISO 刻录到光盘中用光盘启动系统.
WinPE U盘版
1、首先将U盘插入电脑的USB接口，重要提示：制作过程U盘会被格式化，注意备份资料
2、运行UltraISO.exe程序，选择“文件”——“打开”，选择WindowsPE.iso文件
3、然后选择“启动光盘”——“写入硬盘映像”
4、在“硬盘驱动器”项目中选择你要制作成启动盘的U盘盘符
5、在“写入方式”项目中选择USB-HDD+或者USB-ZIP+，个人建议选择USB-ZIP+，兼容性比较好
6、最后，点击“写入”，等待数秒，程序提示制作成功完成后，就可以拔出U盘了。

PS：可以使用VDRIVE虚拟光驱加载 WindowsPE.ISO 文件查看光盘的内容



笨方法
1楼

天天啦足球，今天也来点技术性的东西，昨天晚上本本系统出问题了，光驱不是很好，老是出现读盘问题，有地方就是读不过去，死活装不上系统了，幸好手里有个U盘自己制作一个吧

下面开始制作过程（通俗易懂 没什么专业术语）：

一，准备工具

1，一张新版本的GHOST系统盘，集成很多驱动和工具的光盘，比如雨林木风或深度，现在的版本是20。0或21。0；

2，一个U盘或一个移动硬盘；

3，一个有光驱的笔记本电脑，已经装好杀毒软件的系统；

二，制作过程：
1，笔记本电脑开机的情况下，把GHOST光盘放进光驱，在系统里点光驱，AUTORUN（自动播放）光盘界面；

2，在光盘界面下，会有一个项目是   把WINPE 安装到硬盘，双击这个项目；

3，弹出某某人制作WINPE，比如 老毛桃版本WINPE 等，按照提示进行下一步骤，一般是选择 GRUB安装/启动（U盘/移动硬盘安装）；

4，一般情况下，按照弹出的对话框，选择U盘/移动硬盘的盘符---格式化U盘/移动硬盘，然后按照提示进行下一步骤就可以了（如果无法格式化，也可以跳过，选择手动格式化）；

5，WINPE安装到U盘/移动硬盘以后，会提示你设置密码，然后WINPE把文件拷贝到U盘/移动硬盘里，然后重新启动就设置好了。

6，把GHOST光盘里的SYSTEM里的GHOST文件拷贝到已经做好WINPE启动的U盘/移动硬盘里，这个系统作为备用系统；

7，用一键还原工具把你现在所用机器的系统做一个GHOST备份，把这个备份文件拷贝到你的U盘/移动硬盘里，随着资料的不断增加和更新，每隔1个月备份一下，拷贝在硬盘里，这样你的资料安全得到一定的保证。

8，经常到雨林木风或深度论坛下载最新版本的XP GHOST备用，或安装一个正版的XP系统，装好可以长期更新的杀毒软件，做好备份(使用一键备份软件,做个恢复系统在U盘或移动硬盘里,资料重要的话,每个月备份一次)。

三，恢复系统

1，当你的机器系统坏掉了，平时你的资料都习惯放在后面的盘符，只需要格式化C盘就好了；

2，插入U盘/移动硬盘，重新启动机器，按F12进入选择界面，选择USB启动项，按回车就会进入U盘/移动硬盘；

3，进入WINPE系统里，点击 开始，选择 GHOST32   或 别的版本GHOST软件，在弹出框里选中你要安装的GHOST文件或你以前的系统备份文件，一路回车选是就可以恢复系统了。

----------------------------------------------------------------
以后小本本越来越多，很多都不带光驱，这方法就用上了！

liyihongcug

一. lilo引导

1. 在出现 lilo: 提示时键入 linux single

Boot: linux single

2. 回车可直接进入linux单用户模式

3. vi /etc/passwd

删除root项中的密码

(这里也可以直接使用passwd命令重新设置root的密码)

4. reboot重启，root密码为空

二. grub引导

1. 在出现grub画面时，选择linux引导项，然后按e键

2. 选择以kernel开头的一行，再按e 键，在此行的末尾，按空格键后输入single，以回车键来退出编辑模式；

3. 回车返回，然后按b键启动，即可直接进入linux单用户模式

4. vi /etc/passwd

删除root项中的密码

(这里也可以直接使用passwd命令重新设置root的密码)

