/etc/passwd   每个用户都可读，因为很多程序需要用它来根据UID查询用户名等，比如ls。

/etc/shadow   只有root用户可读。

因为暴露加密后的密码信息，也会增加被破解的风险，所以用shadow文件更加安全。

passwd文件格式：

用户名:密码:用户id:组id:用户信息:主目录:shell ynguo:x:509:510::/home/ynguo:/bin/bash

shadow文件格式:

用户名：加密口令：上一次修改的时间（从1970年1月1日起的天数）：口令在两次修改间的最小天数：口令修改之前向用户发出警告的天数：口令终止后账号被禁用的天数：从1970年1月1日起账号被禁用的天数：保留域

例如：

root:$1$t4sFPHBq$JXgSGgvkgBDD/D7FVVBBm0:11037:0:99999:7:-1:-1:1075498172

使用shadow文件之后，passwd中密码一栏为x。如果没有使用shadow文件，运行pwconv程序产生它。

如果更改了passwd，并且某些内容损坏（无法登陆到帐号），用pwunconv可以进行反向密码转换。

类似的，对于组来说也有对应的影子文件：

/etc/groups

/etc/gshadow

产生影子文件：grpconv

反向密码转换：grpunconv

参见另外一篇相关文章：

原文：http://blog.csdn.net/xwdok/archive/2006/02/27/611643.aspx

下面来分析一下/etc/passwd文件，他的每个条目有7个域，分别是名字：密码：用户id：组id：用户信息：主目录：shell 例如：ynguo:x:509:510::/home/ynguo:/bin/bash

在利用了shadow文件的情况下，密码用一个x表示，普通用户看不到任何密码信息。如果你仔细的看看这个文件，会发现一些奇怪的用户名，她们是系 统的缺省账号，缺省账号是攻击者入侵的常用入口，因此一定要熟悉缺省账号，特别要注意密码域是否为空。下面简单介绍一下这些缺省账号

adm拥有账号文件，起始目录/var/adm通常包括日志文件
bin拥有用户命令的可执行文件
daemon用来执行系统守护进程
games用来玩游戏
halt用来执行halt命令
lp拥有打印机后台打印文件
mail拥有与邮件相关的进程和文件
news拥有与usenet相关的进程和文件
nobody被NFS（网络文件系统）使用
shutdown执行shutdown命令
sync执行sync命令
uucp拥有uucp工具和文件

传统上，/etc/passwd文件在很大范围内是可读的，因为许多应用程序需要用他来把UID转换为用户名。例如，如果不能访问/etc/passwd，那么ls -l命令将显示UID而不是用户名。但是使用口令猜测程序，具有加密口令的可读/etc/passwd文件有巨大的安全危险。所以出现了影子文件/etc/shadow。

影子口令系统把口令文件分成两部分：/etc/passwd和/etc/shadow。影子口令文件保存加密的口令；/etc/passwd文件中的密码全部变成x。Shadow只能是root可读，从而保证了安全。/etc/shadow文件每一行的格式如下：

用户名：加密口令：上一次修改的时间（从1970年1月1日起的天数）：口令在两次修改间的最小天数：口令修改之前向用户发出警告的天数：口令终止后账号被禁用的天数：从1970年1月1日起账号被禁用的天数：保留域。

例如：root:$1$t4sFPHBq$JXgSGgvkgBDD/D7FVVBBm0:11037:0:99999:7:-1:-1:1075498172

bin:*:11024:0:99999:7:::
daemon:*:11024:0:99999:7:::缺省情况下，口令更新并不开启。如果你的系统没有启动影子文件，那么运行pwconv程序。