Linux'ta net bir metin olarak gösterilen kullanıcı şifrelerini nasıl yapabilirim?

Kullanıcıların şifrelerinin kaydedildiğini biliyoruz /etc/passwd, ancak şifrelenmiş bir şekilde, böylece kök bile göremiyor:

jane:x:501:501::/home/jane:/bin/bash
fred:x:502:502::/home/fred:/bin/bash

Yukarıda gösterildiği gibi :x:şifreyi gösterir.

Şifreyi /etc/passwdaçık metin olarak kaydetmenin ve kökün görebileceği şekilde (olası bir yapılandırma) var mı?

Diğer iki cevap size - doğru! - Bu bir Kötü Fikir ™ ​​olduğunu söyledi . Ama aynı zamanda , bir sürü programın değiştirilmesini gerektiren, size yapmanın zor olduğunu da söylediler .

Bu doğru değil. Bu çok kolay. Sadece bir veya iki yapılandırma dosyasını değiştirmeniz yeterli. Bunu belirtmenin önemli olduğunu düşünüyorum, çünkü kontrol etmediğiniz sistemlere giriş yaparken farkında olmalısınız. Bunlar aslında bir düz metin parolası koymaz /etc/passwdveya /etc/shadowfarklı bir dosyaya girer. Not Bunları test etmedim, çünkü şifremi düz metin olarak yazmamayı tercih ediyorum.

1. Düzenle /etc/pam.d/common-password(şifrede yakalamak için değiştirildi) veya /etc/pam.d/common-auth(giriş yaparken yakalamak için) ve ekle… pam_exec expose_authtok log=/root/passwords /bin/cat

2. İkisini de düzenleyin ve pam_unix'den pam_userdb'ye geçin crypt=none. Alternatif olarak, değiştirildiklerinde şifreleri kaydetmek için yalnızca ortak şifreye koyabilirsiniz (pam_unix'i de bırakarak).

3. shadowGölge dosyasını devre dışı bırakmak için (ve herhangi bir güçlü karma seçeneklerinin yanı sıra) seçeneğini pam_unix'den kaldırabilir ve geleneksel şifreli şifrelere geri dönebilirsiniz. Düz metin değil, Ripper John sizin için bunu çözecektir.

Daha fazla bilgi için, PAM Sistem Yönetici Kılavuzuna bakın .

Ayrıca PAM'ın kaynak kodunu düzenleyebilir veya kendi modülünüzü yazabilirsiniz. Sadece PAM (veya modülünüzü) derlemeniz gerekiyor, başka bir şey yok.

Ah canım, tamam, en baştan başlayalım ...

Kullanıcıların şifrelerinin / etc / passwd dizinine kaydedildiğini biliyoruz, ancak şifreli bir şekilde

Hayır, onlar saklanan içinde /etc/passwdve bu oldukça uzun bir zaman önceydi. Bugün şifreler çoğu zaman sözde bir gölge dosyada saklanır /etc/shadow.

fakat şifrelenmiş bir şekilde, kök bile göremiyor:

Bazen birbirlerinin yerine kullanıldığını biliyorum, ancak karma şifreleme değil . Şifreleme, tanımı gereği geri dönüşümlüdür, yani şifrelenmiş şeyi tekrar açık metin biçimine dönüştürebilirsiniz. Karma olacak şekilde tasarlanmıştır değildir (kaba kuvvet hariç) herhangi bir şekilde tersine çevrilebilir. Karma bir şeyin orijinal açık metin biçiminin kurtarılabilir olması beklenmemektedir.

Gölge dosyasındaki şifreler karma olarak saklanır.

yukarıda gösterildiği gibi: x: şifreyi gösterir

xBu durumda yalnızca eski şifre alanı için bir yer tutucudur. xŞifre gölge dosyasında bulunabilir anlamına gelir.

Şifreyi / etc / passwd içine açık metin olarak kaydetmenin ve kökün görebileceği şekilde (olası bir yapılandırma) var mı?

Evet, bu gerçekten mümkün, ancak bazı nedenlerden dolayı iyi bir fikir değil. Derobert'in cevabı bunu yapmanın oldukça basit bir yolunu açıklar .

Ama neden iyi bir fikir değil? Eh, basit ama çok önemli bir nedenden dolayı: güvenlik. Bu soruları okumanızı öneriyorum:

• Şifrelerin neden bir meslekten ayrılmaması gerektiğini açıklamak için iyi bir benzetme nedir?
• Güvenli bir şekilde karma şifreler nasıl kullanılır?
• Neden şifreleri kullanmalıyım?
• Şifre şifreleme neden bu kadar önemli?
• Hash fonksiyonları neden tek yönlü? Algoritmayı biliyorsanız, neden ondan girişi hesaplayamıyorum?

