שלום אני חדש בפורום ויש לי כמה שאלות.
כמובן לפני ששאלתי חיפשתי כאן כמה תשובות לשאלות שלי ומצאתי רק לחלק ובגלל זה אני ישאל.

אז לפי מה שהבנתי נגיד ואחרי שקראתי את ה passwd קבלתי את התוכן הבא :

קוד:

root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin

לפי מה שהבנתי יש תבנית מסויימת שאני לא זוכר אותה ואם אפשר שתסבירו לי איך זה עובד או את ההעיקרון שבדבר.
וגם האם זה נכון שברגע שתוקף מגיע לקובץ הזה ומצליח לקרוא אותו יש לו אפשרות לפרוץ לשרת או לאפס לי את סיסמת הרוט?
ואני חושב שפה זה לא אפשרי כי פה יש "sbin/nologin" ולפי מה שהבנתי זה לא מאפשר חיבור למשתמש , תודה למי שעוזר ומסביר!

הקובץ הזה מחולק לשדות ע"י התו : . הססמה נמצאת בשדה השני.

כלומר במקרה הזה כתוב שם הערך 'x'.

משמעותו של הערך הזה היא "הסיסמה לא כתובה בקובץ הזה אלא בקובץ ‎/etc/shadow"

את הקובץ ההוא רק root יכול לקרוא.

לפרטים נוספים:
man 5 passwd
man 5 shadow

(בשפה טכנית ומשעממת)

ועוד נקודה: הסיסמה עצמה לא כתובה בקובץ passwd או shadow אלא ערבול שלה. כתוב שם משהו שמי שיודע מהי הססמה יכול לבדוק בעזרתו האם היא באמת כתובה שם. כלומר: אפר לבדוק בעזרתו את נכונות הססמה, ולא למצוא מהי הססמה.

דוגמה פשוטה: ערבול ע"י md5 .

המילה WhatsUp מעורבלת ע"י md5:‏

קוד:

$ echo -n WhatsUp | md5sum a2a12abf5de4f6544a4a9c869d736be7  -

עכשיו שיניתי רק תו אחד במילה וקיבלתי:‏

קוד:

echo -n ****** | md5sum 16c162be4e2184ec445e873c490bab9f  -

אתה מוזמן לנחש מהי אותה מילה מוסתרת.

עכשיו זה הזמן להציץ בקובץ ה־shadow ולהבין שגם מבט חטוף שם לא יספק לך את הסיסמה.

אז מה אני עושה כדי כן לקבל את הסיסמא

מה שמנסים להגיד לך שאין אפשרות לדעת את הסיסמא. אפשר להחליף סיסמא למשתמש מסויים ע"י משתמש רוט או לאותו משתמש להחליף את הסיסמא שלו (אבל אז צריך לדעת את הקודמת)

צפריר אתה מבלבל בין md5sum לבין md5 hash. את md5sum משתמשים רק בקבצים...

דוגמא מהman shadow

ציטוט:

The password field must be filled. The encrypted password consists of 13 to 24 characters from the 64 character alphabet a thru z, A thru Z, 0 thru 9, \. and /. Optionally it can start with a "$" character. This means the encrypted password was generated using another (not DES) algorithm. For example if it starts with "$1$" it means the MD5-based algorithm was used.

md5sum הוא hash (בעברית - פונקציית ערבול). נתתי דוגמה פשטנית מאוד ל־hash כדי לתת את התחושה שמאוד לא פשוט לקבל ממנו את המידע. זו הדוגמה הפשוטה והזמינה ביותר.

בפועל מה שיש בקובץ passwd או בקובץ shadow מסובך יותר. ואני חוזר על ההפניה לתיעוד.

כלים ל"מציאת סיסמה" מתך "קובץ סיסמאות" כזה מנסים לעבור ביעילות על כל האפשרויות לסיסמה - כלומר לנחש כמה שיותר מהר את הססמאות היותר סבירות. אם הסיסמה שלכם היא:

I_HAVEa=VerY|long--Password

כנראה שכלים כאילו לא יגלו אותה מהר.

מקווה שאפשר להתערב בוויכוח המלומד.

1. רציתי להתערב עוד מקודם, אך לא הספקתי.
לפי מה שאני הבנתי, צפריר, לא התבלבל אלא מצא דרך קלה להסביר משהו שהוא מורכב יותר. גם אני משתמש לפעמים בדרך הזו על מנת להמחיש למי שלא מכיר את הנושא של פונקציות hash .

2. לשאלה המקורית.
א. אי אפשר להיכנס לשרת עם המשתמש root לסביבת shell אך ככל הנראה תוכל לעבוד עליו עם sudo (תלוי מה קורה אצלך ב sudo ) , אני אישית לא חושב שלהשבית ל root את ה shell זה הדרך הנכונה (אפשר למנוע ממנו להיכנס ממקומות מסויימים ולאפשר לו ממקומות אחרים דרך הקובץ /etc/scuretty - שזה לדעתי יותר "נכון" לעשות).

