cosa significa star nel file passwd?

14

Ho un computer su cui devo avviare, ma le password sembrano essere false. Inoltre, non riesco a montare l'unità per la scrittura, ed è un processore mips, quindi non posso attaccarlo su un'altra macchina per eseguirlo.

Comunque, passwd file ha alcuni utenti che assomigliano a questo, con una stella dopo il nome utente. vuol dire password vuota o cosa?

root:8sh9JBUR0VYeQ:0:0:Super-User,,,,,,,:/:/bin/ksh
sysadm:*:0:0:System V Administration:/usr/admin:/bin/sh
diag:*:0:996:Hardware Diagnostics:/usr/diags:/bin/csh
daemon:*:1:1:daemons:/:/dev/null
bin:*:2:2:System Tools Owner:/bin:/dev/null
uucp:*:3:5:UUCP Owner:/usr/lib/uucp:/bin/csh
sys:*:4:0:System Activity Owner:/var/adm:/bin/sh
adm:*:5:3:Accounting Files Owner:/var/adm:/bin/sh
lp:VvHUV8idZH1uM:9:9:Print Spooler Owner:/var/spool/lp:/bin/sh
nuucp::10:10:Remote UUCP User:/var/spool/uucppublic:/usr/lib/uucp/uucico
auditor:*:11:0:Audit Activity Owner:/auditor:/bin/sh
dbadmin:*:12:0:Security Database Owner:/dbadmin:/bin/sh
rfindd:*:66:1:Rfind Daemon and Fsdump:/var/rfindd:/bin/sh

users password data-recovery

— j0h
fonte

12

Tieni presente che hai pubblicato hash della password DES. Gli hash delle password DES sono abbastanza facili da rompere al giorno d'oggi. Non collegare questo computer a una rete fino a quando non hai modificato le password.

— Gilles 'SO- smetti di essere malvagio' il

2

Vorrei raccomandare che non si collega il computer alla rete Internet pubblica a tutti , ad essere sinceri. Inseriscilo su una rete protetta da un firewall abbastanza a lungo per assorbirne i dati, certo, ma poi dovrebbe essere ritirato. Se il sistema operativo è vecchio come sembra, è probabilmente pieno di buchi di sicurezza dal kernel su numeri di sequenza iniziale TCP prevedibili, ad esempio.

— zwol,

La password per l' lputente è ridicolmente debole. E poiché le password basate su DES sono limitate ad ASCII e possono contenere solo 8 caratteri, non si ottengono più di 53 bit di entropia. Se possibile, passa a un hash più forte e modifica le password.

— Kasperd,

Aggiungendo alcuni numeri al mio commento precedente: il mio laptop potrebbe violare la lppassword in 630 millisecondi. La rootpassword è molto più forte. Ho lasciato correre un attacco di forza bruta per cinque ore prima di terminarlo. Non ha rotto la rootpassword in quelle cinque ore. Ovviamente dovresti comunque seguire la precedente raccomandazione e cambiare la password.

— Kasperd,

per la cronaca conosci quella storia che la password più popolare è password? bene password1 non può essere molto indietro. davvero ridicolmente debole.

— Hildred

22

Devi controllare man passwd :

Se la password crittografata è impostata su un asterisco (*), l'utente non sarà in grado di accedere utilizzando login (1), ma potrà comunque accedere utilizzando rlogin (1), eseguire processi esistenti e avviarne di nuovi tramite rsh (1), cron (8), at (1) o filtri di posta, ecc. Cercare di bloccare un account semplicemente modificando il campo shell produce lo stesso risultato e consente inoltre l'uso di su (1).

Di solito gli account con *nel campo password non hanno una password, ad es .: disabilitato per l'accesso. Questo è diverso dall'account senza password, il che significa che il campo password sarà vuoto e che è quasi sempre una cattiva pratica.

— taliezin
fonte

13

Gli account con password sono gli account con un glob di base64 senza senso nel secondo campo:

root:8sh9JBUR0VYeQ:0:0:Super-User,,,,,,,:/:/bin/ksh
lp:VvHUV8idZH1uM:9:9:Print Spooler Owner:/var/spool/lp:/bin/sh

Questo computer sembra utilizzare il tradizionale crypt(3)hash della password basato su DES . Questo hash è piuttosto debole per gli standard moderni; se non riesci a ottenere un accesso root in nessun altro modo, puoi probabilmente recuperare la password con forza bruta, usando John lo Squartatore o software simile. Inoltre, tecnicamente non si tratta di base64 ma di una codifica più vecchia e simile, ma probabilmente non dovrai preoccuparti di questo.

