Файлы теневых паролей имеют ограниченные права доступа, которые предотвращают их прочтение злоумышленниками. Зашифрованный пароль хранится только в файле теневых паролей, /etc/shadow, но не в файле /etc/ passwd.

Файл passwd доступен для чтения всем приложениям и пользователям, поскольку содержит информацию, востребованную самыми разнообразными программами. Файл shadow может быть прочитан только администратором и не дублирует сведения, хранящиеся в passwd. Он содержит только пароли и информацию, необходимую для работы с ними. В системе Solaris запись файла shadow имеет следующий формат:

username:password:lastchg:min:max:warn:inactive:expire: flag

username - регистрационное имя пользователя, password - зашифрованный пароль либо, в случае системы Solaris, одно из ключевых слов NP и *LK*. lastchg - дата последней смены пароля, записанная в виде числа дней, истекших с 1 января 1970 года до дня смены пароля, min - минимальное число дней, по истечении которого разрешено сменить пароль, max - число дней, по истечении которого пользователь обязан сменить пароль, warn - число дней до истечения срока действия пароля, за которое пользователь получает предупреждение, inactive - число дней бездействия учетной записи, по истечении которых происходит ее блокировка, expire - дата истечения действия учетной записи. Поле flag не используется.

Зашифрованный пароль хранится только в этом файле. Все поля паролей в файле /etc/passwd содержат букву х, которая сообщает системе, что настоящие пароли следует искать в файле /etc/shadow, содержащем зашифрованный пароль либо ключевые слова NP или *LK*. Ключевое слово NP означает отсутствие пароля и возможности регистрации в системе посредством данной

учетной записи. Системные учетные записи, такие как daemon и ииср, не позволяют пользователю работать с системой, поэтому в их полях паролей содержится ключевое слово NP. *LK* в поле пароля означает, что учетная запись блокирована и не может использоваться в принципе.