Linux命令-pwck（检查 /etc/passwd 和 /etc/shadow 完整性）

快速参考

pwck（Password Check）是一个系统完整性检查工具，用于验证/etc/passwd和/etc/shadow文件的结构完整性。它会逐行检查用户名唯一性、UID/GID 合法性、主目录是否存在、Shell 是否有效等，帮助管理员发现潜在的账户配置错误或安全漏洞。

在 Linux 系统中，/etc/passwd和/etc/shadow是认证体系的根基。pwck是你的账户数据库的"健康检查"——定期运行它，可以在问题演变成安全事故之前发现隐患。

命令语法

pwck [选项] [passwd [shadow]]

常用选项

检查项目

pwck会验证以下内容：

实战示例

1. 基础检查

# 检查当前系统（需要 root 权限）$sudopwck user'alice':directory'/home/alice'does not exist user'bob':directory'/nonexistent/path'does not exist user'carol':program'/bin/false'is notin/etc/shells pwck: no changes# 解读：# alice: 主目录 /home/alice 不存在（可能已被删除）# bob: 主目录路径无效# carol: Shell 不在 /etc/shells 中（可能是合法的服务账户）# 查看 /etc/shells 中允许的 Shell$cat/etc/shells /bin/sh /bin/bash /usr/bin/bash /bin/rbash /bin/dash /usr/bin/dash /bin/zsh /usr/bin/zsh /usr/bin/fish# 注意：/usr/sbin/nologin 和 /bin/false 通常不在此列表中# 它们是合法的"禁止登录"Shell，pwck 可能误报

2. 只读检查

# 只读模式（推荐！不修改文件，只报告问题）$sudopwck-ruser'test':directory'/home/test'does not exist invalid passwordfileentry delete line'test:x:2001:2001::/home/test:/bin/bash'? No pwck: the files have been updated# 即使 -r 也会尝试修复# 安静模式$sudopwck-q# 只输出错误，不输出正常行

3. 检查特定用户文件副本

# 备份当前的 passwd 和 shadow$sudocp/etc/passwd /tmp/passwd.test $sudocp/etc/shadow /tmp/shadow.test# 对副本进行检查（不影响系统）$sudopwck-r/tmp/passwd.test user'nobody':directory'/nonexistent'does not exist user'systemd-coredump':directory'/'does not exist pwck: no changes# 修复：创建缺失的主目录$sudomkdir-p/home/alice $sudochownalice:alice /home/alice# 修复：更新 Shell 路径$sudousermod-s/usr/sbin/nologin carol# 或添加 Shell 到 /etc/shells$echo"/usr/sbin/nologin"|sudotee-a/etc/shells

4. 手动检查 vs pwck

# pwck 在做什么——我们可以手动实现类似检查# 检查重复用户名$cut-d:-f1/etc/passwd|sort|uniq-d# 检查重复 UID$cut-d:-f3/etc/passwd|sort|uniq-d# 检查字段不完整（非 7 个字段）$awk-F:'NF != 7 {print "Line " NR ": " $0}'/etc/passwd# 检查 UID 非数字$awk-F:'$3 !~ /^[0-9]+$/ {print "Invalid UID: " $0}'/etc/passwd# 检查 Shell 是否有效$awk-F:'{print $7}'/etc/passwd|sort-u|whilereadshell;doif!grep-qxF"$shell"/etc/shells2>/dev/null;thenecho"Shell not in /etc/shells:$shell"fidone# 检查主目录是否存在$awk-F:'{print $6}'/etc/passwd|sort-u|whilereaddir;doif["$dir"!="/"]&&[!-d"$dir"];thenecho"Directory missing:$dir"fidone# 可以封装为自定义检查脚本$cat>/usr/local/bin/passwd_check.sh<<'SCRIPT' #!/bin/bash echo "=== UID 冲突检查 ===" cut -d: -f3 /etc/passwd | sort -n | uniq -d echo "=== 用户名冲突检查 ===" cut -d: -f1 /etc/passwd | sort | uniq -d echo "=== 字段不完整检查 ===" awk -F: 'NF != 7 {print "Line " NR ": " $0}' /etc/passwd echo "=== 0 号 UID 检查（除了 root）===" awk -F: '$3 == 0 && $1 != "root" {print $0}' /etc/passwd echo "=== 主目录缺失检查 ===" while IFS=: read -r user _ uid _ _ dir shell; do [ "$dir" = "/" ] && continue [ "$dir" = "" ] && continue [ -d "$dir" ] || echo "$user: directory $dir missing" done < /etc/passwd SCRIPT$chmod+x /usr/local/bin/passwd_check.sh

5. 安全审计

# 检查是否有未授权的 UID 0 账户（后门账户）$sudopwck-r2>&1|grep"UID 0"$sudoawk-F:'$3 == 0 {print $0}'/etc/passwd root:x:0:0:root:/root:/bin/bash# 如果输出不止 root 一行！立即检查是否是安全事件！# 检查是否有空密码的账户$sudoawk-F:'($2 == "" || $2 == "!") && $3 >= 1000'/etc/shadow# 检查是否有已过期但仍活跃的账户$sudochage-lalice# 定期检查的 cron 任务$cat>/etc/cron.daily/passwd-integrity<<'SCRIPT' #!/bin/bash REPORT=$(sudo pwck -r -q 2>&1) if [ -n "$REPORT" ]; then echo "Subject: [SECURITY] /etc/passwd integrity warning" | \ sendmail -t admin@example.com echo "$REPORT" | sendmail -t admin@example.com fi SCRIPT$chmod+x /etc/cron.daily/passwd-integrity

发行版差异

所有主流 Linux 发行版都提供了pwck，行为一致。

相关命令

总结

pwck是系统账户数据库的"例行体检"工具。它帮助管理员在问题演变成安全漏洞或登录失败之前发现隐患：

• 重复 UID → 权限混乱
• 缺失主目录 → 用户无法登录或配置文件丢失
• 无效 Shell → 用户无法正常使用
• UID 0 多个 → 可能的安全事件

建议：在创建/删除用户后运行pwck -r验证，定期将pwck -r -q加入安全审计 cron 中。