วิธีทำให้รหัสผ่านผู้ใช้แสดงเป็นข้อความธรรมดาใน Linux

เรารู้ว่ารหัสผ่านของผู้ใช้จะถูกบันทึกไว้/etc/passwdแต่ในวิธีการเข้ารหัสดังนั้นแม้รากไม่สามารถมองเห็นพวกเขา:

jane:x:501:501::/home/jane:/bin/bash
fred:x:502:502::/home/fred:/bin/bash

ดังที่แสดงด้านบน:x:แสดงถึงรหัสผ่าน

มีวิธี (การกำหนดค่าที่เป็นไปได้) ในการบันทึกรหัสผ่านใน/etc/passwdข้อความที่ชัดเจนและรูทสามารถมองเห็นได้หรือไม่?

อีกสองคำตอบได้บอกคุณได้อย่างถูกต้อง! ใช่หรือไม่เพราะนี่เป็นความคิดที่ดี™ แต่พวกเขายังบอกคุณว่ามันยากที่จะทำต้องเปลี่ยนโปรแกรมมากมาย

ที่ไม่เป็นความจริง. มันง่ายมาก. คุณต้องเปลี่ยนไฟล์กำหนดค่าหนึ่งหรือสองไฟล์เท่านั้น ฉันรู้สึกว่าเป็นเรื่องสำคัญที่จะต้องชี้ประเด็นนี้ออกไปเพราะคุณควรระวังเมื่อเข้าสู่ระบบที่คุณไม่ได้ควบคุม สิ่งเหล่านี้จะไม่ใส่รหัสผ่านแบบข้อความธรรมดา/etc/passwdหรือ/etc/shadowจะเป็นไฟล์อื่น หมายเหตุฉันยังไม่ได้ทดสอบสิ่งเหล่านี้เนื่องจากฉันไม่มีรหัสผ่านเป็นข้อความธรรมดา

1. แก้ไข/etc/pam.d/common-password(เพื่อรับรหัสผ่านเปลี่ยน) หรือ/etc/pam.d/common-auth(เพื่อตรวจสอบรหัสผ่าน) และเพิ่ม… pam_exec expose_authtok log=/root/passwords /bin/cat

2. แก้ไขทั้งสองเหล่านั้นและเปลี่ยนจากการ pam_unix pam_userdb crypt=noneกับ หรือคุณสามารถใส่รหัสผ่านเป็นรหัสทั่วไปเท่านั้น (ปล่อย pam_unix ด้วย) เพื่อบันทึกรหัสผ่านเมื่อมีการเปลี่ยนแปลง

3. คุณสามารถลบตัวเลือกshadow(รวมถึงตัวเลือกแฮชที่แข็งแกร่ง) จาก pam_unix เพื่อปิดการใช้งานไฟล์เงาและกลับไปใช้รหัสผ่าน crypt แบบดั้งเดิม ไม่ใช่ข้อความธรรมดา แต่ John the Ripper จะแก้ไขปัญหาให้คุณ

สำหรับรายละเอียดเพิ่มเติมตรวจสอบแพม System Admin คู่มือ

คุณสามารถแก้ไขซอร์สโค้ดของ PAM หรือเขียนโมดูลของคุณเอง คุณจะต้องรวบรวม PAM (หรือโมดูลของคุณ) เท่านั้นไม่มีอะไรอื่น

โอที่รักเอาล่ะมาเริ่มกันตั้งแต่ต้น ...

เรารู้ว่ารหัสผ่านของผู้ใช้จะถูกบันทึกไว้ใน / etc / passwd แต่มีวิธีการเข้ารหัส

ไม่พวกเขาถูกเก็บไว้ใน/etc/passwdและนั่นค่อนข้างที่ผ่านมา รหัสผ่านที่วันนี้จะถูกเก็บไว้ในแฟ้มเงาที่เรียกว่า/etc/shadowส่วนใหญ่ของเวลา

แต่ในวิธีการเข้ารหัสดังนั้นแม้รากไม่สามารถมองเห็นพวกเขา:

ฉันรู้ว่ามันบางครั้งใช้แทนกันได้ แต่คร่ำเครียดไม่ได้เข้ารหัส การเข้ารหัสคือการกำหนดคำจำกัดความย้อนกลับได้ซึ่งหมายความว่าคุณสามารถแปลสิ่งที่เข้ารหัสกลับเป็นรูปแบบข้อความธรรมดา การแฮชถูกออกแบบมาให้ไม่สามารถย้อนกลับได้ แต่อย่างใด (ยกเว้นกำลังดุร้าย) รูปแบบข้อความต้นฉบับของสิ่งที่แฮชไม่ควรกู้คืนได้

