рекомендации

понедельник, 21 февраля 2022 г.

Назначение файла /etc/shadow

Существует несколько различных схем аутентификации, которые можно использовать в системах Linux. Наиболее часто используемая и стандартная схема заключается в выполнении аутентификации по файлам /etc/passwd и /etc/shadow.

/etc/shadow — это текстовый файл, содержащий информацию о паролях пользователей системы. Он принадлежит пользователю root и групповой тени и имеет 640 разрешений.

/etc/shadow Format 

Файл /etc/shadow содержит по одной записи на строку, каждая из которых представляет учетную запись пользователя. Вы можете просмотреть содержимое файла с помощью текстового редактора или такой команды, как cat:

sudo cat /etc/shadow

Как правило, первая строка описывает пользователя root, далее следуют учетные записи системы и обычных пользователей. Новые записи добавляются в конец файла.

Каждая строка файла /etc/shadow содержит девять полей, разделенных запятыми:
mark:$6$.n.:17736:0:99999:7:::
[--] [----] [---] - [---] ----
|      |      |   |   |   |||+-----------> 9. Unused
|      |      |   |   |   ||+------------> 8. Expiration date
|      |      |   |   |   |+-------------> 7. Inactivity period
|      |      |   |   |   +--------------> 6. Warning period
|      |      |   |   +------------------> 5. Maximum password age
|      |      |   +----------------------> 4. Minimum password age
|      |      +--------------------------> 3. Last password change
|      +---------------------------------> 2. Encrypted Password
+----------------------------------------> 1. Username
Username. Строка, которую вы вводите при входе в систему. Учетная запись пользователя, существующая в системе.

Encrypted Password. Пароль использует формат $type$salt$hashed. $type — это алгоритм криптографического хеширования, который может принимать следующие значения:

  • $1$ – MD5
  • $2a$ – Blowfish
  • $2y$ – Eksblowfish
  • $5$ – SHA-256
  • $6$ – SHA-512
Если поле пароля содержит звездочку (*) или восклицательный знак (!), пользователь не сможет войти в систему, используя аутентификацию по паролю. Другие методы входа в систему, такие как аутентификация на основе ключа или переключение пользователя, по-прежнему разрешены.

В старых системах Linux зашифрованный пароль пользователя хранился в файле /etc/passwd.

Last password change. Это дата последней смены пароля. Количество дней отсчитывается с 1 января 1970 г.

Minimum password age. Количество дней, которое должно пройти, прежде чем пароль пользователя можно будет изменить. Обычно он равен нулю, что означает отсутствие минимального срока действия пароля.

Maximum password age. Количество дней после смены пароля пользователя. По умолчанию это число имеет значение 99999.

Warning period. Количество дней до истечения срока действия пароля, в течение которых пользователя предупреждают о необходимости смены пароля.

Inactivity period. Количество дней после истечения срока действия пароля пользователя до отключения учетной записи пользователя. Обычно это поле пустое.

Expiration date. Дата, когда учетная запись была отключена. Она представлена как дата эпохи.

Unused. Это поле игнорируется. Оно зарезервировано для использования в будущем.

Файл /etc/shadow не следует редактировать вручную, если вы не знаете, что делаете. Всегда используйте команду, предназначенную для этой цели. Например, чтобы изменить пароль пользователя, используйте команду passwd, а чтобы изменить информацию о сроке действия пароля, используйте команду chage.

Давайте посмотрим на следующий пример:
linuxize:$6$zHvrJMa5Y690smbQ$z5zdL...:18009:0:120:7:14::
Запись выше содержит информацию о пароле пользователя «linuxize»:
  • Пароль зашифрован с помощью SHA-512 (пароль усечен для лучшей читаемости).
  • Последний раз пароль менялся 23 апреля 2019 года - 18009.
  • Минимального срока действия пароля нет.
  • Пароль необходимо менять не реже одного раза в 120 дней.
  • Пользователь получит предупреждающее сообщение за семь дней до истечения срока действия пароля.
  • Если пользователь не попытается войти в систему в течение 14 дней после истечения срока действия пароля, учетная запись будет отключена.
  • Срок действия учетной записи отсутствует.
Заключение

Файл /etc/shadow хранит записи о зашифрованных паролях пользователей, а также другую информацию, связанную с паролями.

Комментариев нет:

Отправить комментарий