5、reboot重启，root密码为空

三、可以使用linux启动软盘引导

出现boot后，输入linux single

可进入单用户模式；

修改或删除root密码；

四、使用Linux 系统安装盘

如果你既没做系统启动软盘，同时多系统的引导LILO 和GRUB 又被删除，那么只能使用Linux 系统安装盘来恢复root的密码。

用第一张Linux 系统安装盘启动，出现boot 提示符后输入：

oot: linux rescue

此时系统进入救援模式，然后根据提示完成：

1.选择语言和键盘格式；

2.选择是否配置网卡，一般系统因网络不需要，所以可以选择否跳过网卡配置；

3.选择是否让系统查找硬盘上的Redhat Linux 系统，选择继续；

4.系统显示硬盘上的系统已经被找到，并挂载在/mnt/sysimage 下；

5.进入拯救状态，可重新设置root 的密码：

# chroot/mnt/sysimage (让系统成为根环境)

# cd /mnt/sysimage

# passwd root

五、卸下硬盘挂到别的机器上更改

如果不怕麻烦的话，还可以把安装linux的硬盘卸下后挂到其他系统环境下同样是去修改/etc/passwd文件，修改过后保存即可；

注：

1、在不同的linux系统下输入single的方式和方法可能有区别，希望能自己去尝试；

2、除了需要修改/etc/passwd文件外，可能也需要修改/etc/shadow文件，这是/etc/passwd密码文件的投影文件。

如果想了解更多相关信息以及详细咨询，欢迎点击中英网http://www.uker.net/，或发email至：echo@uker.net，UKer.net资深编辑将为您详细解答

liyihongcug

对称加密算法

JAVA-API部分算法实现

对称加密算法对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES。
DES
数据加密算法（Data Encryption Algorithm，DEA）的数据加密标准（Data Encryption Standard，DES）是规范的描述，它出自 IBM 的研究工作，并在 1997 年被美国政府正式采纳。它很可能是使用最广泛的秘钥系统，特别是在保护金融数据的安全中，最初开发的 DES 是嵌入硬件中的。通常，自动取款机（Automated Teller Machine，ATM）都使用 DES。
DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，产生最大 64 位的分组大小。这是一个迭代的分组密码，使用称为 Feistel 的技术，其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能，然后将输出与另一半进行“异或”运算；接着交换这两半，这一过程会继续下去，但最后一个循环不交换。DES 使用 16 个循环。
攻击 DES 的主要形式被称为蛮力的或彻底密钥搜索，即重复尝试各种密钥直到有一个符合为止。如果 DES 使用 56 位的密钥，则可能的密钥数量是 2 的 56 次方个。随着计算机系统能力的不断发展，DES 的安全性比它刚出现时会弱得多，然而从非关键性质的实际出发，仍可以认为它是足够的。不过，DES 现在仅用于旧系统的鉴定，而更多地选择新的加密标准 — 高级加密标准（Advanced Encryption Standard，AES）。
DES 的常见变体是三重 DES，使用 168 位的密钥对资料进行三次加密的一种机制；它通常（但非始终）提供极其强大的安全性。如果三个 56 位的子元素都相同，则三重 DES 向后兼容 DES。
IBM 曾对 DES 拥有几年的专利权，但是在 1983 年已到期，并且处于公有范围中，允许在特定条件下可以免除专利使用费而使用。
由于DES是加(解)密64位明(密)文，即为8个字节(8*8=64)，可以据此初步判断这是分组加密，加密的过程中会有16次循环与密钥置换过程，据此可以判断有可能是用到DES密码算法，更精确的判断还得必须懂得一点DES的加密过程。
3DES

3DES是DES加密算法的一种模式，它使用3条64位的密钥对数据进行三次加密。数据加密标准（DES）是美国的一种由来已久的加密标准，它使用对称密钥加密法，并于1981年被ANSI组织规范为ANSI X.3.92。DES使用56位密钥和密码块的方法，而在密码块的方法中，文本被分成64位大小的文本块然后再进行加密。比起最初的DES，3DES更为安全。
3DES（即Triple DES）是DES向AES过渡的加密算法（1999年，NIST将3-DES指定为过渡的加密标准），是DES的一个更安全的变形。它以DES为基本模块，通过组合分组方法设计出分组加密算法，其具体实现如下：设Ek()和Dk()代表DES算法的加密和解密过程，K代表DES算法使用的密钥，P代表明文，C代表密表，这样，
3DES加密过程为：C=Ek3(Dk2(Ek1(P)))
3DES解密过程为：P=Dk1((EK2(Dk3(C)))