รหัสผ่านในไฟล์เงาจะถูกเก็บไว้เป็นแฮช

ตามที่แสดงด้านบน: x: แสดงถึงรหัสผ่าน

xในกรณีนี้เป็นเพียงตัวยึดสำหรับฟิลด์รหัสผ่านมรดกที่ xหมายความว่ารหัสผ่านที่สามารถพบได้ในแฟ้มเงา

มีวิธี (การกำหนดค่าที่เป็นไปได้) ในการบันทึกรหัสผ่านใน / etc / passwd เป็นข้อความธรรมดาและรูทสามารถเห็นได้หรือไม่?

ใช่มันเป็นไปได้จริง ๆ แต่ไม่ใช่ความคิดที่ดีด้วยเหตุผลบางอย่าง คำตอบ derobert อธิบายวิธีที่ค่อนข้างง่ายที่จะทำมัน

แต่ทำไมมันไม่เป็นความคิดที่ดี? ด้วยเหตุผลง่ายๆ แต่สำคัญมาก: ความปลอดภัย ฉันแนะนำให้อ่านคำถามเหล่านี้:

• การเปรียบเทียบที่ดีคืออะไรเพื่ออธิบายว่าทำไมรหัสผ่านควรถูกแฮชกับคนธรรมดา?
• วิธีแฮชรหัสผ่านอย่างปลอดภัย?
• เหตุใดฉันจึงควรแฮรหัสผ่าน
• ทำไมการแฮ็นรหัสผ่านจึงถือเป็นสิ่งสำคัญ
• ทำไมแฮฟังก์ชันหนึ่งทาง ถ้าฉันรู้อัลกอริทึมทำไมฉันไม่สามารถคำนวณอินพุตจากมันได้?

แต่เพื่อสรุปให้ถือว่าต่อไปนี้: มีเซิร์ฟเวอร์ใน บริษัท บัญชีผู้ใช้ทั้งหมดได้รับการรักษาความปลอดภัยด้วยรหัสผ่านและข้อมูลในบัญชีผู้ใช้เหล่านี้จะถูกเข้ารหัสด้วยรหัสผ่านเดียวกัน แคร็กเกอร์จากภายนอกจะได้รับการเข้าถึงเซิร์ฟเวอร์ แต่พวกเขาไม่สามารถเข้าถึงข้อมูลสำคัญใด ๆ ได้เนื่องจากยังคงมีการเข้ารหัสในบัญชีผู้ใช้

ตอนนี้ถือว่ารหัสผ่านจะถูกเก็บไว้ในข้อความล้วน แครกเกอร์จะสามารถเข้าถึงทุกอย่างได้ในทันทีเพราะสามารถอ่านรหัสผ่านได้ แต่ถ้าพวกเขาถูกเก็บไว้เป็นค่าที่ถูกแฮ็กพวกเขาก็เกือบจะไร้ประโยชน์สำหรับทุกคนยกเว้นคนที่มีทรัพยากรจำนวนมากเพื่อทำการโจมตีแบบเดรัจฉาน

ก่อนอื่นรหัสผ่านที่เข้ารหัสไม่ได้อยู่/etc/passwdแต่จะอยู่ใน/etc/shadowนั้น หนึ่งในสาเหตุของเรื่องนี้คือที่/etc/passwdสาธารณะสามารถอ่านได้ (เพื่อให้คุณสามารถค้นหาข้อมูลเขตข้อมูล GECOS สำหรับผู้ใช้รายอื่น) และโดยเฉพาะอย่างยิ่งกับแผนการเข้ารหัสที่เก่ากว่าอาจทำให้การโจมตีด้วยรหัสผ่านที่เข้ารหัสลับนั้น

ในการจัดเก็บรหัสผ่านเป็นข้อความธรรมดาไม่จำเป็นและจะต้องมีการอัพเดทโปรแกรมรหัสผ่านและห้องสมุดที่อ่าน/etc/shadowข้อมูลเพื่อตรวจสอบรหัสผ่านที่ถูกต้อง จากนั้นคุณต้องหวังว่ายูทิลิตี้ทั้งหมดใช้ไลบรารีที่แชร์เพื่อเข้าถึงข้อมูลนั้นแทนที่จะเชื่อมโยงกับสิ่งที่ไม่เข้าใจรหัสผ่านแบบข้อความธรรมดา

