3.1. Понятие учетной записи и аутентификации. Файлы /etc /passwd и /etc /shadow и /etc /gshadow.
3.1. Понятие учетной записи и аутентификации. Файлы /etc/passwd и /etc/group, /etc/shadow и /etc/gshadow.
Linux, как и любая unix-подобная система, является не только многозадачной, но и многопользовательской, т.е эта операционная система позволяет одновременно нескольким пользователям работать с ней. Но система должна как-то узнавать, какой или какие из пользователей работают в данный момент. Именно для этих целей в Linux существует два понятия – учетные записи и аутентификация, которые являются частями одного механизма.
Учетная запись пользователя – это необходимая для системы информация о пользователе, хранящаяся в специальных файлах. Информация используется Linux для аутентификации пользователя и назначения ему прав доступа.
Аутентификация – системная процедура, позволяющая Linux определить, какой именно пользователь осуществляет вход.
Вся информация о пользователе обычно храниться в файлах /etc/passwd и /etc/grpoup.
/etc/passwd – этот файл содержит информацию о пользователях. Запись для каждого пользователя занимает одну строку:
Рисунок 18.
имя пользователя – имя, используемое пользователем на все приглашения типа login при аутентификации в системе.
зашифрованный пароль – обычно хешированный по необратимому алгоритму MD5 пароль пользователя или символ '!', в случаях, когда интерактивных вход пользователя в систему запрещен.
UID – числовой идентификатор пользователя. Система использует его для распределения прав файлам и процессам.
GID – числовой идентификатор группы. Имена групп расположены в файле /etc/group. Система использует его для распределения прав файлам и процессам.
Настоящее имя пользователя – используется в административных целях, а также командами типа finger (получение информации о пользователе через сеть).
Домашний каталог – полный путь к домашнему каталогу пользователя.
Оболочка – командная оболочка, которую использует пользователь при сеансе. Для нормальной работы она должна быть указана в файле регистрации оболочек /etc/shells.
/etc/group – этот файл содержит информацию о группах, к которым принадлежат пользователи:
Рисунок 19.
Имя группы – имя, используемое для удобства использования таких программ, как newgrp.
Шифрованный пароль – используется при смене группы командой newgrp. Пароль для групп может отсутствовать.
GID – числовой идентификатор группы. Система использует его для распределения прав файлам и процессам.
Пользователи, включенные в несколько групп – В этом поле через запятую отображаются те пользователи, у которых по умолчанию (в файле /etc/passwd) назначена другая группа.
На сегодняшний день хранение паролей в файлах passwd и group считается ненадежным. В новых версиях Linux применяются так называемые теневые файлы паролей – shadow и gshаdow. Права на них назначены таким образом, что даже чтение этих фалов без прав суперпользователя невозможно. Нужно учесть, что нормальное функционирование системы при использовании теневых файлов подразумевает одновременно и наличие файлов passwd и group. При использовании теневых паролей в /etc/passwd и /etc/group вместо самого пароля устанавливается символ 'x', что и является указанием на хранение пароля в /etc/shadow или /etc/gshadow.
Файл shadow хранит защищенную информацию о пользователях, а также обеспечивает механизмы устаревания паролей и учетных записей. Вот структура файла shadow:
Рисунок 20.
а) имя пользователя
б) шифрованный пароль – применяются алгоритмы хеширования, как правило MD5 или символ '!', в случаях, когда интерактивных вход пользователя в систему запрещен.
в) число дней последнего изменения пароля, начиная с 1 января 1970 года, последнего изменения пароля
г) число дней, перед тем как пароль может быть изменён
д) число дней, после которых пароль должен быть изменён
е) число дней, за сколько пользователя начнут предупреждать, что пароль устаревает
ж) число дней, после устаревания пароля для блокировки учётной записи
з) дней, отсчитывая с 1 января 1970 года, когда учётная запись будет заблокирована
и) зарезервированное поле
Файл gshadow так же накладывает дополнительную функциональность, вкупе с защищенным хранением паролей групп. Он имеет следующую структуру:
Рисунок 21.
Имя группы – имя, используемое для удобства использования таких программ, как newgrp.
Шифрованный пароль – используется при смене группы командой newgrp. Пароль для групп может отсутствовать.
Администратор группы – пользователь, имеющий право изменять пароль с помощью gpasswd.
Список пользователей – В этом поле через запятую отображаются те пользователи, у которых по умолчанию (в файле /etc/passwd) назначена другая группа.