La distinzione tra :*:e :!:menzionata in altre risposte è troppo nuova per essere rilevante per il tuo problema. Su un sistema UNIX così vecchio, ci sono solo tre cose diverse che possono apparire nel campo della password:

alice::1001:1001:Alice Can Log In Without A Password:/home/alice:/bin/ksh
bob:WSy1W41d4D1Gw:1002:1002:Bob Must Supply A Password:/home/bob:/bin/ksh
carol:ANYTHING ELSE:1003:1003:Carol Cannot Log In At All:/home/carol:/bin/ksh

Se il contenuto del campo password è vuoto, è possibile accedere senza password.

Se il contenuto del campo è l' crypthash valido di una password, è possibile accedere con quella password.

Altrimenti non puoi accedere come quell'utente. *è solo la cosa convenzionale da usare - visivamente ovviamente non è un hash di password valido. Probabilmente è stato scelto da chiunque abbia scritto il passwdprogramma.

(Il punto di avere gli ID utente nel file delle password che non riescono ad accedere è che possono ancora possedere i file, possono comunque avere cronlavori e i demoni possono usare setuidper assumere quell'identità. In effetti, è buona pratica eseguire tutti i demoni (che non devono essere eseguiti come root) con tali ID utente, in modo da avere un certo livello di sicurezza che solo il demone è in esecuzione con tale identità.)

(Gli account con /dev/nullnel campo shell sono bloccati contro l' rootuso super eseguire programmi con quell'identità utente, così come l'accesso regolare. Oggi è molto più probabile che vengano visualizzati /bin/falseo /sbin/nologinutilizzati a tale scopo; sospetto che su questo sistema quest'ultimo lo faccia non esiste e il primo è uno script di shell.)

(La password per Bob è "bobpassw", crittografata utilizzando il vecchio algoritmo, ma su una moderna macchina Linux; potrebbe non essere ciò che il tuo computer produrrebbe per la stessa password e salt. Uno dei motivi per cui il vecchio algoritmo non è considerato valido ha più un limite massimo di 8 caratteri in una password.)

(So che il sistema è davvero vecchio perché utilizza l'hash delle password basato su DES, perché non utilizza un file shadow e perché la shell di root è /bin/kshpiuttosto che qualcosa di più nuovo ed ergonomico.)

— Zwol
fonte

Pensavo che la password di Bob non avesse dato ragione al modulo.

— Giosuè,

@Joshua risolto ora :)

— zwol

Se è necessario avviare la macchina, l'avvio non sarà più veloce in modalità di ripristino o l'avvio con un CD / DVD live USB e cambierà la password con un'altra rispetto all'utilizzo di John the Ripper?

— YoMismo,

@YoMismo Un computer così vecchio (la mia ipotesi è dai primi anni '90) potrebbe non avere una modalità di recupero. Probabilmente ha la capacità di avviarsi da un tipo di supporto rimovibile, ma potrebbe essere abbastanza difficile trovare un CD o un nastro di avvio o altro. Un liveCD moderno non funzionerà sicuramente .

— zwol,

@zwol Proverei ad avviare il sistema con una vera distribuzione e chroot al suo vecchio sistema, molto probabilmente passwdnon avrebbe dovuto essere montato --bind / dev / sys ....

— YoMismo

8

Ciò significa che è disabilitato per l'accesso diretto. È un utente utilizzato per l'esecuzione di servizi o da utilizzare per rlogin. Controlla https://en.wikipedia.org/wiki/Passwd#Password_file

— Marco
fonte

Questo computer è piuttosto vecchio, non ero sicuro che i significati cambiassero nel tempo.

— j0h

@WouterVerhelst: è disabilitato per l'accesso. Non è disabilitato per rlogin. Devi guardare la risposta più da vicino.

— Brian,

Ho cambiato la mia risposta. Spero che ora sia più corretto per @WouterVerhelst.

— Marco

3

Riguardo alla tua vera domanda, vedi la risposta di taliezin (e accetta quella;)

Informazioni sull'altro problema: cerca la stringa 8sh9JBUR0VYeQ sul disco per capire il / i blocco / i disco / i in cui risiede. Quindi aggiungi quel blocco / i disco in un file, sostituisci quella stringa con un hash di password noto (la vecchia cripta () della stessa lunghezza) e riscrivere i blocchi del disco nella posizione precedente, possibilmente eseguendo un backup completo del disco prima. Poiché questo approccio non modifica le dimensioni del file, non è necessario aggiornare i metadati del file system.

— Bodo Thiesen
fonte