Różnica pomiędzy ! vs !! vs * w / etc / shadow

Drugie pole w /etc/shadowpliku Linux reprezentuje hasło. Widzieliśmy jednak, że:

Niektóre pola hasła mogą mieć pojedynczy wykrzyknik
```
<account>:!:.....
```
Niektóre pola hasła mogą mieć podwójny wykrzyknik
```
<account>:!!:.....
```
Niektóre pola hasła mogą mieć znak gwiazdki
```
<account>:*:.....
```

Z niektórych badań w Internecie i za pośrednictwem tego wątku mogę zrozumieć, że *oznacza to, że hasło nigdy nie zostało ustalone, !oznacza zablokowane.

Czy ktoś może wyjaśnić, co oznacza podwójne wykrzyknik ( !!)? i czym różni się od ( !)?

linux passwd shadow

— JavaTec
źródło

Jakiej dystrybucji używasz?

— muru

Cześć Muru, jestem nowy w Uniksie i próbuję utworzyć skrypt, który będzie działał na RHEL 6.6 i HP-UX B.11.23

— JavaTec

„Zgodnie z konwencją konta, które nie są przeznaczone do logowania (np. Bin, demon, sshd) zawierają tylko jedną gwiazdkę w polu hasła. Pamiętaj, że nie ma nic specjalnego w„ * ”, to tylko jeden z wielu znaków które nie mogą wystąpić w prawidłowym zaszyfrowanym haśle (patrz crypt (3)). ” - Strona man OpenBSD dla passwd (5) . Oczekiwałbym ! lub !! technicznie nie różni się, czy jest to prawidłowy plik passwd, ani w kwestii logowania. Jednak niektóre narzędzia mogą mieć specjalne wsparcie.

— TOOGAM,

Nie używaj doco BSD jako odniesień do tego. Baza danych kont obsługuje różne rzeczy i nawet nie ma /etc/shadowpliku. Nie umieszczaj odpowiedzi w komentarzach . ☺

— JdeBP

Odpowiedzi:

Obie "!" i "!!" obecność w polu hasła oznacza, że konto jest zablokowane.

Jak można przeczytać w następującym dokumencie: „!!” Wpis konta w cieniu oznacza, że konto użytkownika zostało utworzone, ale nie otrzymało jeszcze hasła. Do czasu otrzymania początkowego hasła przez sysadmin jest ono domyślnie zablokowane.

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/4/html/System_Administration_Guide/s2-redhat-config-users-process.html

— Rui F. Ribeiro
źródło

To może być prawda w systemach Red Hat, ale niekoniecznie gdzie indziej - w Ubuntu lub Arch Linux nowo utworzone konto bez hasła nadal ma !, a nie tylko !!.

— muru

To prawda, że nigdy nie widziałem „!!” w systemie Debian. Domyślam się, że OP używa systemu opartego na RH lub SuSE.

— Rui F Ribeiro,

Dziękuję za szybkie odpowiedzi, czy powyższe wyjaśnienia dostarczone przez Rui - będą również dobre dla HP-ux?

— JavaTec

@JavaTec Niekoniecznie: Myślę, że wszystkie jednorożce, które /etc/shadowmają to samo pole, ale sposób, w jaki w polu hasła są przechowywane informacje inne niż hasło, jest różny. Sprawdź dokumentację HP-UX, zaczynając od strony podręcznika shadow.

— Gilles „SO- przestań być zły”

/etc/shadowDo niedawna HP-UX nie miał jeszcze : przed HP-UX 11.11, opcje były albo klasyczne bezcieniowe, /etc/passwdalbo „Trusted Computing Base”, które przechowywały skróty haseł poszczególnych użytkowników i inne informacje o kontach w nazwanych plikach /tcb/files/auth/<initial>/<username>, odczytywanych tylko przez root. W HP-UX 11.11 /etc/shadowzostał wprowadzony jako opcjonalny dodatek , w 11.23 była to opcja w podstawowym systemie operacyjnym, aw 11.31 TCB zostało ostatecznie wycofane.

— telcoM

Warto również zauważyć, <account>::.....że nie jest wymagane hasło (puste hasło).

Jeśli tworzysz użytkownika tylko do ssh, możesz <account>::0:0:99999:7:::wymagać, aby użytkownik ustawił hasło (tj. Używał do sudo) przy pierwszym logowaniu.

— CoolAJ86
źródło

Uważaj na to. Puste pole oznacza, że nie ma hasła i wystarczy nacisnąć ENTER, aby się zalogować, przynajmniej w konsoli.

— Rui F Ribeiro

W man shadowodniesieniu do pola zaszyfrowanego hasła: „To pole może być puste, w którym to przypadku do uwierzytelnienia jako określonej nazwy logowania nie są wymagane hasła”. <- Pozostawienie tego pola pustym skutkuje otwarciem konta i rzeczywiście tego należy unikać!

— Laas

Zauważ, że wiele implementacji SSH domyślnie blokuje logowanie na kontach z zerowym hasłem: sudo /usr/sbin/sshd -T| grep emptyzwraca: „zezwolenie na puste hasła ”

— Brian Huntley,