Πού αποθηκεύεται ο κωδικός πρόσβασης ρίζας;

Ο ρίζας κωδικού πρόσβασης δεν είναι αποθηκευμένος απευθείας σε ένα απλό αρχείο κειμένου . Αντ 'αυτού, ένα χασμουρητό Η έκδοση του κωδικού πρόσβασης αποθηκεύεται. Αυτή είναι μια λειτουργία μονής κατεύθυνσης, που σημαίνει ότι είναι εύκολο να κατακερύσουμε έναν κωδικό πρόσβασης, αλλά εξαιρετικά δύσκολο (ιδανικά αδύνατο) να αντιστρέψει το hash για να πάρει τον αρχικό κωδικό πρόσβασης.

Εδώ είναι όπου ο ριζικός κωδικός πρόσβασης είναι συνήθως αποθηκευμένο σε διαφορετικές κατανομές Linux:

* `/etc/shadow` :Αυτό το αρχείο είναι η κύρια τοποθεσία για την αποθήκευση hashes κωδικού πρόσβασης λογαριασμού χρήστη, συμπεριλαμβανομένου του κωδικού πρόσβασης του χρήστη ρίζας. Βασικά, Μόνο ο χρήστης ρίζας έχει πρόσβαση σε αυτό το αρχείο . Πρόκειται για ένα κρίσιμο χαρακτηριστικό ασφαλείας.

* Το αρχείο `/etc/shadow` περιέχει καταχωρήσεις στην ακόλουθη μορφή:

`` `

Όνομα χρήστη:password_hash:last_changed:min_days:max_days:warn_days:inactive_days:expire_date:σημαίες

`` `

* `username`:Το όνομα χρήστη (π.χ. root ').

* `password_hash`:Ο κωδικός πρόσβασης που έχει χαστευκθεί. Πρόκειται για μια μακρά σειρά χαρακτήρων που αντιπροσωπεύουν το αποτέλεσμα μιας συνάρτησης κρυπτογραφικού κατακερματισμού που εφαρμόζεται στον κωδικό πρόσβασης μαζί με ένα αλάτι.

* `last_changed`:Ο αριθμός των ημερών από την εποχή (1 Ιανουαρίου 1970) όταν ο κωδικός πρόσβασης άλλαξε τελευταία.

* `min_days`:Ο ελάχιστος αριθμός ημερών που πρέπει να περάσει πριν ο κωδικός πρόσβασης μπορεί να αλλάξει ξανά.

* `max_days`:ο μέγιστος αριθμός ημερών που ο κωδικός πρόσβασης είναι έγκυρος πριν να αλλάξει.

* `warn_days`:Ο αριθμός των ημερών πριν από τον κωδικό πρόσβασης λήγει ότι ο χρήστης θα προειδοποιηθεί.

* `Inactive_days`:Ο αριθμός των ημερών μετά τον κωδικό πρόσβασης λήγει ότι ο λογαριασμός θα απενεργοποιηθεί.

* `expire_date`:Η ημερομηνία λήξη του λογαριασμού.

* `Flags`:Προορίζεται για μελλοντική χρήση.

* `/etc/passwd` :Αυτό το αρχείο περιέχει βασικές πληροφορίες λογαριασμού χρήστη, αλλά δεν αποθηκεύει πλέον τον κωδικό πρόσβασης hash απευθείας στα σύγχρονα συστήματα. Συνήθιζε, αλλά αυτός ήταν ένας τεράστιος κίνδυνος ασφαλείας, καθώς το `/etc/passwd` είναι συχνά παγκόσμιος αναγνώσιμος. Τώρα, θα δείτε συνήθως ένα "X" στο πεδίο κωδικού πρόσβασης, υποδεικνύοντας ότι ο κωδικός πρόσβασης αποθηκεύεται σε `/etc/shadow '.

* Παράδειγμα:`root:x:0:0:root:/root:/bin/bash '

Βασικές έννοιες:

* hashing: Μια κρυπτογραφική λειτουργία μονής κατεύθυνσης που μετατρέπει τα δεδομένα σε μια σειρά χαρακτήρων σταθερού μεγέθους (το hash). Έχει σχεδιαστεί για να είναι εξαιρετικά δύσκολο να αντιστραφεί.

* αλάτι: Μια τυχαία συμβολοσειρά που προστέθηκε στον κωδικό πρόσβασης πριν από το hashing. Αυτό καθιστά πολύ πιο δύσκολο για τους επιτιθέμενους να χρησιμοποιούν προ-υπολογισμένα "τραπέζια ουράνιου τόξου" για να σπάσουν τους κωδικούς πρόσβασης, ακόμη και αν λάβουν το αρχείο "/etc/shadow`. Κάθε κωδικός πρόσβασης έχει ένα μοναδικό αλάτι.

* `/etc/shadow` Δικαιώματα: Είναι ζωτικής σημασίας ότι το `/etc/shadow` είναι μόνο ευανάγνωστο * από τον χρήστη ρίζας. Οποιοσδήποτε άλλος χρήστης είναι σε θέση να διαβάσει αυτό το αρχείο θα αντιπροσωπεύει μια σημαντική ευπάθεια ασφαλείας, καθώς θα μπορούσαν να προσπαθήσουν να σπάσουν τα hashes του κωδικού πρόσβασης.

* Πολυπλοκότητα κωδικού πρόσβασης: Η αντοχή ενός hash κωδικού πρόσβασης εξαρτάται επίσης από την πολυπλοκότητα του ίδιου του κωδικού πρόσβασης. Οι μεγαλύτεροι κωδικοί πρόσβασης με ένα μείγμα κεφαλαίων, πεζών, αριθμών και συμβόλων είναι πολύ πιο δύσκολο να σπάσουν.

Συνοπτικά: Ο ίδιος ο κωδικός πρόσβασης δεν είναι αποθηκευμένος οπουδήποτε απευθείας. Αντ 'αυτού, μια αλατισμένη και χαστούκι αναπαράσταση του είναι ασφαλώς αποθηκευμένη στο αρχείο `/etc/shadow`, προσβάσιμο μόνο στον χρήστη ρίζας. Αυτός είναι ένας κρίσιμος μηχανισμός ασφαλείας για την προστασία του συστήματος.