AES——对称密码新标准

对称密码体制的发展趋势将以分组密码为重点。分组密码算法通常由密钥扩展算法和加密（解密）算法两部分组成。密钥扩展算法将b字节用户主密钥扩展成r个子密钥。加密算法由一个密码学上的弱函数f与r个子密钥迭代r次组成。混乱和密钥扩散是分组密码算法设计的基本原则。抵御已知明文的差分和线性攻击，可变长密钥和分组是该体制的设计要点。  

AES是美国国家标准技术研究所NIST旨在取代DES的21世纪的加密标准。   

AES 的基本要求是，采用对称分组密码体制，密钥长度的最少支持为128、192、256，分组长度128位，算法应易于各种硬件和软件实现。1998年 NIST开始AES第一轮分析、测试和征集，共产生了15个候选算法。1999年3月完成了第二轮AES2的分析、测试。预计在2000年8月AES的最终结果将公布。   
   
在应用方面，尽管DES在安全上是脆弱的，但由于快速DES芯片的大量生产，使得DES仍能暂时继续使用，为提高安全强度，通常使用独立密钥的三级DES。但是DES迟早要被AES代替。流密码体制较之分组密码在理论上成熟且安全，但未被列入下一代加密标准。  


非对称加密算法

asymmetric encoding algorithm
非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要。

RSA算法演示


对称和非对称加密算法案例
基于多级密钥管理体系中的对称密钥传输保护方法
申请号/专利号： 200610147335
一种基于在多级密钥管理体系中的对称密钥传输保护方法，其步骤为：
１．传入方签发并通过两条途径传递两张密钥传输卡，每张卡中存有一段传入方的根公钥；
２．传出方从两张卡获得传入方的根公钥，并随机生成传输密钥，再用该根公钥加密后分段写入到两张卡中，其工作密钥用传输密钥传出并写入两张卡中通过两条途径递送给传入方；
３．传入方验证卡的合法性；从两张卡中获得传输密钥和工作密钥密文并用根私钥解密传输密钥写入加密机传输密钥区；传入方将工作密钥密文通过传输密钥写入工作密钥区，从而完成了两台密钥管理加密机之间的密钥传递过程。本发明采用证书方式，加强了对称密钥传输时的安全性，采用ＩＣ卡作为介质，保证了传输介质的安全

http://www.blogjava.net/zpuser/archive/2008/05/21/201957.html

密码学(二)、对称加密和不对称加密
对称加密　　
    采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。 　　
需要对加密和解密使用相同密钥的加密算法。由于其速度，对称性加密通常在消息发送方需要加密大量数据时使用。对称性加密也称为密钥加密。 　　
所谓对称，就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥实际上是一种算法，通信发送方使用这种算法加密数据，接收方再以同样的算法解密数据。 　　
因此对称式加密本身不是安全的。
　　
常用的对称加密算法有：

DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合。

3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高。

AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高；

RC4，也是为   RSA   Data   Security,   Inc.   开发的密码系统的商标名称。


DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES       

DES、IDEA、RC2、RC4、SKIPJACK算法等
用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。

DES

单密钥算法,是信息的发送方采用密钥A进行数据加密,信息的接收方采用同一个密钥A进行数据解密.

单密钥算法是一个对称算法.

缺点:由于采用同一个密钥进行加密解密,在多用户的情况下,密钥保管的安全性是一个问题.


对称加密算法
    对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。

  传统的DES由于只有56位的密钥，因此已经不适应当今分布式开放网络对数据加密安全性的要求。1997年RSA数据安全公司发起了一项“DES挑战赛” 的活动，志愿者四次分别用四个月、41天、56个小时和22个小时破解了其用56位密钥DES算法加密的密文。即DES加密算法在计算机速度提升后的今天被认为是不安全的。

  AES是美国联邦政府采用的商业及政府数据加密标准，预计将在未来几十年里代替DES在各个领域中得到广泛应用。AES提供128位密钥，因此，128位 AES的加密强度是56位DES加密强度的1021倍还多。假设可以制造一部可以在1秒内破解DES密码的机器，那么使用这台机器破解一个128位AES 密码需要大约149亿万年的时间。（更深一步比较而言，宇宙一般被认为存在了还不到200亿年）因此可以预计，美国国家标准局倡导的AES即将作为新标准取代DES。



非对称加密
　　1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。　　与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

特性
　　非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。　　非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，它不适合于对文件加密而只适用于对少量数据进行加密。 　　经典的非对称加密算法如RSA算法等安全性都相当高. 　　非对称加密的典型应用是数字签名。　　采用双钥密码系统的加密方法，在一个过程中使用两个密钥，一个用于加密，另一个用于解密，这种加密方法称为非对称加密，也称为公钥加密，因为其中一个密钥是公开的（另一个则需要保密）。

