La guida completa del file /etc /shadow per Linux

La guida completa del file /etc /shadow per Linux
Il file shadow e il file passwd sono comunemente utilizzati per l'esecuzione di processi di autenticazione su Linux. Il file shadow è un file basato sul testo che memorizza i dati degli utenti su un sistema. Ancora più importante, le password qui sono mantenute in formato crittografato o hash.

L'archiviazione delle password all'interno del file /etc /passwd è soggetta a insicurezza del sistema. Le autorizzazioni del file per il file ombra sono impostate su 640 o 400.

Cosa copriremo?

In questo articolo, esploreremo il file ombra in Linux.

Perché abbiamo bisogno del file ombra?

Il file passwd in Linux è leggibile per tutti e per questo motivo, le password crittografate sono state trasferite in un file diverso chiamato file shadow. È leggibile solo per root. Il file ombra si trova anche all'interno della cartella /etc at /etc /ombre.

Proprio come il file passwd, il primo campo nel file ombra contiene il nome dell'account e utilizza un colon per separare diversi campi. Avere un file separato contenente password crittografate facilita anche l'aggiunta di nuovi parametri per un account. Inoltre, ciò aiuta a controllare un account e controlla anche l'invecchiamento della password.

Il file ombra viene mantenuto protetto da lettura per proteggere le password crittografate. Questa è un'importante misura di sicurezza perché chiunque abbia accesso al file può provare a rompere la password crittografata.

Aspetti di sicurezza del file ombra

Il file ombra è un buon strumento per ripristinare la password di root di un sistema Linux. Possiamo individuare la voce dell'account per l'utente root e manipolare alcune impostazioni per recuperare la nostra password di root. Tuttavia, il processo di recupero delle password dal file ombra è fuori tema per ora.

Come accennato in precedenza, il file shadow è leggibile solo dalla radice. Se un titolare di un account maltrattato cerca di hackerare gli altri account del sistema, colpirà la testa contro un muro. Se in qualche modo, una persona ha accesso alla password, il tempo di rompersi dipende dall'algoritmo di crittografia utilizzato. Tuttavia, non è così facile in quanto possono volerci qualche minuto a anni per rompere una password crittografata.

Sintassi del file ombra

La sintassi del file ombra è come:

Login: ENCYRPTEDPASPORD: LastChangedate: Min_age: Max_age: Avviso: inattività: espirazione_date: riservato

I campi nella linea sopra sono rappresentati in giorni. IL ultima modifica E scadenza sono campi di date. Il tempo in questi campi è prelevato dalla data dell'inizio di Unix.e., 1 gennaio 1970.

Spiegazione per i campi nel file ombra

Ci sono nove campi in questo file che sono delimitati dai colpi ":"

Lasciami spiegare ogni campo qui:

Accedi: ogni riga in un file ombra inizia con un nome utente. Il nome utente collega le voci nel file ombra da quelle trovate in /etc /passwd.

CryptedPassword: è il segnaposto per la password crittografata. Quindi ovviamente non c'è alcuna somiglianza con la password reale. Se a * o ! è posizionato qui, questo significa che l'account non ha password.

Data di ultima scambio - È fondamentalmente una data in termini di numero di giorni presi dall'inizio dell'ora unix. Questo è il momento che dà la data in cui la password è stata modificata l'ultima volta. Se questo valore è 0, ciò significa che la password deve essere modificata la prossima volta quando un utente accede.

minage - Questo campo dice che la password può essere modificata solo quando il valore della data è minage+lastage. Se questo campo è vuoto, significa che la password può essere modificata in qualsiasi momento.

Maxage - Questo campo dice che la password deve essere modificata quando il valore della data è maxage+lastage. In realtà è la data in cui la password scade. Per le password vuote, la data di scadenza è insensato ed è quindi maxage, avviso e campi di inattività non sono richiesti.

ATTENZIONE - Questo dà un avviso a un utente per la modifica della password quando la data diventa LastChange+Maxage -Warning o il periodo di avviso della password è stato avviato. Se questo valore è 0 o vuoto (vuoto), ciò significa che non esiste un periodo di avviso.

Inattività: quando la password è scaduta, l'utente può comunque modificare le proprie password fino ai giorni di inattività. Se questo campo non è riempito, non esiste un periodo di inattività.

Data di scadenza - È la data in cui l'account utente scadrà. Da questa data in poi, l'account non sarà disponibile per l'accesso. Se questo campo è vuoto, l'account non scadrà mai. Inoltre, non utilizzare un valore '0' qui.

Flag speciale: questo posto non è normalmente utilizzato ed è stato messo per un uso futuro.

Ora facciamo un esempio per chiarire la nostra comprensione dei campi di cui sopra. Prendi, ad esempio, la voce di esempio seguente dal file ombra:

Linuxhint: $ 6 $ kkrcc8ip8nktfjdzjij: 12825: 14: 45: 10: 30: 13096

Abbattiamo ogni campo passo dopo passo:

1. Linuxhint è il nome dell'utente.

2. Il prossimo campo è la password crittografata dell'utente. È una password lunga. Tuttavia, l'abbiamo leggermente troncato per motivi di brevità.

3. L'utente ha modificato la sua password 12825 giorni o 35 anni, 1 mese e 11 giorni, che è l'11 febbraio 2005 dal tempo di Epoch UNIX I.e. 1 gennaio 1970.

4. Il tempo minimo dopo il quale l'utente può cambiare la propria password è di 14 giorni. Per rendere la password modificabile in qualsiasi momento, impostare questo campo su 0.

5. La password dovrà essere ripristinata ogni 45 giorni.

6. L'avvertimento per il ripristino della password verrà visualizzato 10 giorni prima della data di modifica.

7. Se la password scade e nessuna azione di accesso viene eseguita per 30 giorni, l'account utente verrà disabilitato.

8. Dopo 13096 giorni dal tempo di epoca unix o 9 novembre 2005, il conto scadrà.

Conclusione

Shadow File è un luogo molto sicuro per archiviare le informazioni sul tuo account. Ci sono problemi di sicurezza nelle password utente forti all'interno del file passwd. Rendere il file ombra leggibile per root elimina solo le possibilità di sfruttamento della password da parte di utenti e aggressori di malvagità.