pwck 命令详解

一、命令概述

pwck（Password Check，密码文件完整性校验工具）是 Linux 系统中用于验证用户账号与认证信息完整性的核心工具，主要检查 /etc/passwd（用户账号文件）和 /etc/shadow（安全认证文件）的格式合法性与数据有效性，避免因文件损坏或配置错误导致用户登录异常。

其核心作用与检查逻辑：

1. 基础格式校验：确保每个条目字段数正确（/etc/passwd 6个字段，/etc/shadow 9个字段），字段缺失或多余会判定为“致命错误”；
2. 数据有效性校验：验证用户名唯一性、UID/GID 合法性（如 UID 0 仅 root）、主目录存在性、登录 shell 有效性（需在 /etc/shells 中）；
3. Shadow 文件关联校验：仅当 /etc/shadow 存在或指定时触发，检查 passwd 与 shadow 条目一一对应、密码仅存储在 shadow 中、密码过期时间合理性（非未来时间）；
4. 错误处理机制：
   • 致命错误（如字段数错误、用户名重复）：提示用户删除异常条目，不确认则跳过后续检查；
   • 非致命错误（如主目录不存在）：仅警告，建议用 usermod 修正。

二、命令语法

pwck 语法简洁，默认校验系统默认密码文件，也支持指定自定义文件，选项用于控制校验模式（如只读、排序）：

pwck [options] [passwd [ shadow ]]

• 参数说明：
  • [options]：可选，控制校验行为（如只读、仅报错误、排序）；
  • [passwd [ shadow ]]：可选，指定自定义的“用户账号文件”和“安全认证文件”（默认分别为 /etc/passwd 和 /etc/shadow）；
    • 仅指定 passwd：仅校验该用户账号文件，不检查 shadow；
    • 同时指定 passwd 和 shadow：校验两者的关联性与完整性。

三、选项详解

pwck 选项聚焦“校验模式控制”与“输出过滤”，核心选项需注意 --read-only（避免误删）和 --sort（修复排序）的使用场景，且 --read-only 与 --sort 不可同时使用。表格含详细说明与实用示例：

选项	功能描述	关键说明与示例
-h, --help	显示帮助信息（含选项说明与语法），然后退出，无其他操作。	示例：查看 pwck 帮助文档 pwck --help
-q, --quiet	仅输出错误信息，抑制警告信息（非致命错误，如主目录不存在），适合脚本批量检查（仅关注需紧急处理的问题）。	示例：静默校验，仅显示致命错误 pwck -q
-r, --read-only	只读模式：仅校验文件，不提示删除异常条目，也不修改任何文件（安全模式，适合首次检查或非root用户查看）。	示例：只读校验，不修改文件 pwck -r
-R, --root CHROOT_DIR	在 CHROOT 环境中执行校验，使用 CHROOT_DIR 目录下的配置文件（如 CHROOT_DIR/etc/passwd），用于容器、嵌入式系统或系统修复场景。	示例：校验 /mnt/chroot 环境下的密码文件 pwck -R /mnt/chroot
-s, --sort	校验完成后，按 UID（用户ID）升序 排序 passwd 和 shadow 文件（仅当无致命错误时生效），修复因条目乱序导致的工具识别问题。	示例：校验并按 UID 排序密码文件 pwck -s

四、配置变量（/etc/login.defs）

pwck 的部分校验逻辑依赖 /etc/login.defs 中的配置变量，主要控制密码过期相关的校验规则，变量含义如下：

配置变量	功能描述	默认值与示例
PASS_MAX_DAYS	密码最大使用天数：超过该天数需强制修改密码，值为 -1 表示禁用限制。	默认 -1（无限制）；示例：PASS_MAX_DAYS 90（90天过期）
PASS_MIN_DAYS	密码最小修改间隔天数：两次修改密码的间隔不得小于该值，-1 表示禁用。	默认 -1（无限制）；示例：PASS_MIN_DAYS 7（7天内不可重复修改）
PASS_WARN_AGE	密码过期提前警告天数：过期前 N 天开始提示用户修改，0 仅过期当天提示，负值表示无警告。	默认无警告；示例：PASS_WARN_AGE 7（提前7天警告）

