/etc/passwd
/etc/passwd (англ. password — пароль) — файл, содержащий в текстовом формате список пользовательских учётных записей (т. н. «аккаунтов», от англ. account).
Является первым и основным источником информации о правах пользователя операционной системы. Существует в большинстве версий и вариантов UNIX-систем.
Принципы[править | править код]
login : password : UID : GID : GECOS : home : shell
Каждая строка файла описывает одного пользователя и содержит семь полей, разделённых двоеточиями:
- регистрационное имя, или логин
- зашифрованный пароль (см. ниже)
- идентификатор пользователя
- идентификатор группы по умолчанию
- информационное поле GECOS[1]
- начальный (он же домашний) каталог
- регистрационная оболочка, или shell
Основным назначением /etc/passwd является сопоставление логина и идентификатора (UID). Сначала поле пароля использовалось для аутентификации, но потом (в связи с ростом вычислительных мощностей процессоров, что создало серьёзную угрозу применения простого подбора для взлома пароля) все пароли были перенесены в специальные файлы, такие как /etc/shadow в GNU/Linux или /etc/master.passwd во FreeBSD. Эти файлы недоступны для чтения обычным пользователям. Такой подход называется механизмом скрытых паролей[2].
root:lZTB0KTrSKy8M:0:0:root:/root:/bin/sh
daemon:x:1:1:daemon:/usr/sbin:/bin/false
bin:x:2:2:bin:/bin:/bin/false
<…>
john:H5ned8EV1vank:101:101::/home/john:/usr/bin/csh
bill:7qeFjndagetZk:102:102::/home/bill:/bin/sh
Фрагмент файла /etc/passwd
Регистрационное имя[править | править код]
Регистрационные имена должны быть уникальными и представлять из себя строки не длиннее 32-х символов (любые, кроме двоеточия и символа новой строки). В некоторых старых версиях UNIX существует ограничение длины в 8 символов, оно же будет действовать при использовании административной базы данных NIS. По сути дела, имя пользователя — это его короткий и легко запоминаемый псевдоним, который используется при входе в систему и часто включается в адреса электронной почты.
Идентификаторы (UID)[править | править код]
Идентификатор — это число от 0 до . В старых системах (Minix, ранние версии BSD) оно может быть не более 32767. Пользователь с идентификатором 0 (обычно root) называется суперпользователем и имеет право на выполнение любых операций в системе. Принято соглашение о выделении «специальным» пользователям (bin, daemon), назначение которых — только запуск определённых программ, маленьких номеров (<100 или, в некоторых дистрибутивах Linux, <500).
Безопасность[править | править код]
В системе могут существовать несколько пользователей с одним идентификатором. Это нередко используется хакерами, когда они после взлома системы создают себе учётную запись с UID=0. В результате они выглядят как обычные пользователи, но на самом деле имеют права root.
Группы пользователей[править | править код]
В UNIX пользователь может принадлежать к одной или нескольким группам, которые используются для задания прав более чем одного пользователя на тот или иной файл. Максимальное количество групп, в которых может состоять один человек, разное в разных вариантах системы (в Linux — 32 группы). Список групп с их участниками задаётся в /etc/group. В файле же /etc/passwd указывается идентификатор группы по умолчанию. Всем файлам, созданным пользователем после регистрации в системе, будет автоматически присвоен этот номер группы (исключение — если для каталога, в котором создаётся файл, установлен в правах бит SGID, то будет присвоена такая же группа, как у самого каталога).
Файл групп[править | править код]
root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
<…>
httpd:x:100:httpd
cpanel:x:101:cpanel
Фрагмент файла /etc/group
/etc/group содержит записи обо всех группах в системе. Каждая его строка содержит
- Символьное имя группы.
- Пароль группы - устаревшее поле, сейчас не используется. В нём обычно стоит «x».[3]
- Идентификатор группы, или GID.
- Список имён участников, разделённых запятыми.
Пример записи:
bin:x:1:root,bin,daemon
Здесь сообщается, что группа bin имеет GID=1, а входят в неё пользователи root, bin и daemon.
GECOS[править | править код]
↑ Поле GECOS хранит вспомогательную информацию о пользователе (номер телефона, адрес, полное имя и так далее). Оно не имеет чётко определённого синтаксиса.
Первые системы UNIX в компании использовали компьютеры под управлением операционной системы GECOS в качестве спулеров печати и для исполнения ряда других задач; поле GECOS было введено в формат учетной записи пользователя UNIX, чтобы хранить идентификатор пользователя для предъявления системе GECOS (GECOS ID).
Тем не менее, демон fingerd предполагает, что в нём содержатся следующие элементы, разделённые запятыми:
С помощью утилиты chfn можно изменять эту информацию, а с помощью finger - узнать, например, полное имя любого пользователя в системе (или даже на другом компьютере сети).
