Fail bayangan dalam Linux: Kunci kepada keselamatan sistem

Manual lengkap fail /etc/shadow dalam Linux

Fail bayangan dan fail passwd biasanya digunakan untuk melaksanakan proses pengesahan pada Linux. Fail bayangan ialah fail berasaskan teks yang digunakan untuk menyimpan data pengguna pada sistem. Perkara yang paling penting ialah arahan linux vi, di mana kata laluan disimpan dalam format yang disulitkan atau dicincang.

Menyimpan kata laluan dalam fail /etc/passwd boleh menjadikan sistem tidak selamat dengan mudah. Fail bayangan mempunyai kebenaran fail yang ditetapkan kepada 640 atau 400.

Apa yang akan kami tutup?

Dalam artikel ini, kami akan menerangkan fail Shadow dalam Linux.

Mengapa kita memerlukan fail bayangan?

Fail passwd dalam Linux boleh dibaca oleh semua orang dan untuk tujuan ini kata laluan yang disulitkan dipindahkan ke fail berbeza yang dipanggil fail bayangan. Ia hanya boleh dibaca oleh akar. Fail bayangan juga terdapat dalam /etc/shadow dalam folder /etc.

Sangat serupa dengan fail passwd, tatasusunan pertama dalam fail bayangan mengandungi nama akaun dan menggunakan koma untuk memisahkan kunci utama yang berbeza. Mempunyai fail berasingan yang mengandungi kata laluan yang disulitkan juga membantu dalam menambah parameter baharu pada akaun. Dilaporkan bahawa ini membantu mengawal akaun dan mengawal penuaan kata laluan.

Fail bayangan kekal dilindungi baca untuk melindungi kata laluan yang disulitkan. Ini adalah langkah keselamatan yang penting, kerana sesiapa yang mempunyai akses baca kepada fail boleh cuba memecahkan kata laluan penyulitan.

Aspek Keselamatan Fail Bayangan

Fail bayangan ialah alat yang baik untuk menetapkan semula kata laluan akar sistem Linux. Kami boleh mencari kemasukan akaun pengguna root dan memanipulasi beberapa tetapan untuk memulihkan kata laluan root. Walau bagaimanapun, proses memulihkan kata laluan daripada fail bayangan pada masa ini di luar topik.

Seperti yang dinyatakan sebelum ini, fail bayangan hanya boleh dibaca oleh direktori akar. Jika pemegang akaun berniat jahat cuba menggodam akaun sistem lain linux dll kebenaran direktori, dia hanya akan menghantukkan kepalanya pada pokok. Dengan mengandaikan seseorang memperoleh kata laluan dalam beberapa bentuk, masa yang diperlukan untuk memecahkannya bergantung pada algoritma penyulitan yang digunakan. Namun, ia tidak mudah, kerana memecah kata laluan penyulitan boleh mengambil masa dari beberapa minit hingga bertahun-tahun.

Corak ayat untuk fail bayang

Pola ayat fail bayangan adalah seperti berikut:

log masuk:encyrptedpassword:lastchangedate:min_age:max_age:warning:inactivity:expiration_date:reserved

Tatasusunan di baris atas dinyatakan dalam hari. lastchange dan tamat tempoh ialah tatasusunan tarikh. Masa dalam tatasusunan sedemikian diambil dari tarikh mula masa Unix linux dll kebenaran direktori, iaitu 1 Januari 1970.

Penerangan tentang kunci utama dalam fail bayangan

Terdapat sembilan tatasusunan dalam fail ini, dipisahkan dengan petikan ':'

Izinkan saya menerangkan tatasusunan bit di sini:

Log Masuk: Setiap baris dalam fail Shadow bermula dengan nama pengguna. Nama pengguna memautkan entri dalam fail Shadow ke entri dalam /etc/passwd.

Kryptopasswort: Es ist ein Platzhalter für das verschlüsselte Passwort. Auch wenn es keinerlei Ähnlichkeit mit einem echten Passwort hat. Wenn hier ein * oder ! steht, bedeutet dies, dass das Konto kein Passwort hat.