หากนี่เป็นตัวเลือกในการกำหนดค่าของการตั้งค่าก็จะมีคนที่โง่ที่จะเปลี่ยนมันอย่างไม่เหมาะสม และในขณะที่พวกเขายังคงทำงานบนหน้าจอ CRT และเผยแพร่สิ่งนี้ในลักษณะที่สามารถรับได้ง่ายจากภายนอกอาคารของพวกเขาในขณะที่พวกเขากำลังดูข้อมูล

นอกจากนั้นผู้คนมักจะใช้รหัสผ่านที่เหมือนกันหรือคล้ายกันในหลาย ๆ ระบบดังนั้นจึงไม่ควรให้รหัสผ่านใด ๆ ที่มนุษย์สามารถอ่านได้ เนื่องจากระบบบางระบบสามารถลองใหม่อีกครั้งบนระบบอื่น ๆ เขารู้ว่าผู้ใช้มีบัญชี

จะต้องมีสิ่งที่น่าสนใจมากขึ้นการทำงานของสามารถตรวจสอบในระบบของคุณ

เหตุผลพื้นฐาน (สาเหตุที่เป็นความคิดที่ไม่ดี) คือไม่มีผู้ใช้ (รูทผู้ดูแลระบบหรืออื่น ๆ ) ที่ควรมีสิทธิ์เข้าถึงรหัสผ่านของผู้ใช้รายอื่น

เพียงเพราะรหัสผ่านเป็นวิธีการรับรองความถูกต้อง หากฉันรู้รหัสผ่านของผู้ใช้คนอื่นฉันรู้ว่าข้อมูลประจำตัวของพวกเขา (ชื่อผู้ใช้ + รหัสผ่าน) ดังนั้นฉันจึงสามารถเข้าสู่ระบบในฐานะผู้ใช้รายนั้นปลอมตัวเขา (หรือเธอหรือเธอ)

การกระทำใด ๆ ที่ฉันทำเมื่อลงชื่อเข้าใช้ในฐานะผู้ใช้นั้นผู้ใช้รายอื่นจะต้องรับผิดชอบ และนั่นไม่ใช่วิธีการรับรองความถูกต้องควรทำงาน

การดำเนินการอาจเป็นหายนะเช่นการลบไฟล์สำคัญทั้งหมดการลบฮาร์ดดิสก์การลบข้อมูลสำรองการปิดแผนพลังงานนิวเคลียร์ ฯลฯ

หรือผิดกฎหมาย ลองนึกภาพสถาบันการเงินที่ฉัน (ผู้ดูแลระบบ) สามารถเข้าถึงรหัสผ่านทั้งหมดได้ ใช้รหัสผ่านของแคชเชียร์ฉันสามารถสั่งย้ายเงินหนึ่งล้านดอลลาร์จากบัญชีธนาคารของประธานาธิบดีไปยังบัญชีธนาคารของน้ำยาทำความสะอาดหน้าต่าง จากนั้นใช้รหัสผ่านที่เหนือกว่าของแคชเชียร์เพื่ออนุมัติการทำธุรกรรม จากนั้นอนุมัติเช็คจากบัญชีน้ำยาทำความสะอาดหน้าต่างไปยังบัญชีธนาคารนอกชายฝั่งของฉันเอง

ถ้าอย่างนั้นฉันก็ไปเที่ยวพักผ่อนที่บาฮามาส ...

ในมุมมองดังกล่าวการแฮ็ชของรหัสผ่านและการใช้ไฟล์เงาแยกเป็นวิธีการบังคับใช้กฎนี้ (ผู้ใช้ไม่ควรปลอมตัวเป็นคนอื่น)

และตามที่ @ Miral แสดงความคิดเห็น^*มีข้อยกเว้นsuในขณะที่อนุญาตให้มีการแอบอ้าง (และชนิดของการโยนการโต้แย้งด้านบน) ยังเก็บบันทึกการใช้งาน (ดังนั้นจึงเปลี่ยนกฎเป็น "ผู้ดูแลระบบเท่านั้นที่สามารถเลียนแบบผู้อื่นได้ บันทึกถูกเก็บไว้ ")

^{* ตัวอย่างธนาคารอาจไม่ดีที่สุด ในทุกสภาพแวดล้อมที่การรักษาความปลอดภัยมีความสำคัญจำเป็นต้องมีวิธีการรับรองความถูกต้องและการอนุญาตมากกว่ารหัสผ่านเดียว}