Пример строки с заполненным полем GECOS:
tester:x:210:8:Edward Chernenko,Marx Street 10,4554391,5454221:/home/ed:/bin/bash
Начальные условия[править | править код]
После входа в систему пользователь оказывается в своём начальном каталоге. Исторически сложилось так, что домашний каталог пользователя root называется /root, а остальные имеют вид /home/имя_пользователя. Но могут применяться и другие схемы.
Если на момент входа в систему начальный каталог отсутствует, то система выдаёт сообщение об ошибке и отказывается допустить пользователя к командной строке.
Такое поведение НЕ характерно для GNU/Linux; в большинстве дистрибутивов этой ОС просто выводится предупреждение, после чего пользователь попадает в каталог «/».
Это можно изменить посредством установки параметра DEFAULT_HOME в файле /etc/login.defs в значение no.
Следует отметить, что при использовании графического интерфейса (KDE, Gnome) пользователь не увидит предупреждения или сообщения об ошибке, но просто будет выведен из системы безо всяких объяснений (так как оконный менеджер не сможет выполнить запись в нужный каталог, такой как ~/.gnome).
В поле регистрационной оболочки задаётся shell, то есть интерпретатор командной строки. Здесь может быть указана любая программа, и пользователь может сам выбирать для себя наиболее подходящую. Тем не менее, некоторые системы в целях безопасности требуют, чтобы суперпользователь явно разрешил использовать приложение в качестве интерпретатора командной строки. Для этого используется специальный файл /etc/shells, содержащий список «допустимых» оболочек.
Управление базой пользователей[править | править код]
Стандартные утилиты
- vipw
- запускает текстовый редактор, указанный в переменной среды EDITOR (или редактор по умолчанию, обычно vi(1)), загружая в него копию файла /etc/passwd. После закрытия редактора переносит временную копию в сам файл. Не позволяет двум пользователям выполнять редактирование одновременно.
- useradd
- создаёт новую учётную запись.
- usermod
- изменяет данные учётной записи.
- userdel
- удаляет существующую учётную запись.
- chfn
- изменяет поле GECOS.
- chsh
- устанавливает новый командный интерпретатор.
- passwd
- задаёт новый пароль пользователя.
Использование[править | править код]
Почти все программы в современных GNU/Linux-системах обращаются к /etc/passwd через библиотеку glibc. Такой подход имеет много плюсов. Например, в системе с несколькими тысячами пользователей (веб-хостинг, сервера провайдеров) очень накладно каждый раз просматривать файл в поисках того или иного человека, поэтому glibc кэширует результаты наиболее частых запросов, сохраняя их результаты в памяти. См. также библиотечные функции.
Аналоги[править | править код]
Возможная альтернатива хранению списка пользователей — это сервер, хранящий информацию о них в более эффективной форме (особый случай — это системы класса Win32, где эту функцию выполняет само ядро операционной системы). Более частый для UNIX вариант — сетевая база данных LDAP, которая может обслуживать сразу несколько компьютеров. Тем не менее, на одной машине подобных решений обычно избегают из-за того, что они требуют дополнительной установки специального ПО, часто содержащего и дополнительные уязвимости.
Изменив соответствующим образом файл /etc/nsswitch.conf, можно заставить библиотечные функции использовать вместо /etc/passwd другую базу данных. Например,
passwd: nis
заставляет все библиотечные функции обращаться к системе NIS.
Значением по умолчанию (когда пользователи задаются в /etc/passwd) является
passwd: files
Механизм скрытых паролей[править | править код]
root:13$/Xhw3kaR$Vif2djTL4aQshu8aKfkl0/:12545:0:99999:7:::
daemon:*:12545:0:99999:7:::
bin:*:12545:0:99999:7:::
[…]
john:13$80l1AVB5$6AdyTstdHpsSTsewiac8O1:13283:0:31:3:14:13514:
bill:13$UdKpet5.$ssoFdtbe21qd.FL1gj19/0:13286:0:31:3:14:13514:
Фрагмент файла /etc/shadow
↑ В файле /etc/shadow хранятся хэши паролей всех пользователей в системе. Процессы суперпользователя могут читать его напрямую, а для остальных создана специальная библиотека PAM. Она позволяет непривилегированным приложениям спрашивать у неё, правильный ли пароль ввёл пользователь, и получать ответ. Таким образом, хэш не попадает «в чужие руки».
Дело в том, что злоумышленник, имея набор хэшей, всегда может осуществить атаку путём перебора паролей. Например, слова из словаря являются ненадёжными паролями, так как можно зашифровать словарь целиком и поискать хэши в том, что получится. Одна из наилучших программ, выполняющих такого рода атаки — John The Ripper. Также весьма популярна утилита crack.
