Linux のシャドウ ファイル: システム セキュリティの鍵

Linuxの/etc/shadowファイルの完全マニュアル

Shadow ファイルと passwd ファイルは通常、Linux で認証プロセスを実行するために使用されます。シャドウ ファイルは、システム上にユーザー データを保存するために使用されるテキスト ベースのファイルです。最も重要なことは、パスワードが暗号化またはハッシュ形式で保存される Linux vi コマンドです。

/etc/passwd ファイルにパスワードを保存すると、システムの安全性が簡単に低下する可能性があります。シャドウ ファイルのファイル権限は 640 または 400 に設定されています。

何をカバーしますか?

この記事では、Linuxのシャドウファイルについて説明します。

なぜシャドウファイルが必要なのでしょうか?

Linux の passwd ファイルは誰でも読み取ることができ、この目的のために、暗号化されたパスワードはシャドウ ファイルと呼ばれる別のファイルに転送されます。 root のみが読み取ることができます。シャドウ ファイルは、/etc フォルダーの /etc/shadow にもあります。

passwd ファイルと非常に似ており、シャドウ ファイルの最初の配列にはアカウント名が含まれており、カンマを使用して異なる主キーを区切ります。暗号化されたパスワードを含む別のファイルを用意すると、アカウントに新しいパラメータを追加するのにも役立ちます。これはアカウントの制御とパスワードの有効期限の制御に役立つと報告されています。

暗号化されたパスワードを保護するために、シャドウ ファイルは読み取り保護されたままになります。ファイルへの読み取りアクセス権を持つ人は誰でも暗号化パスワードの解読を試みることができるため、これは重要なセキュリティ対策です。

シャドウファイルのセキュリティ面

Shadowファイルは、Linuxシステムのrootパスワードをリセットするための優れたツールです。 root ユーザーのアカウント エントリを見つけて、いくつかの設定を操作して root パスワードを回復できます。ただし、シャドウ ファイルからパスワードを回復するプロセスは、現時点では話題から外れています。

前述したように、シャドウ ファイルはルート ディレクトリでのみ読み取ることができます。悪意のあるアカウント所有者が他のシステム アカウント linux などのディレクトリのアクセス許可 をハッキングしようとしても、木に頭をぶつけるだけです。誰かが何らかの形式でパスワードを入手したと仮定すると、それを解読するのにかかる時間は、使用されている暗号化アルゴリズムによって異なります。それでも、暗号化パスワードの解読には数分から数年かかる場合があるため、それは簡単ではありません。

シャドウファイルの文パターン

シャドウファイルの文型は以下の通りです

ログイン:暗号化パスワード:最終変更日:最小年齢:最大年齢:警告:非アクティブ:有効期限:予約済み

上の行の配列は日数で表されます。 lastchange と Expiration は日付配列です。このような配列内の時刻は、Unix 時間 linux などのディレクトリのアクセス許可 の開始日、つまり 1970 年 1 月 1 日から取得されます。

シャドウファイルの主キーの説明

このファイルには引用符 ':' で区切られた 9 つの配列があります

ここでビット配列について説明しましょう:

ログイン: Shadow ファイルの各行はユーザー名で始まります。ユーザー名は、Shadow ファイル内のエントリを /etc/passwd 内のエントリにリンクします。

cryptopassword : Il s'agit d'un espace réservé pour le mot de passe crypté. Même s’il ne ressemble en rien à un vrai mot de passe. S'il y a * ou ! placé ici, cela signifie que le compte n'a pas de mot de passe.

Date de dernier changement – ​​Il s’agit essentiellement d’une date exprimée en nombre de jours à partir du début de l’heure Unix. Il s'agit de l'heure donnant la date du précédent changement de mot de passe. Si la valeur est 0, cela signifie que l'utilisateur doit changer le mot de passe lors de sa dernière connexion.

minage–Ce tableau indique que le mot de passe ne sera modifié que lorsque la valeur de date est minage+lastage. Si le tableau est vide, cela signifie que le mot de passe peut être modifié à tout moment.

maxage – Ce tableau indique que le mot de passe doit être modifié lorsque la valeur de date est maxage+lastage. Il s'agit en fait de la date d'expiration du mot de passe. Pour les mots de passe vides, la date d'expiration n'a aucune signification, donc les tableaux maxage, warn et inactivity ne sont pas nécessaires.

avertissement – ​​Lorsque la date passe à lastchange+maxage-warning ou que la période d'avertissement du mot de passe a commencé, l'utilisateur sera averti de changer le mot de passe. Si la valeur est 0 ou vide (vide), cela signifie qu'il n'y a pas de période d'avertissement.

Inactivité – Lorsqu'un mot de passe expire, les utilisateurs peuvent toujours modifier leur mot de passe jusqu'au nombre de jours d'inactivité. Si ce tableau n’est pas renseigné, il n’y a pas de période d’inactivité.

Date d'expiration – Il s'agit de la date à laquelle le compte de l'utilisateur expirera. Désormais, il sera difficile de se connecter à ce compte. Si ce tableau est vide, le compte n'expirera jamais. De plus, n’utilisez jamais la valeur « 0 » ici.

Panneau spécial : Cet endroit n'est normalement pas utilisé et a été réservé pour un usage futur.

Nous utilisons maintenant un contre-exemple pour illustrer notre compréhension du tableau ci-dessus. Prenez l'exemple d'entrée suivant dans le fichier fantôme :

console Linux : $6$kKRCC8ip8nKtFjjdZJIj :12825:14:45:10:30:13096

Décomposons progressivement chaque élément du tableau :

1.linux-console est le nom d'utilisateur.

2. Le tableau suivant est le mot de passe crypté de l'utilisateur. C'est un mot de passe très long. Cependant, nous l’avons légèrement tronqué par souci de simplicité.

3. L'utilisateur a changé le mot de passe 12825 jours ou le 11 janvier 35, soit le 11 février 2005 depuis l'époque Unix (c'est-à-dire le 1er janvier 1970).

4. Le délai minimum dont disposent les utilisateurs pour modifier leur mot de passe est de 14 jours. Pour rendre le mot de passe modifiable à tout moment, définissez ce tableau sur 0.

5. Le mot de passe doit être réinitialisé tous les 45 jours.

6. Un avertissement pour réinitialiser votre mot de passe apparaîtra 10 jours avant la date de modification.

7. Si le mot de passe expire et qu'aucune opération de connexion n'est effectuée dans les 30 jours, le compte utilisateur sera désactivé.

8. Le compte expirera 13 096 jours à compter de l'époque Unix ou le 9 novembre 2005.

Inférence

Les fichiers Shadow sont un endroit particulièrement sécurisé pour stocker les informations de votre compte. Il existe un problème de sécurité avec les mots de passe utilisateur forts dans les fichiers passwd. Rendre les fichiers Shadow lisibles par root élimine uniquement les possibilités pour les utilisateurs malveillants et les attaquants d'exploiter les mots de passe.

以上がLinux のシャドウ ファイル: システム セキュリティの鍵の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。