Portál AbcLinuxu, 13. května 2025 03:38

Dotaz: Hesla v shadow

4.11.2009 13:24 Vratislav
Hesla v shadow
Přečteno: 300×
Odpovědět | Admin

Ve Fedoře se mi od nějaké doby v souboru /etc/shadow objevují čitelná hesla uživatelů.

kujda:$1$Y4y59ajx$y/BFJyAfxmRcfiSAQIYob0:12802:0:99999:7:::
pesekjarda:$1$MwLowOZ5$TVGEXTiYj4Ez/PAxwbuj11:13074:0:99999:7:::
slezina:$1$npoP3n7a$syE9vobCcHqSWmTTeYh7S/:13088:0:99999:7:::
lanovod::13167:0:99999:7::: polakoval:!!:13173:0:99999:7:::
ferdakerda:$1$kstsqez.$WteNj8P6Ld5tMz11/pWoJ/:13340::99999::::135613452
losos:jarda:13371:0:99999:7:::
borisek:pajda:13423:0:99999:7:::
"

Jak to je možné?

Řešení dotazu:

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

4.11.2009 14:09 Andrej Herceg | skóre: 43
Rozbalit Rozbalit vše Re: Hesla v shadow
Odpovědět | | Sbalit | Link | Blokovat | Admin
V súbore /etc/pam.d/system-auth je informácia o tom, aká funkcia sa má na tie heslá použiť. Ja tam mám napr. 
password    sufficient    pam_unix.so nullok use_authtok md5 shadow
takže u mňa sa používa md5 (aké algoritmy a iné voľby sa tam dajú použiť je popísané v manuáli, v mojom prípade, keďže používam pam_unix, to je v man 8 pam_unix).
5.11.2009 07:08 Vratislav
Rozbalit Rozbalit vše Re: Hesla v shadow
Mám tedy v /etc/pam.d/system-auth:

"

#%PAM-1.0

# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.

auth required /lib/security/$ISA/pam_env.so

auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok

auth required /lib/security/$ISA/pam_deny.so

account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100

account required /lib/security/$ISA/pam_unix.so

password requisite /lib/security/$ISA/pam_cracklib.so retry=3

password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow

password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so

session required /lib/security/$ISA/pam_unix.so

"

něco špatně?
4.11.2009 15:24 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Hesla v shadow
Odpovědět | | Sbalit | Link | Blokovat | Admin
Čím se těm uživatelům nastavovalo heslo?
5.11.2009 06:55 Vratislav
Rozbalit Rozbalit vše Re: Hesla v shadow
Ano, to může být správná stopa. Heslo nyní zadávám hned při založení uživatele pomocí useradd a neměním ho. Ale proč je to heslo čitelné? Něco takového bych vůbec nečekal.
5.11.2009 07:52 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Hesla v shadow

Není nad to si občas přečíst dokumentaci k nástrojům, které používáte:

       -p, --password password
              Encrypted password as returned by crypt(3) for the new  account.
              The default is to disable the account.

Jinak řečeno, u useradd se jako argument zadává ne heslo, ale už jeho hash, který se přímo zkopíruje do /etc/shadow. Chcete-li uživateli nastavit heslo, použijte passwd, pokud to potřebujete udělat neinteraktivně, použijte chpasswd. V každém případě ale není dobrý nápad psát heslo do argumentů interaktivně zadávaného příkazu; jednak je pak vidět ve výpisu procesů, jednak zůstane v historii.

5.11.2009 08:44 Vratislav
Rozbalit Rozbalit vše Re: Hesla v shadow
Děkuji, toto je ta správná odpověď na moji otázku.

To vysvětlení z helpu jsem absolutně přehlédl (nebo spíše nepochopil). Jak jsem uviděl parametr "-p password", dále jsem se tím nezabýval a napsal si to do scriptu pro generování nového účtu, abych to měl jednou za čas (kdy si už zase nebudu pamatovat potřebné parametry) ještě snadnější. Dnes si vypomáhám právě příkazy z historie. Učím se pomalu, ale přece.

Věřím, že toto poučení bude užitečné i pro další uživatele.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.