Bien qu'il ne soit probablement pas utile de renommer les fichiers /etc/passwd
et /etc/shadow
, si vous voulez plus de sécurité, vous pouvez regarder PAM (modules d'authentification enfichables) et NSS (Name Service Switch). Comme ici.
PAM peut être utilisé pour ajouter des modules d'authentification qui, à la place, lisent leur authentification en cas de normalisation à partir des fichiers standard, la lisent à partir d'une autre source, comme de ldap ou d'une base de données. L'utiliser signifierait que le /etc/shadow
bidon serait presque complètement éliminé.
NSS complète PAM en rendant une partie de la résolution de noms (comme les groupes auxquels cet utilisateur appartient) indépendante des fichiers standard ( /etc/passwd
, /etc/groups
). Son utilisation signifierait que votre fichier passwd ne contiendrait potentiellement qu'une option de secours pour root, et rien de plus. L'utilisation de clés SSH pour valider la connexion root éliminerait également la nécessité d'avoir un mot de passe root dans le fichier fantôme (bien que cela puisse être souhaité si la connexion SSH est interrompue).
Alternativement, si vous ne voulez pas authentifier vos utilisateurs via une base de données ou un hôte LDAP séparé, vous pouvez également créer vos propres modules PAM et NSS, qui lisent leurs données à partir d'un fichier non standard, bien que je ne recommanderais pas cette option.
Lorsque vous voulez essayer de les utiliser, n'oubliez jamais de garder une sorte de secours sur une couche d'authentification connue et fonctionnelle, sinon vous pouvez vous verrouiller hors du système, même avec root.
Notez que toutes les applications ne prennent pas en charge PAM (beaucoup le font cependant). NSS peut cependant être utilisé pour implémenter l'authentification pour les applications qui ne prennent pas en charge PAM, et certains sites que j'ai lus sur NSS suggèrent en fait cette approche. Cela signifie cependant que le module NSS fournira le mot de passe (potentiellement) haché à toute personne qui peut accéder à la couche d'authentification NSS, ce qui est presque toujours quelque chose que vous voulez éviter (c'est fondamentalement la même chose que donner un accès en lecture non root au fichier fantôme )! Donc, si vous optez pour cette approche, assurez-vous toujours que NSS est uniquement utilisé pour fournir à l'utilisateur les données de base (comme le contenu de /etc/passwd
) et que PAM est utilisé comme couche d'authentification.