五、相关文件

pwck 校验过程依赖以下系统文件，需确保文件权限正确（如 /etc/shadow 仅 root 可读）：

文件路径	功能描述	权限要求（默认）
/etc/passwd	存储用户账号基础信息（用户名、UID、GID、主目录、登录shell等），所有用户可读。	-rw-r--r--（root 可写，其他只读）
/etc/shadow	存储用户安全认证信息（加密密码、过期时间、密码策略等），仅 root 可读。	-r--------（仅 root 可读）
/etc/group	存储组信息，校验“用户主组有效性”时需读取（确保用户 GID 对应存在的组）。	-rw-r--r--（root 可写，其他只读）
/etc/shells	存储系统支持的登录 shell 列表，校验“登录 shell 有效性”时需读取。	-rw-r--r--（root 可写，其他只读）

六、退出值（Exit Values）

pwck 执行后返回不同退出码，用于判断校验结果或错误类型，脚本可通过退出码自动化处理：

退出码	含义	处理建议
0	校验成功，无任何错误或警告。	无需操作
1	命令语法错误（如选项组合无效，如 -r 与 -s 同时使用）。	检查命令语法，参考 pwck --help
2	存在一个或多个无效密码条目（如字段数错误、用户名重复）。	根据提示删除异常条目，或用 usermod 修正
3	无法打开密码文件（如文件不存在、权限不足）。	检查文件路径与权限，确保 root 执行
4	无法锁定密码文件（文件被其他进程占用，如 passwd 正在执行）。	关闭占用进程，稍后重试
5	无法更新密码文件（如磁盘满、权限只读）。	检查磁盘空间与文件权限
6	无法排序密码文件（如 --sort 时文件不可写）。	确保文件可写，或先解决其他错误（如条目无效）

七、常用示例（覆盖核心场景）

示例 1：默认校验——检查系统密码文件完整性

日常维护时，校验 /etc/passwd 和 /etc/shadow 的完整性，按提示处理异常条目：

# 需 root 权限（因需读取 /etc/shadow）
sudo pwck

• 输出示例（含警告）：

  user 'testuser': directory '/home/testuser' does not exist
  pwck: warning: no changes
  

• 处理：用 usermod -d /home/newtestuser testuser 修正主目录，或创建缺失的 /home/testuser。

示例 2：只读模式校验——安全查看错误（不修改文件）

首次检查时，避免误删条目，用只读模式查看所有错误和警告：

sudo pwck -r

• 输出示例（含致命错误）：

  /etc/passwd: line 10: bad field count
  /etc/passwd: line 15: duplicate user name 'duplicateuser'
  pwck: 2 errors, 0 warnings
  

• 处理：记录异常行号，手动编辑 /etc/passwd 删除或修正。

示例 3：排序密码文件——修复条目乱序问题

因手动编辑导致 /etc/passwd 条目乱序，校验并按 UID 排序：

# 校验并排序，需确保无致命错误（否则排序失败）
sudo pwck -s

• 输出示例：

  pwck: sorting entries in /etc/passwd and /etc/shadow
  

• 验证：查看排序结果（UID 升序）：

  cut -d: -f1,3 /etc/passwd | sort -n -k2  # 按 UID 列（第3列）排序查看
  

示例 4：CHROOT 环境校验——容器或系统修复

修复损坏的系统时，在 /mnt/rescue 目录的 CHROOT 环境中校验密码文件：

# 使用 CHROOT 目录下的配置文件
sudo pwck -R /mnt/rescue

八、注意事项

1. 权限要求：
   必须以 root 或 sudo 执行，因 /etc/shadow 仅 root 可读，普通用户无法完成完整校验。

2. 致命错误处理：
   字段数错误、用户名重复属于“致命错误”，pwck 会提示“是否删除该条目”，需谨慎确认（删除前建议备份文件：cp /etc/passwd /etc/passwd.bak）。

3. --read-only 与 --sort 冲突：
   两者不可同时使用（--read-only 禁止修改文件，--sort 需修改文件排序），否则会报错“invalid option combination”。

4. 文件备份建议：
   执行 pwck -s（排序）或处理致命错误前，建议备份 /etc/passwd 和 /etc/shadow，避免误操作导致文件损坏。

5. 非致命错误修正：
   主目录不存在、登录 shell 无效等警告，需用 usermod 手动修正（如 usermod -s /bin/bash testuser 修正登录 shell），pwck 仅提示不自动修复。