shell脚本中实现自动判断用户有无密码

saundy

　　在最近完成老师布置的作业的时候遇到了如何让shell脚本中的命令自动判断一个用户是否已设置密码的问题，虽然看似不是很难的一个问题，但是在这一功能实现的过程中却包含了许多细小的而重要的知识。刚开始小编对此很是头疼，虽然我们查看一个用户是否有密码并不是很难，直接cat /etc/shadow这个文件看看密码位是否有加密的字符就行了，但是让命令自己去判断和匹配就不是很顺利了，小编上网查看后，并没有得到很好的答案，大多数都是人工查看的答案，并不适用于shell脚本中自动的判断，所以在认真对比/etc/passwd 和/etc/shadow 这两个文件之后，又结合自己的想法，实现了这个自动判断的功能，接下来小编将我这一过程实现中遇到的问题和扩展的知识，罗列出来，以便于给像小编一样没有在网上找到合适答案的童鞋们参考，本文纯属个人思考产物，如有更好方法，请赐教。
　　我们知道用户的密码是存储到/etc/passwd和/etc/shadow这两个文件中的，为什么这么说呢？因为当系统开启了用户的投影密码后，才会把密码映射到shadow这个文件中，如果没有开启投影密码，则用户的密码是保存在passwd 这个文件中的，为了提高系统的安全性，一般这个功能是默认开启的，但是我们可以手动将其关闭：pwconv开启投影密码，pwunconv关闭投影密码。
　　为了接下来的命令实现，小编在这里将passwd文件和shadow文件的关系进行图形化的详细分析，以便小伙伴们能看懂：

　　如果没有开启影子密码功能，则不会存在shadow这个文件，密码就被保存在了passwd文件的密码位上，此时，创建的用户一直都没有设置密码的情况下，该密码位是两个！！符号，如果用户的密码通过passwd -d username 这个命令给清空的话，该密码位上没有任何东西。
　　如果开启了影子密码功能，passwd中密码位的密码将会投射到shadow中，同样，如果用户还没设置过密码，则密码位为两个！！符号，如果用户的密码通过passwd -d username 清空了的话，在shadow的密码位上为空。
　　有图有真相：

　　存在上述的两种情况啊！针对shell脚本而言，编写的脚本要有较高的准确性和可移植性，所以命令的执行一定要有绝对的把握，如果我们定义查看匹配shadow文件，那如果有的主机上没有开启影子密码功能，那么找不到shadow这个文件，命令的执行结果就不对了，所以为了保证命令的绝对性，小编采用如下思想：
　　不管系统有没有开启影子投射功能，我们在进行筛选判断之前，先执行pwconv命令开启影子密码功能。这样一来，我们就完全的确定了密码存在于shadow文件中，我们就可以针对shadow文件进行一些操作。
　　没有密码的情况有两种，一种是密码位为空，一种是密码位一个！或！！，一个！是因为该用户被锁定了。如果用户有密码的情况是密码位为：“$加密方式编号$salt$密码位” 所以我们可以将密码位的参数提取出来运用正则表达式进行对比，如果不是“$加密方式编号$salt$密码位”形式的参数，就说明该用户没有密码。
　　开启影子密码的命令为：pwconv
　　提取shadow文件中密码位参数的命令为：getent shadow |grep ^username |cut -d: -f2
　　这里有图：

　　这里截取的是一个用户的密码位。
　　将取出的参数进行匹配，判断出是否有密码：[[ "$(pwconv ;getent shadow |grep ^username |cut -d: -f2)" =~ ^'$'.* ]] && echo true || echo false
　　该命令中使用到了：
　　$( )：调用括号中的命令执行的结果
　　` `：条件测试，可以进行条件测试的还有 [ ]，但是我们使用到了扩展正则表达式，而[ ]不支持引用正则表达式，所以我们使用双引号的条件测试符。
　　=~：该符号是进行字符串的测试，含义为：左侧字符串是否能够被右侧的PATTERN所匹配。
　　&&：根据退出状态而定，命令可以有条件地运行，代表条件性的AND THEN ，根据前一条命令的返回值来判断，返回值为真（0），则执行自身后面的命令。
　　||：代表条件性的OR ELSE，若前一条命令的返回值为假（非0），则执行自身后面的命令。
　　命令执行的结果为：（两种结果展示）

　　我们可以可以将用户名设置为一个变量，通过传递的用户名参数，实现指定用户的查看，将这个方法用户在shell脚本中，就可以进行有条件的判断了。嘻嘻~
　　才学疏浅，如有不足请多多指点，如有你发现了更好的办法，记得告诉小编哦！