El almacenamiento de contraseñas dentro del archivo /etc /passwd es propenso a la inseguridad del sistema. Los permisos de archivo para el archivo de sombra se establecen en 640 o 400.
¿Qué cubriremos??
En este artículo, exploraremos el archivo de sombras en Linux.
¿Por qué necesitamos el archivo de sombra??
El archivo PASSWD en Linux es legible para todos y, por esta razón, las contraseñas cifradas se han transferido a un archivo diferente llamado Archivo de Sombra. Solo es legible por raíz. El archivo de sombra también se encuentra dentro de la carpeta /etc. en /etc /shadow.
Al igual que el archivo passwd, el primer campo en el archivo de sombra contiene el nombre de la cuenta y usa un colon para separar diferentes campos. Tener un archivo separado que contiene contraseñas cifradas también facilita agregar nuevos parámetros para una cuenta. Además, esto ayuda a controlar una cuenta y también controla el envejecimiento de la contraseña.
El archivo de sombra se mantiene protegido para proteger las contraseñas encriptadas. Esta es una medida de seguridad importante porque cualquier persona que haya leído acceso al archivo puede intentar romper la contraseña cifrada.
Aspectos de seguridad del archivo de sombra
El archivo de sombra es una buena herramienta para restablecer la contraseña de root de un sistema Linux. Podemos localizar la entrada de la cuenta para el usuario root y manipular algunas configuraciones para recuperar nuestra contraseña de root. Sin embargo, el proceso de recuperación de contraseñas del archivo de sombra está fuera de tema por ahora.
Como se mencionó anteriormente, el archivo de sombra es legible solo por la raíz. Si un titular de la cuenta delincuente intenta piratear las otras cuentas del sistema, solo le va a golpear la cabeza contra un muro. Si de alguna manera, una persona tiene acceso a la contraseña, el tiempo para romperla depende del algoritmo de cifrado utilizado. Aunque, eso no es tan fácil, ya que puede llevar unos minutos a años romper una contraseña encriptada.
Sintaxis del archivo de sombra
La sintaxis del archivo de sombra es como:
Iniciar sesión: EncyRPtedPassword: LastChangedate: min_age: max_age: advertencia: inactividad: expiration_date: reservado
Los campos en la línea anterior se representan en días. El ultimo cambio y vencimiento son campos de fecha. El tiempo en estos campos se toma desde la fecha del inicio de la hora de Unix I.mi., 1 de enero de 1970.
Explicación para los campos en el archivo de sombra
Hay nueve campos en este archivo que son delimitados por las colons '': '
Déjame explicar cada campo aquí:
Iniciar sesión: cada línea en un archivo de sombra comienza con un nombre de usuario. El nombre de usuario enlaza las entradas en el archivo de sombra de los encontrados en /etc /passwd.
CifryptedPassword: es el marcador de posición de la contraseña cifrada. Entonces, obviamente, no hay parecido con la contraseña real. Si a * o ! se coloca aquí, esto significa que la cuenta no tiene contraseña.
Fecha de último cambio: es básicamente una fecha en términos del número de días tardados desde el comienzo de la hora de Unix. Este es el momento que da la fecha en que la contraseña se modificó por última vez. Si este valor es 0, esto significa que la contraseña debe cambiarse la próxima vez cuando un usuario inicia sesión.
Minaje: este campo dice que la contraseña solo se puede cambiar cuando el valor de la fecha es el minaje+LISTAGE. Si este campo está vacío, significa que la contraseña se puede alterar en cualquier momento.
Maxage: este campo dice que la contraseña debe cambiarse cuando el valor de la fecha es Maxage+Lastage. En realidad es la fecha en que expira la contraseña. Para las contraseñas vacías, la fecha de vencimiento no tiene sentido y, por lo tanto, no se requiere los campos de Maxage, Advertencia e Inactividad.
ADVERTENCIA: esto da una advertencia a un usuario para cambiar la contraseña cuando la fecha se convierte en LastChange+Maxage -Warning o el período de advertencia de la contraseña ha comenzado. Si este valor es 0 o en blanco (vacío), esto significa que no hay período de advertencia.
Inactividad: cuando la contraseña ha expirado, el usuario aún puede alterar sus contraseñas hasta los días de inactividad. Si este campo no se llena, no hay un período de inactividad.
Fecha de vencimiento: es la fecha en que la cuenta de usuario caducará. A partir de esta fecha, la cuenta no estará disponible para iniciar sesión. Si este campo está vacío, la cuenta nunca caducará. Además, no use un valor '0' aquí.
Bandera especial: este lugar normalmente no se usa y se ha puesto para uso futuro.
Ahora tomemos un ejemplo para aclarar nuestra comprensión de los campos anteriores. Tomemos, por ejemplo, la siguiente entrada de muestra del archivo de sombra:
Linuxhint: $ 6 $ KKRCC8IP8NKTFJJDZJIJ: 12825: 14: 45: 10: 30: 13096
Desglosemos cada campo paso a paso:
1. Linuxhint es el nombre del usuario.
2. El siguiente campo es la contraseña cifrada del usuario. Es una contraseña larga. Sin embargo, lo hemos truncado ligeramente por el bien de la brevedad.
3. El usuario ha modificado su contraseña de 12825 días o 35 años, 1 mes y 11 días, que es el 11 de febrero de 2005 desde la época de Unix I.mi. 1 de enero de 1970.
4. El tiempo mínimo después del cual el usuario puede cambiar su contraseña es de 14 días. Para que la contraseña sea cambiable en cualquier momento, configure este campo en 0.
5. La contraseña deberá restablecerse cada 45 días.
6. La advertencia para restablecer la contraseña aparecerá 10 días antes de la fecha de cambiarla.
7. Si la contraseña expira y no se realiza una acción de inicio de sesión durante 30 días, la cuenta de usuario se deshabilitará.
8. Después de 13096 días desde la hora de la época de Unix o el 9 de noviembre de 2005, la cuenta caducará.
Conclusión
Shadow File es un lugar muy seguro para almacenar la información de su cuenta. Hay preocupaciones de seguridad en contraseñas de usuario sólidas dentro del archivo passwd. Hacer que el archivo de sombra sea legible por root solo elimina las posibilidades de explotación de contraseña por parte de usuarios y atacantes de criadores.