Actualment, els passwords en els sistemes GNU/Linux es guarden encriptats en el fitxer /etc/shadow
Com sempre, a la wikipedia (en anglès) hi podeu trobar molta informació molt detallada: https://en.wikipedia.org/wiki/Passwd#Shadow_file
Abans de seguir s'ha de tenir clar que el camí més senzill per un usuari per canviar la seva paraula de pas és utilitzant l'ordre passwd que ofereix el sistema. De la mateixa forma, l'usuari root pot canviar la paraula de pas de qualsevol usuari del sistema.
A continuació explicarem de forma breu quin és el format d'aquest fitxer i com es pot crear des d'un script un nou password per un usuari.
Una línia del fitxer té el següent format
usuari:$6$qZEyh2xoai8x4YVo$rOolQlZ6Tpg/tjwm8QaMYcZmEyoIRy8BIYZsg2be1jB.F.wS8irHxKbyyzUqu4Ub6hRTPf52URSKc9P6finbT/:18097:0:99999:7:::
On podem veure que el símbol : s'usa per a separar els camps.
/etc/passwd
Per tal de llegir aquest segon camp el primer que hem de tenir en compte és que aquí el símbol de $ s'empra per a separar els camps.
És a dir, en l'exemple anterior veiem que la paraula de pas té tres camps
$6$qZEyh2xoai8x4YVo$rOolQlZ6Tpg/tjwm8QaMYcZmEyoIRy8BIYZsg2be1jB.F.wS8irHxKbyyzUqu4Ub6hRTPf52URSKc9P6finbT/
6 –> Que correspon al sistema d'encriptacióqZEyh2xoai8x4YVo –> Que correspon a la «sal» utilitzadarOolQlZ6Tpg/tjwm8QaMYcZmEyoIRy8BIYZsg2be1jB.F.wS8irHxKbyyzUqu4Ub6hRTPf52URSKc9P6finbT/ –> Paraula de pas encriptada utilitzant el sistema d'encriptació i la sal indicades en els dos camps anteriors.Actualment, el sistema que es fa servir per encriptar és sha512, i li correspon el valor 6, antigament s'havia utilitzat MD5 (que li correspon el valor d 1) però es va comprovar que era massa feble.
En informàtica, la sal (o en anglès «salt») és un valor que s'afegeix a una funció per tal de variar-la lleugerament, sense canviar-ne el significat final, sempre que qui ho hagi de llegir sàpiga quina sal es va afegir originalment.
En el cas del fitxer shadow es fa servir un valor aleatori per a cada nova paraula de pas, i això en dificulta els atacs per diccionari o per força bruta.
Hi ha diverses formes per a fer-ho ( https://lmgtfy.app/?q=how+to+sha512+bash ), tanmateix una que funciona en molts sistemes és usant l'ordre openssl. A aquesta ordre li hem d'indicar l'algorisme que volem fer servir (amb la mateixa numeració que té /etc/shadow) així com la sal que vulguem (opcionalment).
En l'exemple anterior la paraula de pas era «bytes.cat», per tant, si cridem l'ordre:
$> openssl passwd -6
i li indiquem la paraula bytes.cat ens generarà la paraula de pas encriptada
Si ho fem, veurem el següent:
Password: bytes.cat Verifying - Password: bytes.cat $6$5g2uj5bUteo2pBPy$dZ6e2suhYACiWtoRvIB0zj4jhOlwqMzbVZqls.WDxqbHTc/Io6zpvRkqdklfwIdqcaRnK3Z5WW1yBlO1xRM9o/
Si compareu les dues paraules de pas encriptades veureu que no són iguals, tot i que totes dues, segons el que hem explicat, corresponen a la mateixa paraula de pas, no?
Perquè s'han generat dues línies diferents si en tots dos casos la paraula és bytes.cat
.
.
.
.
.
.
.
.
.
.
.
.
La solució per tal d'aconseguir exactament la mateixa línia és indicar-li exactament la mateixa sal.
És a dir;
$> openssl passwd -6 --salt qZEyh2xoai8x4YVo Password: bytes.cat $6$qZEyh2xoai8x4YVo$rOolQlZ6Tpg/tjwm8QaMYcZmEyoIRy8BIYZsg2be1jB.F.wS8irHxKbyyzUqu4Ub6hRTPf52URSKc9P6finbT/
Veiem com en aquest cas, com que hem indicat la mateixa sal que en l'exemple inicial, al posar la mateixa paraula ha generat el mateix password que l'original. https://bytes.cat/passwords_gnu_linux#etc_shadow