Ancak özetlemek gerekirse, aşağıdakileri kabul edin: Bir şirkette bir sunucu var, tüm kullanıcı hesapları şifreleri ile güvence altına alınmış ve bu kullanıcı hesaplarındaki veriler aynı şifre ile şifrelenmiştir. Dışarıdan gelen bir kraker sunucuya erişim kazanıyor, ancak yine de kullanıcı hesaplarında şifreli olduğundan önemli verilere erişemiyorlar.

Şimdi şifrelerin düz metin olarak saklanacağını varsayalım. Kraker aniden her şeye erişebilir , çünkü şifreler okunabilir. Fakat eğer onlar saklı değerler olarak saklanırlarsa, kaba kuvvet saldırısı yapmak için çok fazla kaynağı olan insanlar dışındaki kimselere yararsızdırlar.

Her şeyden önce şifreli şifreleri değildir /etc/passwd, ancak bunlar içindedir /etc/shadow. Bunun nedenlerinden /etc/passwdbiri halka açıktır (başka bir kullanıcının GECOS alan bilgilerini bulabilirsiniz) ve özellikle daha eski şifreleme şemaları ile şifrelenmiş parolaya karşı kaba kuvvet saldırılarına izin verebilir.

Parolaları yalnızca düz metin olarak saklamak gerekli değildir ve /etc/shadowgeçerli parolaları kontrol etmek için parola programı ve kitaplıklarda bilgilerin okunması gerekir . Ve sonra, tüm programların, düz metin şifresi depolamasını anlamayan bir şeye statik olarak bağlanmak yerine, bu bilgilere erişmek için paylaşılan kütüphaneleri kullanmasını ümit etmeniz gerekir.

Bu bir kurulumun yapılandırılmasında bir seçenek olacaksa, her zaman onu uygun olmayan şekilde açacak aptal insanlar olacaktır. Ve hala CRT ekranlarında çalışıyorlar ve bunu, binaların dışından kolayca toplanabilecek şekilde, bilgilere bakarken yayınlıyorlar.

Bunun yanı sıra, insanlar aynı veya benzer şifreyi birden fazla sistemde kullanma eğilimindedir, bu nedenle herhangi bir şifrenin insan tarafından okunabilir olması iyi bir fikir değildir. Bazı sysadmin kendi sistemlerini başka sistemlerde tekrar deneyebildiğinden kullanıcının bir hesabı olduğunu biliyor.

Daha ilginç şeyler olmalı, çalışmalarını sisteminizden inceleyebilirsiniz.

Temel sebep (bunun kötü bir fikir olmasının nedeni), hiçbir kullanıcının (root, admin veya diğer) bir başkasının kullanıcı şifresine erişememesidir.

Sadece parola bir kimlik doğrulama aracı olduğu için. Başka bir kullanıcının şifresini bilirsem, kimlik bilgilerini (kullanıcı adı + şifre) bilirim, bu yüzden o kullanıcı olarak giriş yapabilirim (kendisinin kimliğini).

Bu kullanıcı olarak giriş yaptığımda yaptığım herhangi bir işlem, diğer kullanıcı için sorumlu tutulacak. Ve kimlik doğrulamanın çalışması gerektiği gibi değil.

Çok sayıda önemli dosyayı silmek, sabit diskleri silmek, yedekleri silmek, nükleer güç planlarını kapatmak vb. Gibi işlemler feci olabilir.

Ya da sadece yasadışı. Benim (yöneticimin) tüm şifrelere erişebileceği bir banka kurumu hayal edin. Kasiyerin şifresini kullanarak, başkanın banka hesabından pencere temizleyicisinin banka hesabına bir milyon dolarlık bir geçiş emri verebilirim. Ardından işlemi onaylamak için kasiyerin şifresini kullanın. Ardından, pencere temizleyicisinin hesabını kendi off-shore banka hesabımla onayla.

Sonra Bahamalar'da uzun süre tatile çıkıyorum ...

Bu görüşe göre, şifrelerin şifrelenmesi ve ayrı gölge dosyalarının kullanılması bu kuralı uygulamak için bir araç olarak görülebilir (hiçbir kullanıcı başka birini taklit edemez).

Ve @ Miral'ın yorumladığı gibi ^* , sukimliğe bürünmeye izin verirken (ve yukarıdaki argümanı atma biçimlerinin) izin vermesinin de kullanımının bir kaydını tutmasıdır (sadece yöneticileri diğerlerinin kimliğine bürünebilecek kuralları değiştirir. günlük tutulur ").

^{* Banka örneği muhtemelen en iyisi değildi. Güvenliğin çok önemli olduğu herhangi bir ortamda, genellikle tek bir şifreden daha fazla doğrulama ve yetkilendirme gerekir.}