{{tag> shadow passwd bash #FpInfor #Daw #DawMp01 #DawMp01Uf1 #DawMp01Uf01 #Dam #DamMp01 #DamMp01Uf1 #DamMp01Uf01 #Asix #AsixMp01 #AsixMp01Uf1 #Smx #SmxMp02 #SmxMp04 }} ====== Paraules de pas a GNU/Linux ====== Actualment, els passwords en els sistemes GNU/Linux es guarden encriptats en el fitxer ''/etc/shadow'' Com sempre, a la wikipedia (en anglès) hi podeu trobar molta informació molt detallada: https://en.wikipedia.org/wiki/Passwd#Shadow_file Abans de seguir s'ha de tenir clar que el camí més senzill per un usuari per canviar la seva paraula de pas és utilitzant l'ordre ''passwd'' que ofereix el sistema. De la mateixa forma, l'usuari root pot canviar la paraula de pas de qualsevol usuari del sistema. A continuació explicarem de forma breu quin és el format d'aquest fitxer i com es pot crear des d'un script un nou password per un usuari. ====== /etc/shadow ====== Una línia del fitxer té el següent format usuari:$6$qZEyh2xoai8x4YVo$rOolQlZ6Tpg/tjwm8QaMYcZmEyoIRy8BIYZsg2be1jB.F.wS8irHxKbyyzUqu4Ub6hRTPf52URSKc9P6finbT/:18097:0:99999:7::: On podem veure que el símbol '':'' s'usa per a separar els camps. * El primer camp és el l'id d'usuari que ha de quadrar amb el que hi ha al fitxer ''/etc/passwd'' * El segon camp és la paraula de pas i és el que ens interessa * La resta de camps són els dies des que es va canviar, els que falten perquè s'hagi de canviar, etc ===== Format de la paraula de pas encriptada ===== Per tal de llegir aquest segon camp el primer que hem de tenir en compte és que aquí el símbol de ''$'' s'empra per a separar els camps. És a dir, en l'exemple anterior veiem que la paraula de pas té tres camps **$**6**$**qZEyh2xoai8x4YVo**$**rOolQlZ6Tpg/tjwm8QaMYcZmEyoIRy8BIYZsg2be1jB.F.wS8irHxKbyyzUqu4Ub6hRTPf52URSKc9P6finbT/ - ''6'' --> Que correspon al sistema d'encriptació - ''qZEyh2xoai8x4YVo'' --> Que correspon a la "sal" utilitzada - ''rOolQlZ6Tpg/tjwm8QaMYcZmEyoIRy8BIYZsg2be1jB.F.wS8irHxKbyyzUqu4Ub6hRTPf52URSKc9P6finbT/'' --> Paraula de pas encriptada utilitzant el sistema d'encriptació i la sal indicades en els dos camps anteriors. ==== Sistema d'encriptació ==== Actualment, el sistema que es fa servir per encriptar és sha512, i li correspon el valor 6, antigament s'havia utilitzat MD5 (que li correspon el valor d 1) però es va comprovar que era massa feble. ==== Sal o "Salt" ==== En informàtica, la sal (o en anglès "//salt//") és un valor que s'afegeix a una funció per tal de variar-la lleugerament, sense canviar-ne el significat final, sempre que qui ho hagi de llegir sàpiga quina sal es va afegir originalment. En el cas del fitxer shadow es fa servir un valor aleatori per a cada nova paraula de pas, i això en dificulta els atacs per diccionari o per força bruta. ===== Com encriptar una paraula amb sha512 ===== Hi ha diverses formes per a fer-ho ( https://lmgtfy.app/?q=how+to+sha512+bash ), tanmateix una que funciona en molts sistemes és usant l'ordre ''openssl''. A aquesta ordre li hem d'indicar l'algorisme que volem fer servir (amb la mateixa numeració que té /etc/shadow) així com la sal que vulguem (opcionalment). En l'exemple anterior la paraula de pas era "bytes.cat", per tant, si cridem l'ordre: $> openssl passwd -6 i li indiquem la paraula ''bytes.cat'' ens generarà la paraula de pas encriptada Si ho fem, veurem el següent: Password: bytes.cat Verifying - Password: bytes.cat $6$5g2uj5bUteo2pBPy$dZ6e2suhYACiWtoRvIB0zj4jhOlwqMzbVZqls.WDxqbHTc/Io6zpvRkqdklfwIdqcaRnK3Z5WW1yBlO1xRM9o/ ====== Exercici ====== Si compareu les dues paraules de pas encriptades veureu que no són iguals, tot i que totes dues, segons el que hem explicat, corresponen a la mateixa paraula de pas, no? Perquè s'han generat dues línies diferents si en tots dos casos la paraula és ''bytes.cat'' * **$**6**$**qZEyh2xoai8x4YVo**$**rOolQlZ6Tpg/tjwm8QaMYcZmEyoIRy8BIYZsg2be1jB.F.wS8irHxKbyyzUqu4Ub6hRTPf52URSKc9P6finbT/ **(original)** * **$**6**$**5g2uj5bUteo2pBPy**$**dZ6e2suhYACiWtoRvIB0zj4jhOlwqMzbVZqls.WDxqbHTc/Io6zpvRkqdklfwIdqcaRnK3Z5WW1yBlO1xRM9o/ **(nou valor)** . . . . . . . . . . . . La solució per tal d'aconseguir exactament la mateixa línia és indicar-li exactament la mateixa sal. És a dir; $> openssl passwd -6 --salt qZEyh2xoai8x4YVo Password: bytes.cat $6$qZEyh2xoai8x4YVo$rOolQlZ6Tpg/tjwm8QaMYcZmEyoIRy8BIYZsg2be1jB.F.wS8irHxKbyyzUqu4Ub6hRTPf52URSKc9P6finbT/ Veiem com en aquest cas, com que hem indicat la mateixa sal que en l'exemple inicial, al posar la mateixa paraula ha generat el mateix password que l'original. https://bytes.cat/passwords_gnu_linux#etc_shadow