En fait, / etc / shadow a été créé pour permettre de s'éloigner d' une liste de noms d'utilisateurs et de mots de passe lisibles par le public.
Accrochez-vous, ce sera un peu une leçon d'histoire, avant d'arriver à la réponse réelle. Si vous ne vous souciez pas de l'histoire, faites défiler un peu vers le bas.
Autrefois, les systèmes d'exploitation de type Unix, y compris Linux, conservaient généralement tous les mots de passe dans / etc / passwd. Ce fichier était lisible dans le monde entier, et l'est toujours, car il contient des informations permettant de mapper par exemple entre les ID utilisateur numériques et les noms d'utilisateur. Ces informations sont très utiles même aux utilisateurs ordinaires à des fins parfaitement légitimes, de sorte que la lisibilité du monde des fichiers était très avantageuse pour la convivialité.
Même à l'époque, les gens se rendaient compte qu'avoir les mots de passe en texte brut dans un fichier dans un endroit bien connu que quiconque pouvait se connecter pouvait lire librement était une mauvaise idée. Les mots de passe ont donc été hachés, dans un sens. C'est l'ancien mécanisme de hachage de mot de passe "crypt", qui n'est presque jamais utilisé sur les systèmes modernes, mais souvent pris en charge à des fins héritées.
Jetez un œil à / etc / passwd sur votre système. Voir ce deuxième champ, qui dit x
partout? Il détenait le mot de passe haché pour le compte en question.
Le problème était que les gens pouvaient télécharger / etc / passwd, ou même ne pas le télécharger, et travailler à déchiffrer les mots de passe. Ce n'était pas un gros problème alors que les ordinateurs n'étaient pas particulièrement puissants (Clifford Stoll, dans The Cuckoo's Egg , donne, si je me souviens bien, le temps de hacher un mot de passe sur un système de classe IBM PC au milieu des années 1980 comme environ une seconde ), mais cela est devenu un problème avec l'augmentation de la puissance de traitement. À un moment donné, avec une liste de mots décente, déchiffrer ces mots de passe est devenu trop facile. Pour des raisons techniques, ce schéma ne pouvait pas non plus prendre en charge les mots de passe de plus de huit octets.
Deux choses ont été faites pour résoudre ce problème:
- Passer à des fonctions de hachage plus fortes. L'ancienne crypte () avait survécu à sa durée de vie utile, et des schémas plus modernes ont été conçus qui étaient à la fois évolutifs et plus robustes.
- Déplacez les mots de passe hachés dans un fichier qui n'était pas lisible par n'importe qui. De cette façon, même si une fonction de hachage de mot de passe s'est avérée être plus faible que prévu, ou si quelqu'un avait un mot de passe faible pour commencer, il y avait un autre obstacle pour un attaquant d'accéder aux valeurs de hachage pour commencer. Ce n'était plus gratuit pour tous.
Ce fichier est / etc / shadow.
Le logiciel qui fonctionne avec / etc / shadow est généralement très petit, très ciblé et a tendance à recevoir un examen supplémentaire dans les revues en raison du risque de problèmes. Il s'exécute également avec des autorisations spéciales, ce qui lui permet de lire et de modifier / etc / shadow, tout en empêchant les utilisateurs ordinaires de consulter ce fichier.
Donc, vous l'avez: les autorisations sur / etc / shadow sont restrictives (bien que, comme nous l'avons déjà souligné, pas aussi restrictives que vous le dites) car le but de ce fichier est de restreindre l'accès aux données sensibles.
Un hachage de mot de passe est censé être solide, mais si votre mot de passe figure dans les 500 premiers mots de passe sur les listes Internet , toute personne ayant accès au hachage pourra toujours trouver le mot de passe rapidement. La protection du hachage empêche cette attaque simple et met la barre haute pour une attaque réussie, du simple coup d'œil à l'exigence que l'un soit déjà administrateur système sur l'hôte ou passe d'abord par une attaque par escalade de privilèges. Surtout sur un système multi-utilisateurs correctement administré, les deux sont beaucoup plus difficiles que de simplement regarder un fichier lisible par le monde.
/etc/shadow
sont600
?