WikiDer > Passwd
Эта статья нужны дополнительные цитаты для проверка. (Февраль 2008 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
пароль это команда на Unix, План 9, Inferno, и большинство Unix-подобный операционные системы используется для изменения пользователя пароль. Пароль, введенный пользователем, проходит через ключевая деривационная функция создать хешированная версия нового пароля, который сохраняется. Сохраняется только хешированная версия; введенный пароль не сохраняется в целях безопасности.
Когда пользователь входит в систему, пароль, введенный пользователем во время процесса входа в систему, запускается через ту же функцию получения ключа, и полученная хешированная версия сравнивается с сохраненной версией. Если хэши идентичны, введенный пароль считается правильным, и пользователь аутентифицируется. Теоретически возможно использование двух разных паролей. произвести тот же хеш. Тем не мение, криптографические хеш-функции спроектированы таким образом, что найти любой пароль, который производит один и тот же хэш, очень сложно и практически невозможно, поэтому, если полученный хэш совпадает с сохраненным, пользователь может быть аутентифицирован.
Команду passwd можно использовать для изменения паролей для локальных учетных записей, а в большинстве систем также можно использовать для изменения паролей, управляемых с помощью механизма распределенной аутентификации, такого как Шекелей, Kerberos, или же LDAP.
Файл паролей
В / etc / passwd
файл представляет собой текстовую базу данных информации о пользователи это может войти в идентификационные данные пользователей системы или других операционных систем, которым принадлежат запущенные процессы.
Во многих операционных системах этот файл является лишь одним из многих возможных серверных приложений для более общих служба имен passwd.
Имя файла происходит от одной из его исходных функций, поскольку он содержал данные, используемые для проверки пароли учетных записей пользователей. Однако на современных Unix В системах конфиденциальная информация о паролях вместо этого часто сохраняется в другом файле с использованием теневых паролей или других реализаций баз данных.
В / etc / passwd
файл обычно имеет разрешения файловой системы которые позволяют его читать всем пользователям системы (читаемый во всем мире), хотя он может быть изменен только суперпользователь или с помощью нескольких привилегированных команд специального назначения.
В / etc / passwd
файл - это текстовый файл с одной записью на линия, каждая из которых описывает учетная запись пользователя.Каждая запись состоит из семи полей, разделенных двоеточия. Порядок записей в файле обычно не важен.
Пример записи может быть:
jsmith: x: 1001: 1000: Джо Смит, комната 1007, (234) 555-8910, (234) 555-0044, электронная почта: / home / jsmith: / bin / sh
Поля в порядке слева направо:[1]
jsmith
: Имя пользователя: строка, которую пользователь вводит при входе в операционную систему: логин. Должен быть уникальным для всех пользователей, перечисленных в файле.Икс
: Информация, используемая для проверки пользователя пароль; в большинстве современных случаев это поле обычно устанавливается на «x» (или «*», или какой-либо другой индикатор), а фактическая информация о пароле хранится в отдельном теневой пароль файл. На Linux систем, установка в этом поле звездочки («*») - это распространенный способ отключить прямой вход в учетную запись с сохранением ее имени, в то время как другое возможное значение - «* NP *», которое указывает на использование Шекелей сервер для получения пароля.[2] Без эффекта дублирования пароля это поле обычно будет содержать криптографический хэш пароля пользователя (в сочетании с соль).1001
: идентификатор пользователя номер, используемый операционной системой для внутренних целей. Он не обязательно должен быть уникальным.1000
: идентификатор группы номер, который идентифицирует основную группу пользователя; все файлы, созданные этим пользователем, изначально могут быть доступны этой группе.Джо Смит, комната 1007 ...
: Месторождение Гекос, комментарий, описывающий человека или аккаунт. Обычно это набор значений, разделенных запятыми, включая полное имя пользователя и контактные данные./ главная / jsmith
: Путь к пользователю домашний каталог./ bin / sh
: Программа, которая запускается каждый раз, когда пользователь входит в систему. Для интерактивного пользователя это обычно один из интерпретаторы командной строки (снаряды).
Теневой файл
/ etc / shadow
используется для повышения уровня безопасности паролей путем ограничения доступа всех пользователей, кроме высокопривилегированных, к хешированным данным паролей. Как правило, эти данные хранятся в файлах, принадлежащих и доступных только суперпользователь.