不对称加密算法

  不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。不对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自己保留私钥。由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的 DSA。以不对称加密算法为基础的加密技术应用非常广泛。


RSA（Rivest   Shamir   Adlemen，一种因特网加密和认证体系）：由 RSA 公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的；

DSA（Digital Signature Algorithm）：数字签名算法，是一种标准的 DSS（数字签名标准）；

ECC（Elliptic Curves Cryptography）：椭圆曲线密码编码学。


DSA

所谓数字签名是指发送方从发送报文中抽取特征数据(称为数字指纹或摘要),然后用发送方的私钥对数字指纹使用加密算法进行算法操作,接受方使用发送方已经公开的公钥解密并验证报文.

数字签名用户验证发送方身份或者发送方信息的完整性


中文名称：密钥加密
英文名称：secret key encryption
定义：发送和接收数据的双方，使用相同的或对称的密钥对明文进行加密解密运算的加密方法。

公钥加密
中文名称：公钥加密
英文名称：public key encryption
定义：由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。它解决了密钥的发布和管理问题，是目前商业密码的核心。

中文名称：数字签名
英文名称：digital signature
定义：以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。

数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。

Hash算法

Hash算法特别的地方在于它是一种单向算法，用户可以通过Hash算法对目标信息生成一段特定长度的唯一的Hash值，却不能通过这个Hash值重新获得目标信息。因此Hash算法常用在不可还原的密码存储、信息完整性校验等。

常见的Hash算法有MD2、MD4、MD5、HAVAL、SHA

MD5/SHA

MessageDigest是一个数据的数字指纹.即对一个任意长度的数据进行计算,产生一个唯一指纹号.
MessageDigest的特性:

A) 两个不同的数据,难以生成相同的指纹号

B) 对于指定的指纹号,难以逆向计算出原始数据


其他介绍:
PGP（Pretty Good Privacy）技术 PGP技术是一个基于不对称加密算法RSA公钥体系的邮件加密技术，也是一种操作简单、使用方便、普及程度较高的加密软件。PGP技术不但可以对电子邮件加密，防止非授权者阅读信件；还能对电子邮件附加数字签名，使收信人能明确了解发信人的真实身份；也可以在不需要通过任何保密渠道传递密钥的情况下，使人们安全地进行保密通信。PGP技术创造性地把RSA不对称加密算法的方便性和传统加密体系结合起来，在数字签名和密钥认证管理机制方面采用了无缝结合的巧妙设计，使其几乎成为最为流行的公钥加密软件包。

数字签名（Digital Signature）技术数字签名技术是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在公钥与私钥管理方面，数字签名应用与加密邮件 PGP技术正好相反。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。

PKI（Public Key Infrastructure）技术 PKI技术是一种以不对称加密技术为核心、可以为网络提供安全服务的公钥基础设施。PKI技术最初主要应用在Internet环境中，为复杂的互联网系统提供统一的身份认证、数据加密和完整性保障机制。由于PKI技术在网络安全领域所表现出的巨大优势，因而受到银行、证券、政府等核心应用系统的青睐。 PKI技术既是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务等活动缺少物理接触，因而使得利用电子方式验证信任关系变得至关重要，PKI技术恰好能够有效解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系还必须充分考虑互操作性和可扩展性。PKI体系所包含的认证中心（CA）、注册中心（RA）、策略管理、密钥与证书管理、密钥备份与恢复、撤销系统等功能模块应该有机地结合在一起。
http://www.cppblog.com/aaxron/archive/2010/12/25/137405.html

liyihongcug

H(Secure Shell) 实现了与telent服务类似的远程登录功能，ssh协议在网络中使用密文传输数据，SSH服务器中还支持使用scp和sftp等客户端程序进行远程主机的文件复制

SSH协议提供两种用户认证方式：
基于口令的安全认证
    与telnet类似，提供正确的用户口令后可以远程登录服务器
基于密钥的安全认证
    使用公钥和私钥对的方式对用户进行认证



对称密钥：服务器和客户端使用同样的密钥加密解密
加密和解密的速度很快。


非对称密钥：
一般用于身份验证，安全性高，但加密解密速度慢
1.双方交换公钥
2.随机生成对称密钥，然后用对方的公钥加密后发给对方
3，对方用私钥解密得到对称密钥
4，以后对方所传输的所有数据均使用这个对称密钥加密和解密


openssh 是ssh协议的免费实现版本。他的进程是sshd。配置文件放在/etc/ssh中，服务器配置文件是/etc/ssh/ssd_config 客户机配置文件是/etc/ssh/ssh_config

