ฉันจะใส่ความคิดเห็นในไฟล์ / etc / shadow ของฉันได้อย่างไร

10

ฉันกำลังทำงานผ่านการอัปเกรดระบบและตัวจัดการแพ็กเกจของฉันกำลังแสดงการเปลี่ยนแปลงระหว่างอัปสตรีม / etc / shadow และของฉัน

ฉันต้องการที่จะใส่ความคิดเห็นในไฟล์สำหรับครั้งต่อไปนี้เกิดขึ้น ฉันจะใส่ข้อคิดเห็นในไฟล์ / etc / shadow ได้อย่างไรโดยไม่ทำให้แตก

ฉันคิดว่า "#" เป็นค่าเริ่มต้นน่าจะทำได้ แต่ถ้าฉันทำสิ่งนี้ผิดการรีบูตจะไม่สนุก

password

— DarkSheep
แหล่งที่มา

ใช้ผู้รักษาและบันทึกความคิดเห็นของคุณในการส่งข้อความ

— Gilles 'ดังนั้นหยุดความชั่วร้าย'

14

บนระบบ Linux ใช้ GNU libc เส้นเริ่มต้นด้วยจะถูกละเลยใน# /etc/shadowการแยกวิเคราะห์ทำโดย__fgetspent_r()และซอร์สโค้ดของมันจัดการ (และเอกสาร) พฤติกรรมนี้อย่างชัดเจน

ดังนั้นในระบบ Linux ส่วนใหญ่คุณสามารถแสดงความคิดเห็นได้/etc/shadowด้วย#โดยไม่ทำให้เกิดปัญหา

ขออภัยความคิดเห็นจะลดลงเมื่อ/etc/shadowมีการปรับปรุงเช่นโดยpasswd; ดังนั้นการจัดเก็บความคิดเห็นจึงไม่ปลอดภัยจริง ๆ (จากมุมมองของความคิดเห็น)

ซึ่งหมายความว่าคุณต้องไปหาที่อื่นที่จะเก็บความคิดเห็นของคุณ: สองคำแนะนำที่ดีมีdr01 's ความคิดของการใช้/etc/shadow.READMEหรือดีกว่ายังกิลส์ ' ความคิดของการใช้ข้อความที่มีการกระทำetckeeper

— สตีเฟ่น Kitt
แหล่งที่มา

เพียงเกี่ยวกับการใด ๆpasswdรายการที่ไม่ถูกต้องจะปรากฏขึ้นที่จะได้รับหายไปด้วย ฉันพยายามใช้รายการผู้ใช้ปลอมหรือรายการที่ถูกต้องและเพิ่มอักขระในรายการสุดท้าย แต่ทั้งหมดไม่มีประโยชน์

— Otheus

7

ทุกบรรทัด/etc/shadowถือเป็นเรคคอร์ดผู้ใช้ ตามที่เขียนโดย Stephen Kitt ผู้ตรวจสอบซอร์สโค้ดของ parser คุณสามารถใส่บรรทัดเริ่มต้นด้วย#ความคิดเห็นในไฟล์หรือแม้แต่บรรทัดว่างและพวกเขาจะถูกละเว้น

อย่างไรก็ตามฉันไม่เคยเห็น/etc/shadowไฟล์ที่มีความคิดเห็นมาก่อน แต่ดูเหมือนว่ามันก็ไม่ได้เป็นหลักปฏิบัติทั่วไปและสำหรับเหตุผลที่ดีมาก: การแก้ไขด้วยมือเป็นกำลังใจอย่างยิ่ง ด้วยเหตุนี้ฉันขอแนะนำให้คุณสร้าง/etc/shadow.READMEไฟล์แทนเพื่อเก็บความคิดเห็นของคุณ จำไว้ว่าchmod 000ไฟล์เพื่อหลีกเลี่ยงผู้ใช้ที่ไม่รูทสอดแนม

— dr_
แหล่งที่มา

แล้วทำไม000ล่ะ เป็นของroot:rootแล้วug=r,o=ไม่พอ?

— 0xC0000022L

000 เป็นสิทธิ์ของ/etc/shadow(อย่างน้อยใน Red Hat, ฉันไม่ได้ดู distros อื่น ๆ ) และตรวจสอบให้แน่ใจว่ามีเพียง root เท่านั้นที่สามารถเข้าถึงไฟล์ได้ ตามที่คุณแนะนำให้ทำการอ่านไฟล์โดยผู้ใช้ทั่วไปหากเขา / เธอเข้าร่วมโดยไม่ตั้งใจกลุ่มรูท บนเครื่องที่ได้รับการดูแลอย่างถูกต้องและเพื่อการใช้งานจริงทั้งหมดมันก็คุ้มค่าเหมือนกัน ฉันคิดว่ามี 000 คนที่สื่อความหมายได้ดีกว่า "ไฟล์ความปลอดภัยที่สำคัญ - จับมือกัน" แต่นั่นเป็นเพียงความคิดเห็นของฉัน

— dr_

@ dr01: ไม่แน่ใจว่าผู้ใช้ปกติจะเข้าร่วมกลุ่มรูทได้อย่างไรโดยไม่ต้องมี superuser ทำเช่นนั้น และหากผู้ใช้ระดับสูงทำผิดพลาดการเดิมพันทั้งหมดจะปิด ตัวอย่างเช่นมีโอกาสที่ดีที่บุคคลนั้นเป็นคนฉลาดอยู่แล้วและสามารถเข้าถึงไฟล์ได้โดยไม่ต้องคำนึงถึง ฉันถือว่าความปลอดภัยโดยความสับสน แต่ YMMV

— 0xC0000022L

นั่นคือสิ่งที่ฉันหมายถึงด้วย "ผู้ใช้ทั่วไปเข้าร่วมโดยไม่ตั้งใจกลุ่มรูท" กรณีของฉันคือ superuser สามารถ (แม้ว่าโอกาสจะบาง) ทำให้เขา / เธอในกลุ่มรากโดยไม่ได้ตั้งใจ ในขณะที่สิทธิ์การใช้งาน 000 รายการจะอนุญาตเฉพาะรูทเพื่อเข้าถึงไฟล์ ฉันจำได้ว่าอาจเป็นกรณีขอบ /etc/shadowแต่ผมคิดว่าวิธีนี้ทำความสะอาดมากนอกจากนี้ยังมีความคิดเห็นไฟล์สิ้นสุดลงด้วยการมีสิทธิ์เดียวกันเป็น

— dr_

3

/etc/shadowแน่นอนคุณมีการเปลี่ยนแปลงที่คุณ คุณไม่ต้องการข้อมูลบัญชีในการ/etc/shadowบนเซิร์ฟเวอร์ของคุณ - รหัสผ่านแฮชหมดอายุบัญชี ฯลฯ - /etc/shadowจะเป็นสำเนาไบต์สำหรับไบต์ของต้นน้ำ

และฉันหวังว่าคุณจะไม่เขียนทับปัจจุบันของคุณ/etc/shadowด้วยสิ่งที่คุณได้รับจากแหล่งข้อมูลต้นน้ำของคุณ

— Andrew Henle
แหล่งที่มา