У / etc / group в чому значення другого поля?

Зразок /etc/groupфайлу містить такі записи:

root:*:0:
adm:!:4:logcheck
antoine:x:1000:

Сторінки, які я читав (Debian & OSX), кажуть, що друге поле - це зберігання групового пароля. Оскільки вони рідко використовуються, у ньому зазвичай розміщується зірочка *або а, xа не залишається порожнім.

На shadowсторінці man також зазначено, що це друге поле має зберігати результат cryptфункції. І якщо недійсний результат зберігається (наприклад, *або !), це означає, що пароль не може використовуватися як метод аутентифікації.

Чи справедливо це і для groupфайлу? Чому я закінчую 3 різні символи у моєму groupфайлі, які мають однакове значення? Чи можу я безпечно все змінити на *?

Ви думаєте , що !, *або xмає особливе значення тут, і, отже , побоюючись , що там можуть бути деякі відмінності між ними.

Справа в тому, що цих персонажів вибирають просто тому, що вони виділяються, принаймні західним очам. Ці символи означають відсутнє значення, або виняток, або попередження. Ви можете поставити boogaboogaсюди і мати точно такий же ефект.

Це пояснюється тим, як обробляються паролі в системах типу Unix. Коли система отримує введення пароля, він хеширует його і порівнює його зі збереженим хешем. Тому тут важливо лише те, що ви використовуєте певний символ чи послідовність символів, які, можливо, не можуть бути дійсним хешем пароля. (Він також не повинен містити двокрапки з очевидних причин.)

Хоча різницю між цими символами немає з точки зору основної ОС, є деякі умови:

• Коли pwconv(8)програма Linux бачить x, це означає, що "я вже перемістив цей загальнодоступний хеш-пароль до файлу тіньового пароля".

  Це не є важливим випадком на практиці, оскільки дні переходу до (або, боже, вам допомогти, від ) тіньових паролів зараз позаду.

• Якщо ви користуєтесь usermod -Lабо passwd -lблокуєте користувача, це !має особливе значення, /etc/shadowоскільки це умова "зламати цей хеш, щоб він більше не відповідав".

  Додавання будь-якого іншого символу до збереженого хешу також порушить його. Порушивши цю угоду тільки запобігає usermod -Uабо passwd -uвід відмикання логін користувача. Так само правдиво, оскільки ви заблокували його вручну, додавши хибний символ, ви можете розблокувати його вручну, видаливши його.

  Однак, це лише дрібниці щодо цього питання. Немає groupmod -Lабо gpasswd -l, отже, немає ніякої !конвенції в Росії /etc/group.

  Більш дрібниця: якщо ви які збираєтеся користувач блокування облікових записів вручну, ви повинні триматися подалі від [A-Za-z0-9/\]безлічі, так як ті правові символи для хеша. Ось одна причина usermodвикористовує !тут замість x.

Я не бачу нічого поганого в нормалізації всіх /etc/groupполів вашого пароля, якщо це робить вас краще. Тим самим ти вже кажеш, що ти з задоволенням зламаєш ці файли вручну, тому ти, мабуть, не такий, щоб використовувати інструменти, які так чи інакше дбають про відмінності. Незалежно від цього, зміна не матиме впливу на щоденну роботу системи.