Интернет магазин китайских планшетных компьютеров


Компьютеры - /etc/passwd - Механизм скрытых паролей

23 апреля 2011


Оглавление:
1. /etc/passwd
2. Регистрационное имя
3. Группы пользователей
4. GECOS
5. Домашний каталог
6. Регистрационная оболочка
7. Использование
8. Механизм скрытых паролей
9. История



root:13$/Xhw3kaR$Vif2djTL4aQshu8aKfkl0/:12545:0:99999:7:::
daemon:*:12545:0:99999:7:::
bin:*:12545:0:99999:7:::
<…>
john:13$80l1AVB5$6AdyTstdHpsSTsewiac8O1:13283:0:31:3:14:13514:
bill:13$UdKpet5.$ssoFdtbe21qd.FL1gj19/0:13286:0:31:3:14:13514:

Фрагмент файла /etc/shadow

В файле /etc/shadow хранятся хеши паролей всех пользователей в системе. Процессы суперпользователя могут читать его напрямую, а для остальных создана специальная библиотека PAM. Она позволяет непривилегированным приложениям спрашивать у неё, правильный ли пароль ввёл пользователь, и получать ответ. Библиотека PAM как правило действует с привилегиями вызвавшего процесса. Таким образом, хеш не попадает «в чужие руки».

Дело в том, что злоумышленник, имея набор хешей, всегда может осуществить атаку путём перебора паролей. Например, слова из словаря являются ненадёжными паролями, так как можно зашифровать словарь целиком и поискать хеши в том, что получится. Одна из наилучших программ, выполняющих такого рода атаки — John The Ripper. Также весьма популярна утилита crack.

Уровни защиты

В ранних UNIX пароль шифровался с помощью одного из вариантов DES, теперь используется MD5-хеширование или blowfish-хеширование, MD5-хеши всегда записываются после префикса «$1$».

Перед хешированием к паролю добавляются случайные символы — «salt». Salt также приписывается к началу полученного хеша. Благодаря salt нельзя при простом просмотре файла обнаружить пользователей с одинаковыми паролями.

Обратите внимание, что в /etc/shadow, показанном выше, две учётные записи имеют одинаковый пароль, хотя этого и не видно.

Файл /etc/shadow

Кроме имени и хеша здесь также хранятся

  • дата последнего изменения пароля,
  • через сколько дней можно будет поменять пароль,
  • через сколько дней пароль устареет,
  • за сколько дней до того, как пароль устареет, начать напоминать о необходимости смены пароля,
  • через сколько дней после того, как пароль устареет, заблокировать учётную запись пользователя,
  • дата, при достижении которой учётная запись блокируется,
  • зарезервированное поле.

Даты обозначаются как число дней с 1 января 1970 года.

Обязательная регулярная смена паролей — это популярная административная мера, призванная сделать учётные записи более защищёнными. К сожалению, многие пользователи после принудительного изменения возвращают себе старый пароль.

Применение с PAM

Следует отметить, что подобные действия влияют только тогда, когда пользователь аутентифицируется через PAM. Хотя существуют Linux дистрибутивы без технологии PAM в которых подобные действия тоже влияют. При этом также в целях безопасности создаются паузы между двумя неудачными попытками входа в систему, чтобы не дать возможность перебирать пароли через уполномоченное работать с PAM приложение.



Просмотров: 10487


<<< /dev/random и /dev/urandom
Acme (программное обеспечение) >>>


Компьютерное аппаратное обеспечение   
Вычислительные комплексы   
Компьютерные данные   
Компьютерные журналы   
Классы компьютеров   
Компьютеры   
Программное обеспечение   
Производители компьютеров   
Профессии в ИТ   
Системное администрирование   
Компьютерный сленг   
Списки компьютерных терминов   
Человеко-компьютерное взаимодействие