O guia completo /etc /Shadow Arquivo para Linux
Armazenar senhas dentro do arquivo /etc /passwd é propenso à insegurança do sistema. As permissões de arquivo para o arquivo Shadow são definidas como 640 ou 400.
O que vamos cobrir?
Neste artigo, exploraremos o arquivo Shadow no Linux.
Por que precisamos do arquivo de sombra?
O arquivo passwd no Linux é legível para todos e, por esse motivo, as senhas criptografadas foram transferidas para um arquivo diferente chamado Arquivo Sombra. É apenas legível por raiz. O arquivo de sombra também está localizado dentro da pasta /etc em /etc /shadow.
Assim como o arquivo passwd, o primeiro campo no arquivo Shadow contém o nome da conta e usa um cólon para separar diferentes campos. Ter um arquivo separado contendo senhas criptografadas também facilita a adição de novos parâmetros para uma conta. Além disso, isso ajuda no controle de uma conta e também controla o envelhecimento de senha.
O arquivo de sombra é mantido leitura para proteger as senhas criptografadas. Esta é uma medida de segurança importante, porque qualquer pessoa que tenha lido o acesso ao arquivo pode tentar quebrar a senha criptografada.
Aspectos de segurança do arquivo de sombra
O arquivo Shadow é uma boa ferramenta para redefinir a senha raiz de um sistema Linux. Podemos localizar a entrada da conta para o usuário root e manipular algumas configurações para recuperar nossa senha raiz. No entanto, o processo de recuperação de senhas do arquivo Shadow é fora do tópico por enquanto.
Como mencionado anteriormente, o arquivo de sombra é legível pela raiz apenas. Se um titular de conta do Miscreant tentar invadir as outras contas do sistema, ele só vai bater na cabeça contra uma parede. Se de alguma forma, uma pessoa obtém acesso à senha, a hora de quebrá -la depende do algoritmo de criptografia usado. Embora isso não seja tão fácil, pois pode levar alguns minutos a anos para quebrar uma senha criptografada.
Sintaxe do arquivo de sombra
A sintaxe do arquivo de sombra é como:
Login: EncyrptedPassword: lastChangedate: min_age: max_age: aviso: inatividade: expiration_date: reservado
Os campos na linha acima são representados em dias. O última mudança e expiração são campos de data. O tempo nesses campos é tirado a partir da data do início do tempo do Unix I.e., 1 de janeiro de 1970.
Explicação para os campos no arquivo Shadow
Existem nove campos nesse arquivo que são delimitados por colonos ':'
Deixe -me explicar cada campo aqui:
Login: Cada linha em um arquivo de sombra começa com um nome de usuário. O nome de usuário vincula as entradas no arquivo Shadow daquelas encontradas em /etc /passwd.
EncryptedPassword: é o espaço reservado para a senha criptografada. Portanto, obviamente não há semelhança com a senha real. Se A * ou ! é colocado aqui, isso significa que a conta não tem senha.
Data do LastChange - é basicamente uma data em termos do número de dias retirados desde o início do tempo Unix. Este é o momento que dá a data em que a senha foi modificada pela última vez. Se esse valor for 0, isso significa que a senha deve ser alterada na próxima vez que um usuário fizer login.
Minagem - Este campo diz que a senha só pode ser alterada quando o valor da data é minage. Se este campo estiver vazio, significa que a senha pode ser alterada a qualquer momento.
Maxage - Este campo diz que a senha deve ser alterada quando o valor da data é maxage+Lastage. Na verdade é a data em que a senha expira. Para senhas vazias, a data de vencimento não tem sentido e, portanto, é a maxage, os campos de aviso e inatividade não são necessários.
Aviso - isso dá um aviso a um usuário por alterar a senha quando a data se tornar LastChange+Maxage -Warning ou o período de aviso da senha iniciado. Se esse valor estiver 0 ou em branco (vazio), isso significa que não há período de aviso.
Inatividade - Quando a senha expirar, o usuário ainda pode alterar suas senhas até os dias de inatividade. Se este campo não estiver preenchido, não há período de inatividade.
Data de validade - é a data em que a conta do usuário expirará. A partir desta data, a conta não estará disponível para login. Se este campo estiver vazio, a conta nunca expirará. Além disso, não use um valor '0' aqui.
Bandeira especial: este lugar normalmente não é usado e foi colocado para uso futuro.
Agora vamos dar um exemplo para esclarecer nossa compreensão dos campos acima. Tomemos, por exemplo, a entrada de amostra abaixo do arquivo de sombra:
Linuxhint: $ 6 $ kkrcc8ip8nktfjjdzjij: 12825: 14: 45: 10: 30: 13096
Vamos quebrar cada campo passo a passo:
1. Linuxhint é o nome do usuário.
2. O próximo campo é a senha criptografada do usuário. É uma senha longa. No entanto, nós o truncamos ligeiramente por causa da brevidade.
3. O usuário modificou sua senha 12825 dias ou 35 anos, 1 mês e 11 dias, que é 11 de fevereiro de 2005 desde o tempo da época da Epoch iix I.e. 1 de janeiro de 1970.
4. O tempo mínimo após o qual o usuário pode alterar sua senha é de 14 dias. Para tornar a senha mutável a qualquer momento, defina este campo como 0.
5. A senha precisará ser redefinida após a cada 45 dias.
6. O aviso para redefinir a senha aparecerá 10 dias antes da data de alterá -la.
7. Se a senha expirar e nenhuma ação de login for executada por 30 dias, a conta de usuário será desativada.
8. Após 13096 dias da hora da Epoch ou 9 de novembro de 2005, a conta expirará.
Conclusão
O arquivo Shadow é um local muito seguro para armazenar as informações da sua conta. Existem preocupações de segurança em fortes senhas de usuário dentro do arquivo passwd. Tornando o arquivo sombra legível por root elimina apenas as chances de exploração de senha por usuários e invasores de misceantes.