Las contraseñas shadow permiten, además de proporcionar un lugar seguro en el que almacenar hashes de
contraseñas, definir varios opciones sobre las cuentas. A continuación tenemos una línea de ejemplo del archivo
‘/etc/shadow’ y una referencia a cada uno de los campos que posee (que están divididos por el carácter “:”)
fabian:$6$Bg2Wua7U$0TkAu5yxj:16368:1:60:7:30:17829:
Nombre de usuario
Contraseña cifrada, o si no esta definida dos admiraciones (!!). El formato de almacenamiento de la contraseña se explica al final de esta lista.
Días desde el 1 de enero del 1970 en que la contraseña fue cambiada por última vez. En el chage se etiqueta como “Last password change”
Mínimo de días antes que al usuario se le permite cambiar la contraseña. El chage lo indica como “Minimum number of days between password change”
Máximo número de días que se puede usar la misma contraseña. El chage lo etiqueta como: “Maximum number of days between password change”
Número de días antes que expire la contraseña que se empieza a avisar al usuario que debe cambiarla. El chage la etiqueta como: “Number of days of warning before password expires”
Una vez que se cumplan los días máximos para el cambio obligatorio de contraseña (campo 5), cuántos días deberán pasar hasta que la cuenta sea marcada como deshabilitada o “inactiva”. En el chage lo vemos como “Password inactive”
Días desde el 1 de enero del 1970 en que la cuenta se deshabilita. En el chage lo veremos como “Account expires”
Campo reservado
Las contraseñas (campo 1) van a ser almacenadas con el siguiente formato:
$ID$SALT$HASH
$ID: Es el algoritmo utilizado. En GNU/Linux, “$1$” es MD5, “$2a$” es Blowfish, "$2y$" es Blowfish (gestión correcta de caracteres de 8 bits), “$5$” es SHA-256 y “$6$” es SHA-512.
$SALT: Es el valor a utilizar para aumentar la complejidad del proceso de cifrado/hasheado de la contraseña, a fin de dificultar cualquier intento de crackeo de la misma.
$HASH: Es el resultado de procesar la contraseña ingresada por el usuario y el valor salt que ha sido seleccionado aleatoriamente
Existen algunos valores especiales que pueden ser utilizados en el campo 1 del archivo ‘/etc/shadow’, a saber:
Cadena vacía o “NP”: La cuenta no tiene definida una contraseña.
"!": La cuenta tiene la contraseña bloqueada, el usuario no va a poder ingresar al sistema utilizando su contraseña, pero otros métodos (por ejemplo, la clave SSH) pueden permitirse.
"*LK*" o "*": La cuenta está bloqueada , el usuario no va a poder ingresar al sistema utilizando su contraseña, pero otros métodos (por ejemplo, la clave SSH) pueden permitirse.
"!!": La contraseña no ha sido definida.
Con el comando “chage”, podemos modificar los valores relacionados con la expiración de contraseñas y restricciones en el manejo de las mismas.
chage username
chage -M username
chage -E
chage -W
1-Días transcurridos desde 1-1-1970 donde el password fue cambiado por última vez.
2-El mínimo número de días entre cambios de contraseña.
3-Días máximos de validez de la cuenta.
4-Días que avisa antes de caducar la contraseña.
5- Días después de que un password caduque para deshabiltar la cuenta
6- Fecha de caducidad. días desde 1-1-1970, donde la cuenta es deshabilatada y el usuario no podrá iniciar sesión
0 Comentarios