Системные администраторы могут снизить вероятность атак методом перебора, сделав список хешированных паролей нечитаемым для непривилегированных пользователей. Очевидный способ сделать это - сделать пароль
сама база данных доступна для чтения только пользователю root. Однако это ограничит доступ к другим данным в файле, таким как сопоставления имени пользователя и идентификатора пользователя, что нарушит работу многих существующих утилит и положений. Одним из решений является «теневой» файл паролей для хранения хэшей паролей отдельно от других данных в доступном для чтения всем мире. пароль файл. Для локальных файлов это обычно / etc / shadow
на Linux и системы Unix, или /etc/master.passwd
на BSD системы; каждый доступен для чтения только корень. (Доступ с правами root к данным считается приемлемым, поскольку в системах с традиционной моделью безопасности «всемогущий root» пользователь root сможет получить информацию другими способами в любом случае). Практически все последние Unix-подобный операционные системы используют скрытые пароли.
Файл теневых паролей не решает полностью проблему доступа злоумышленника к хешированным паролям, поскольку некоторые схемы сетевой аутентификации работают путем передачи хешированного пароля по сети (иногда в открытый текст, например, Telnet[3]), что делает его уязвимым для перехвата. Копии системных данных, таких как резервные копии системы, записанные на ленту или оптический носитель, также могут стать средством незаконного получения хешированных паролей. Кроме того, функции, используемые законными программами проверки паролей, должны быть написаны таким образом, чтобы вредоносные программы не могли выполнять большое количество проверок аутентификации с высокой скоростью.
Независимо от того, действует ли дублирование пароля в данной системе, файл passwd доступен для чтения всем пользователям, поэтому различные системные утилиты (например, ls) может работать (например, чтобы гарантировать, что имена пользователей отображаются, когда пользователь перечисляет содержимое папки), в то время как только пользователь root может писать в нее. Без дублирования пароля это означает, что злоумышленник с непривилегированным доступом к системе может получить хешированную форму пароля любого пользователя. Эти значения можно использовать для установки атака грубой силой в автономном режиме, сравнительно быстро проверяя возможные пароли на хешированные пароли без предупреждения механизмов безопасности системы, предназначенных для обнаружения аномального количества сбойных паролей. авторизоваться попытки. Особенно, когда хэш не соленый, также можно найти эти хешированные пароли в радужные столы, базы данных, специально созданные для возврата пароля для уникального хэша.
При использовании схемы теневого пароля / etc / passwd
файл обычно показывает такой символ, как '*
', или же 'Икс
'в поле пароля для каждого пользователя вместо хешированного пароля, и / etc / shadow
обычно содержит следующую информацию о пользователе:
- Логин пользователя
- соль и хешированный пароль ИЛИ значение исключения статуса, например:
$ id $ salt $ hashed
, печатная форма хэша пароля, созданная склеп (С), куда$ id
это используемый алгоритм. Другие Unix-подобные системы могут иметь другие значения, например NetBSD. Ключевое растяжение используется для увеличения взлом пароля сложность, используя по умолчанию 1000 раундов модифицированного MD5,[4] 64 раунда Blowfish, 5000 раундов SHA-256 или SHA-512.[5] Количество раундов может быть изменено для Blowfishили для SHA-256 и SHA-512 с помощью$ A $ раундов = X $
, где «A» и «X» - идентификаторы алгоритма и количество раундов.$1$
- MD52 доллара США
- Blowfish$ 2y $
- Эксблоуфиш$5$
- SHA-256$6$
- SHA-512
- Пустая строка - нет пароля, учетная запись не имеет пароля (сообщает passwd в Solaris с помощью "NP").[6]
- «!», «*» - учетная запись заблокирована паролем, пользователь не сможет войти в систему через аутентификацию по паролю, но другие методы (например, ключ ssh, вход в систему как root) могут быть разрешены.[7]
- «* LK *» - сама учетная запись заблокирована, пользователь не сможет авторизоваться.[7]
- "* НП *", "!!" - пароль никогда не устанавливался[8]
- Дней с эпоха последней смены пароля
- Дней до изменения разрешено
- Дней до того, как потребуется изменение
- Предупреждение о днях истечения срока
- Дней после отсутствия входа в систему до блокировки учетной записи
- Дней с момента истечения срока действия аккаунта
- Зарезервировано и не используется
Формат теневого файла прост и в основном идентичен формату файла паролей, а именно: одна строка для каждого пользователя, упорядоченные поля в каждой строке и поля, разделенные двоеточиями. Много[количественно оценить] системы требуют, чтобы порядок строк пользователя в теневом файле был идентичен порядку соответствующих пользователей в файле паролей.