客户机登录ssh服务器后，会在客户机的家目录生成.ssh目录，其中know_hosts保存服务器的公钥。
在ssh客户端生成用户的公钥和私钥对
使用ssh-keygen命令生成密钥对：$ssh-keygen -t rsa（rsa是著名的非对称密钥算法）
公钥和私钥文件
ssh-keygen命令将在.ssh目录中生成公钥和私钥文件
id_rsa是私钥文件，内容需要保密
id_rsa.pub是公钥文件，可以发布到ssh服务器中。

复制公钥文件：
将客户端中的用户公钥文件复制到ssh服务器中([staid@staid ~]$ scp /home/staid/.ssh/id_rsa.pub root@192.168.0.2:/root)：
将公钥内容追加到authorized_keys文件(没有authorized_keys的话，创建authorized_keys文件):
authorized_keys文件保存在ssh服务器中用户目录的.ssh子目录中
authorized_keys用于保存所有允许以当前用户身份登录的ssh客户端用户的公钥内容
使用>>重定向符将用户公钥追加到authorized_keys文件中
cat id_rsa.pub>>~/.ssh/authorized_keys

ssh 192.168.1.2 的意思是用当前用户的名字登录服务器。

TCP Wrappers(包裹起来)：只要应用基于tcp协议的，用户访问tcp应用的话，先经过TCP Wrappers过滤一遍。
设置只有两个文件：/etc/hosts.deny 和/etc/hosts.allow
守护进程就是tcpd，
包：tcp_wrappers
此处白名单优先于黑名单，就是说白名单也有，黑名单也有，那么就是白名单生效

文件格式：<服务程序列表>：<客户端地址列表>[:动作]
文件中每行为一个设置记录
服务程序列表字段的表示：
ALL代表所有的服务程序
单个服务的名称 ，例如：in.telnetd代表telnet服务器进程（因为他属于超级管理程序的后台服务器部分，所以得用in.的样子，而不是独立进程），vsftpd代表vsftpd服务器程序
多个服务程序名称可以组成列表，中间用逗号隔开。例如：in.telnetd,vsftpd

客户机地址列表：字段的表示：
ALL代表所有的客户机地址
LOCAL代表本机地址
KNOW代表可解析的域名
UNKNOW代表不可解析的域名
以句点.可是的域名代表该域名下的所有主机，例如：.test.com代表test.com域下的所有主机
对某个子网中的所有主机使用 子网/掩码 的形式表示
对于网络中的某个主机可直接用ip地址表示
动作用allow代表允许，deny是拒绝。


本文出自 “峥狼--一个人的部落” 博客，请务必保留此出处http://guoli0813.blog.51cto.com/623863/359680[电信-通信]
什么叫端对端 什么叫点对点？


端到端与点到点是针对网络中传输的两端设备间的关系而言的。端到端传输指的是在数据传输前，经过各种各样的交换设备，在两端设备问建立一条链路，就象它们是直接相连的一样，链路建立后，发送端就可以发送数据，直至数据发送完毕，接收端确认接收成功。点到点系统指的是发送端把数据传给与它直接相连的设备，这台设备在合适的时候又把数据传给与之直接相连的下一台设备，通过一台一台直接相连的设备，把数据传到接收端。
端到端传输的优点是链路建立后，发送端知道接收设备一定能收到，而且经过中间交换设备时不需要进行存储转发，因此传输延迟小。端到端传输的缺点是直到接收端收到数据为止，发送端的设备一直要参与传输。如果整个传输的延迟很长，那么对发送端的设备造成很大的浪费。端到端传输的另．一个缺点是如果接收设备关机或故障，那么端到端传输不可能实现。
点到点传输的优点是发送端设备送出数据后，它的任务已经完成，不需要参与整个传输过程，这样不会浪费发送端设备的资源。另外，即使接收端设备关机或故障，点到点传输也可以采用存储转发技术进行缓冲。点到点传输的缺点是发送端发出数据后，不知道接收端能否收到或何时能收到数据。
在一个网络系统的不同分层中，可能用到端到端传输，也可能用到点到点传输。如Internet网，IP及以下各层采用点到点传输，4层以上采用端到端传输  http://www.cnitblog.com/guopingleee/archive/2007/10/14/34843.html