ב. במערכת הזו מופעל shadow (כמו שצפריר ציין) . שים לב שהקובץ passwd **חייב** להיות קריא לכל המשתמשים , מצד שני shadow לא עם הרשאת קריאה למשתמשים.

ג. תוכל להחליף למשתמש או ל root את הסיסמה ע"י כניסה כ root ושימוש בפקודה passwd (אם אתה משתמש שמחליף לעצמו - אתה צריך לדעת את הסיסמה הנוכחית, אם אתה root אתה לא צריך לדעת אותה).

נושא אחרון - יכול להיות שהסיסמה שלך היא I_HAVEa=VerY|long--Password (כמו בדוגמה של צפריר) אם הסיסמה "123abc " תיתן את אותה תוצאת hash כמו הסיסמה שלך , הרי שהסיסמה שלך נפרצה (גם אם לכאורה אני לא יודע אותה).

ודבר אחרון, חשוב מאד מאד להשתמש בסיסמה טובה. סיסמה טובה היא הדבר המפריד בין משתמש חיצוני אנונימי, לכניסה לחשבון במערכת וקבלת דריסת רגל.
סיסמה טובה , תספק מעל ל 16,000,000,000 אפשרויות (אם אני זוכר נכון) .. סיסמה גרועה (כמו שיש לרוב האנשים) תספק כמה עשרות אפשרויות.
אל תשתמש בשמות של אנשים שאתה מכיר (ולא באותיות הראשונות / האחרונות של שמם), בלי "תאריכים" ובלי משהו שיוצר אצלך אמפטיה כלפי הסיסמה ... נכון זו חולשה אנושית למצוא סיסמה שקל לזכור - אבל אתה צריך להתמודד עם החולשה הזו .


- דורון

קוד:

root:*:0:0:Charlie &:/root:/bin/csh toor:*:0:0:Bourne-again Superuser:/root: daemon:*:1:1:Owner of many system processes:/root:/sbin/nologin operator:*:2:5:System &:/:/sbin/nologin

קראתי את הקובץ בשרת אחר ושמתי לב לשורות האלה :

קוד:

root:*:0:0:Charlie &:/root:/bin/csh toor:*:0:0:Bourne-again Superuser:/root:

פה לא מופיע ה nologin זה אומר שזה פחות מאובטח ומה הקטע שיש גם toor ?

יוני ,

זה לא נראה כל כך ... מאיזו מערכת זו ? לינוקס ?

1. לא חייב שיהיה /sbin/nologin - זה לא אומר שזה פחות מאובטח .. זה יכול להיות גם /bin/bash .. או /bin/csh כמו שיש אצלך .

2. אבל מה שלא נראה יפה זה שיש לך את המשתמש toor שאין לו כלל login shell שהוא בעצם משתמש root שאין לו login shell


אתה יכול להריץ את התוכנית pwck היא חלק מחבילת shadow-utils , אם תריץ אותה כ superuser היא תדווח לך על בעיות שיש בקובץ passwd .

בכל מקרה, זה לא נראה יפה ודאי לבדוק מה קורה אצלך (אסייג בכך שאם מדובר במערכת Unix כלשהיא .. הדבר אפשרי ) .

- דורון

יוני,

רק עכשיו שמתי לב שאתה זה מי ששאל את השאלה הראשונה .

נראה שיש לך יותר משרת אחד שאתה צריך לדאוג לו (המידע שאתה מספק מגיע משרתים שונים) . אם מדובר על סביבת עבודה, אני חושב שכדאי שתדבר עם המעסיק שלך שישלח אותך לקורס לינוקס / יוניקס (במידה ואתה אחראי על שרתים) .

חבל יהיה שבגלל חוסר הכרות של אדמיניסטרציה בסיסית יהיו לך בעיות בהמשך.

(אני ממש לא נכנס לאיזה קורס ואיפה כדאי לקחת אותו, מצידי אתה יכול ללמוד עם ספר או לא ללמוד בכלל ) מה שאני מנסה לומר שפורומים זה אחלה דבר אבל ידע בסיסי .. כדאי שיהיה גם בלי הסתמכות על פורומים.
אם היית משתמש ביתי מתחיל - ניחא .
אבל אם אתה מוציא קונפיגורציות כמו מכונת יריה ויש לך כמה שרתים שאתה אמור לטפל בהם .. ההתייחסות צריכה להיות אחרת .

- דורון

** התנצלותי אם אני נשמע קצת ביקורתי או משהו כזה אבל זה ממש לטובתך.

צפריר, הכוונה שלי הייתה להגיד לך שהשתמשת בmd5sum ולא .hash
שום דבר יותר...
מישהו יודע איך להציא מshell מילה הוצפנת כמו שצפריר השתמש בmd5sum אבל הפעם md5 או sha1?