Традиційні Unix системи зберігають дані про користувачів разом із зашифрованим паролем в текстовому файлі `` / etc / passwd ''. Оскільки цей файл використовується багатьма інструментальними засобами (типу `` ls '') щоб відобразити власника файлу і інші подібні відомості, файл повинен бути відкритий на читання для всіх, що, звичайно, дає відмінний шанс хакерам.
Інший метод зберігання інформації, той, який я завжди використовую, затінення паролів. Як і раніше, є файл / etc / passwd з даними про користувачів. Однак, замість паролів ставиться символ "x", а паролі зберігаються окремо в файлі `` / etc / shadow '', в якому зберігаються зашифровані паролі і деяка додаткова інформація про паролі. Файл / etc / shadow доступний для читання лише root, що підвищує захист.
У Red Hat Linux установка пакета Shadow Password Suite, відповідального за тіньові паролі, проста. Наберіть як root:
З тіньовими (shadow) паролями файл `` / etc / passwd '' зберігає відомості про користувачів у вигляді:
Кожне поле в записі відокремлено символом ":":
Username, до 8 символів. Регістр важливий, зазвичай пишуть в нижньому регістрі.
Символ "x" в поле пароля. Паролі зберігаються в файлі `` / etc / shadow ''.
Числовий user id. Призначається скриптом `` adduser ''. Unix використовує дане значення і значення групи для визначення кому які файли належать.
Числовий group id. Red Hat використовує group id в досить несподіваному способі підсилення захисту файлу. Часто group id дорівнює user id.
Повне ім'я користувача. Максимальна довжина мені невідома, але краще обмежитися розумними рамками (до 30 символів).
Домашній каталог користувача. Зазвичай / home / username (наприклад, / home / smithj). Там зберігаються всі особисті файли користувача і його web-сторінки.
Призначена для користувача оболонка. Зазвичай використовується `` / bin / bash '' для доступу до оболонки bash.
Якщо потрібно, щоб користувач не мав доступу до shell, створіть скрипт `` / bin / sorrysh '', який виведе соотвтетствующее повідомлення і завершить роботу користувача. Впишіть скрипт сюди в якості оболонки.
Зауваження: Якщо користувач повинен передавати файли по "FTP" shell повинна бути нормальною оболонкою, наприклад, `` / bin / bash '', а щоб не давати shell-доступу треба налаштувати доступ в домашньому каталозі користувача. Див. Розділ Адміністрування Web-сервера і HTTP Proxy в главі 7.
Файл `` / etc / shadow '' зберігає дані про користувача в форматі:
Як і в файлі passwd, кожне поле у файлі shadow відділяється двокрапкою:
Username, до 8 символів. Збігається з username в файлі / etc / passwd.
Пароль, 13 символів (зашифрований). Порожня запис (тобто.) Показує, що для входу пароль не потрібен (зазвичай ідея погана), і запис `` * '' (тобто. * :) показує, що вхід заблокований.
Число днів до зміни пароля (0 показує, що він може бути змінений завжди).
Число днів, після яких пароль повинен бути змінений (99999 показує, що користувач може не міняти пароль фактично ніколи).
Число днів, протягом яких користувач отримує попередження про необхідність пароль змінити (7 для повного тижня).
Зарезервовано для можливого майбутнього використання.