История
До теневого копирования пароля хешированный пароль пользователя Unix хранился во втором поле их записи в / etc / passwd
файл (в формате с семью полями, как указано выше).
Замещение паролей впервые появилось в системах Unix с развитием SunOS в середине 80-х гг.[9] Система V Выпуск 3.2 в 1988 г. и BSD4.3 Reno в 1990 году. Но поставщики, которые выполняли перенос из более ранних выпусков UNIX, не всегда включали новые функции теневого копирования паролей в свои выпуски, оставляя пользователей этих систем уязвимыми для атак с помощью файлов паролей.
Системные администраторы могут также организовать хранение паролей в распределенных базах данных, таких как Шекелей и LDAP, а не в файлах каждой подключенной системы. В случае NIS механизм теневого пароля все еще часто используется на серверах NIS; в других распределенных механизмах проблема доступа к различным компонентам аутентификации пользователя решается механизмами безопасности базового репозитория данных.
В 1987 году автор оригинального Shadow Password Suite, Джули Хо, взломавшая компьютер, написала первый выпуск Shadow Suite, содержащий авторизоваться
, пароль
и вс
команды. Оригинальный релиз, написанный для SCO Xenix операционная система, быстро была перенесена на другие платформы. Shadow Suite был перенесен на Linux в 1992 году, через год после первоначального объявления о проекте Linux, и был включен во многие ранние дистрибутивы и продолжает быть включен во многие текущие Linux раздачи.
Раньше для смены паролей в разных схемах аутентификации требовалось иметь разные команды. Например, команда на изменение пароля NIS была yppasswd. Это требовало, чтобы пользователи знали о различных методах изменения паролей для разных систем, а также приводило к бесполезному дублированию кода в различных программах, которые выполняли одни и те же функции с разными задние части. В большинстве реализаций теперь есть одна команда passwd, и контроль фактического изменения пароля осуществляется прозрачно для пользователя через подключаемые модули аутентификации (ПАМ). Например, тип используемого хеша определяется конфигурацией pam_unix.so
модуль. По умолчанию MD5 был использован хэш, в то время как текущие модули также способны к более сильным хешам, таким как рыбка, SHA256 и SHA512.
Смотрите также
- чш
- Склеп (С) (функция библиотеки) и Склеп (Unix) (утилита)
- getent
- Менеджер аккаунта безопасности (в Майкрософт Виндоус эквивалент файла паролей)
- Безопасность Unix
- vipw
Рекомендации
- ^ Понимание
/ etc / passwd
Формат файла - ^ "passwd (5) - страница руководства Linux". Man7.org. Получено 2014-08-25.
- ^ RFC 2877: Усовершенствования Telnet 5250
- ^ Хеширование паролей с помощью MD5-крипты по отношению к MD5
- ^ Реализация SHA512-crypt vs MD5-crypt
- ^ "solaris - passwd (1)". cs.bgu.ac.il. Архивировано из оригинал на 2013-12-17.
- ^ а б shadow (5) справочная страница
- ^ «6.3. Информация, относящаяся к Red Hat Enterprise Linux». Access.redhat.com. 1970-01-01. Получено 2014-08-25.
- ^ "passwd.adjunt (5) в SunOS-4.1.3". Modman.unixdev.net. Получено 2016-01-03.
внешняя ссылка
- Страница руководства из Unix First Edition с описанием / etc / passwd
- FreeBSD Общие команды Руководство : обновить токены аутентификации пользователя -
- План 9 Руководство программиста, том 1 –
- Inferno Общие команды Руководство –
- authconfig, инструмент командной строки для управления использованием теневых паролей