Уровни защиты[править | править код]
В ранних UNIX пароль шифровался с помощью одного из вариантов DES, теперь используется md5-хеширование, md5-хеши всегда записывается после префикса «$1$».
Перед хешированием к паролю добавляют 2 случайных символа — «salt» (соль, от англ. add salt to sth. — сделать что-л. более интересным, в русскоязычных источниках иногда используется термин «затравка»). Salt также приписывается к началу полученного хеша. Благодаря salt нельзя при простом просмотре файла обнаружить пользователей с одинаковыми паролями.
Обратите внимание, что в /etc/shadow, показанном выше, две учётные записи имеют одинаковый пароль, хотя этого и не видно.
Файл /etc/shadow[править | править код]
Кроме имени (первое поле каждой строки) и хэша (второе поле) здесь также хранятся
- дата последнего изменения пароля,
- через сколько дней можно будет поменять пароль,
- через сколько дней пароль устареет,
- за сколько дней до того, как пароль устареет, начать напоминать о необходимости смены пароля,
- через сколько дней после того, как пароль устареет, заблокировать учётную запись пользователя,
- дата, при достижении которой учётная запись блокируется,
- зарезервированное поле.
Даты обозначаются как число дней с 1 января 1970 года (начало эпохи UNIX).
Обязательная регулярная смена паролей — это популярная административная мера, призванная сделать учётные записи более защищёнными. К сожалению, многие пользователи после принудительного изменения возвращают себе старый пароль.
Применение с PAM[править | править код]
Следует отметить, что подобные действия влияют только тогда, когда пользователь аутентифицируется через PAM. При этом также в целях безопасности создаются паузы между двумя неудачными попытками входа в систему, чтобы не дать возможность перебирать пароли через уполномоченное работать с PAM приложение.
История[править | править код]
Основные этапы развития схемы пользователей в UNIX:
- Все пароли, зашифрованные в DES, хранятся в /etc/passwd
- Пароли перемещаются в /etc/shadow
- Начинает применяется хэш MD5
Одно из основных событий, заставивших разработчиков перейти к механизму скрытых паролей — это атака червя Морриса.
Червь Морриса[править | править код]
Червь Морриса читал /etc/passwd, пытаясь подобрать пароли к учётным записям. Для этого использовалось имя пользователя (и оно же с буквами в обратном порядке), а также список из 400 наиболее популярных слов. Эта атака привела к масштабному заражению всей сети ARPANET, и именно после этого разработчики придумали /etc/shadow, а также паузы после неправильного ввода пароля.
Библиотечные функции[править | править код]
Эти средства описаны в стандарте POSIX; существуют также другие (здесь не перечисленные) функции, позволяющие просматривать содержимое файлов /etc/passwd и /etc/shadow по записям.
Информационные[править | править код]
Описаны в «pwd.h»
- getpwuid — получает всю информацию о пользователе по его идентификатору.
- getpwnam — то же, но по имени пользователя.
- putpwnam — добавляет запись к уже существующим в /etc/passwd.
Скрытые пароли[править | править код]
Описаны в «shadow.h»
- getspnam — получает всю информацию о пароле пользователя с заданным именем, включая хэш, из файла /etc/shadow. Применять может только суперпользователь.
- putspent — добавляет запись в /etc/shadow.
Примечания[править | править код]
- ↑ Использование «x» или «*» в поле пароля широко используется, чтобы показать, что в данную учётную запись нельзя зайти. По сути, это гарантированно неправильный хэш пароля. Основное применение — в учётных записях псевдопользователей, единственное назначение которых — запуск определённых приложений или владение определёнными файлами. Пример таких пользователей — lp, rpc, uucp. Кроме того, на данный момент принято задавать пароли групп, устаревшее поле в файле /etc/group, в значение «x» (во избежание проблем со старыми программами, которые его использовали).
См. также[править | править код]
- Файловая Система UNIX.
- UNIX.
- POSIX — стандарт, в котором описаны библиотечные функции, в том числе и для работы с /etc/passwd.
- Security Account Manager — аналог в системах Windows NT.
- Пароль
Ссылки[править | править код]
- "man 5 passwd". Retrieved 18 июля. Unknown parameter
|accessyear=
ignored (help); Unknown parameter|description=
ignored (help); Check date values in:|accessdate=
(help)
Литература[править | править код]
- Эви Немет, Гарт Снайдер, Трент Хейн Руководство администратора Linux. Установка и настройка = Linux Administration Handbook . — 2-е изд. — М.: «Вильямс», 2007. — С. 1072. — ISBN 0-13-148004-9о книге
Первоисточник этой статьи был признан «хорошей статьёй» русского раздела Википедии. |