Datum der letzten Änderung – Es handelt sich im Grunde um ein Datum, das als Anzahl der Tage ab Beginn der Unix-Zeit ausgedrückt wird. Dies ist die Uhrzeit, die das Datum der letzten Passwortänderung angibt. Wenn der Wert 0 ist, bedeutet dies, dass der Benutzer das Passwort bei der letzten Anmeldung ändern muss.

minage–Dieses Array gibt an, dass das Passwort nur geändert wird, wenn der Datumswert minage+lastage ist. Wenn das Array leer ist, bedeutet dies, dass das Passwort jederzeit geändert werden kann.

maxage – Dieses Array gibt an, dass das Passwort geändert werden muss, wenn der Datumswert maxage+lastage ist. Es ist tatsächlich das Datum, an dem das Passwort abläuft. Bei leeren Passwörtern ist das Ablaufdatum bedeutungslos, sodass die Arrays maxage, warning und inactivity nicht benötigt werden.

Warnung – Wenn sich das Datum auf lastchange+maxage-warning ändert oder der Passwort-Warnzeitraum begonnen hat, wird der Benutzer gewarnt, das Passwort zu ändern. Wenn der Wert 0 oder leer (leer) ist, bedeutet dies, dass es keinen Warnzeitraum gibt.

Inaktivität – Wenn ein Passwort abläuft, können Benutzer ihr Passwort noch ändern, bis die Anzahl der Tage der Inaktivität erreicht ist. Wenn dieses Feld nicht ausgefüllt ist, gibt es keinen Inaktivitätszeitraum.

Ablaufdatum – Dies ist das Datum, an dem das Konto des Benutzers abläuft. Von nun an wird es schwierig sein, sich bei diesem Konto anzumelden. Wenn dieses Array leer ist, läuft das Konto niemals ab. Verwenden Sie hier auch niemals den Wert „0“.

Sonderzeichen: Dieser Ort wird normalerweise nicht genutzt und ist für die zukünftige Nutzung reserviert.

Jetzt verwenden wir ein Gegenbeispiel, um unser Verständnis der obigen Anordnung zu veranschaulichen. Nehmen Sie den folgenden Beispieleintrag in der Schattendatei:

linux-console:$6$kKRCC8ip8nKtFjjdZJIj:12825:14:45:10:30:13096

Lassen Sie uns jedes Bit des Arrays schrittweise aufschlüsseln:

1.linux-console ist der Benutzername.

2. Das nächste Array ist das verschlüsselte Passwort des Benutzers. Dies ist ein sehr langes Passwort. Der Einfachheit halber haben wir es jedoch leicht gekürzt.

3. Der Benutzer hat das Passwort vor 12825 Tagen oder am 11. Januar 35 geändert, also am 11. Februar 2005 seit der Unix-Epoche (d. h. am 1. Januar 1970).

4. Die Mindestfrist für die Passwortänderung beträgt 14 Tage. Um das Passwort jederzeit änderbar zu machen, setzen Sie dieses Array auf 0.

5. Das Passwort muss alle 45 Tage zurückgesetzt werden.

6. Eine Warnung zum Zurücksetzen Ihres Passworts erscheint 10 Tage vor dem Änderungsdatum.

7. Wenn das Passwort abläuft und innerhalb von 30 Tagen kein Anmeldevorgang durchgeführt wird, wird das Benutzerkonto deaktiviert.

8. Das Konto läuft 13096 Tage nach der Unix-Epoche oder dem 9. November 2005 ab.

Inferenz

Shadow-Dateien sind ein besonders sicherer Ort zum Speichern Ihrer Kontoinformationen. Es besteht ein Sicherheitsproblem bei sicheren Benutzerkennwörtern in passwd-Dateien. Wenn Sie Shadow-Dateien für Root lesbar machen, entfällt lediglich die Möglichkeit für böswillige Benutzer und Angreifer, Passwörter auszunutzen.

Atas ialah kandungan terperinci Fail bayangan dalam Linux: Kunci kepada keselamatan sistem. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!