Устаревание паролей и файл скрытых паролей

Механизм устаревания паролей ограничивает срок, в течение которого пароль пользователя остается корректным. Этот механизм может быть реализован на общесистемном уровне посредством файла /etc/login. defs либо для отдельных пользователей посредством файла /etc/shadow. Последний называют файлом скрытых паролей. Для каждого пользователя он содержит запись, в которой указаны хешированный пароль и сведения о сроке его действия. По умолчанию этот файл может не существовать. Давайте рассмотрим, как создавать и использовать такой файл.

В Red Hat 7.2 файл скрытых паролей по умолчанию создается в ходе инсталляции системы, что существенно повышает ее безопасность, и вот почему. Дело в том, что все хешированные пароли переносятся из файла /etc/passwd в файл /etc/shadow, доступ к которому разрешен только суперпользователю и только для чтения. Кроме того, появляется возможность задать предельный срок действия каждого пароля. Файл /etc/ passwd открыт для чтения, а значит, и для копирования. Если файл скрытых паролей не используется, все хешированные пароли находятся в файле /etc/passwd, и любой пользователь может попытаться "взломать" его с помощью утилиты Crack.

Чтобы создать файл скрытых паролей в Red Hat 7.2 (предполагается, что файл не был создан во время инсталляции), выполните команду pwconv от имени суперпользователя. Она автоматически переместит в файл /etc/shadow все хешированные пароли (а также пароли вида ) и запишет во второе поле каждой записи файла /etc/passwd символ х. Если нужно произвести обратное действие, просто выполните команду pwunconv от имени суперпользователя. Разумеется, информация об устаревании паролей, хранящаяся в файле /etc/shadow, будет потеряна.

Механизм устаревания паролей отдельных пользователей включается только при наличии файла /etc/shadow. С помощью команды chage в этот файл можно добавлять сведения о пользовательских паролях. Фрагмент файла представлен в листинге 4.2.

Листинг 4.2. Фрагмент файла /etc/shadow

root:otlY/YgV5e.Bk:l0640:0:99999:7:::

bin: :10640:0:99999:7:::

daemon::10640:0:99999:7:::

adm::10640:0:99999:7:::

lp::10640:0:99999:7:::

sync::10640:0:99999:7:::

joe:E/ulR7fLAQO60:10640:0:99999:7:::

mary:VBtHXaJk3IPD6:10640:7:30:3:45::

guestl:xdbt9JIxfCUvo:10640:0:99999:7::10640:


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок