Różnica pomiędzy ! vs !! vs * w / etc / shadow

38

Drugie pole w /etc/shadowpliku Linux reprezentuje hasło. Widzieliśmy jednak, że:

  1. Niektóre pola hasła mogą mieć pojedynczy wykrzyknik 

    <account>:!:.....

  2. Niektóre pola hasła mogą mieć podwójny wykrzyknik 

    <account>:!!:.....

  3. Niektóre pola hasła mogą mieć znak gwiazdki

    <account>:*:.....

Z niektórych badań w Internecie i za pośrednictwem tego wątku mogę zrozumieć, że *oznacza to, że hasło nigdy nie zostało ustalone, !oznacza zablokowane.

Czy ktoś może wyjaśnić, co oznacza podwójne wykrzyknik ( !!)? i czym różni się od ( !)?

linux passwd shadow JavaTec
źródło
Jakiej dystrybucji używasz?
muru
Cześć Muru, jestem nowy w Uniksie i próbuję utworzyć skrypt, który będzie działał na RHEL 6.6 i HP-UX B.11.23
JavaTec
3
„Zgodnie z konwencją konta, które nie są przeznaczone do logowania (np. Bin, demon, sshd) zawierają tylko jedną gwiazdkę w polu hasła. Pamiętaj, że nie ma nic specjalnego w„ * ”, to tylko jeden z wielu znaków które nie mogą wystąpić w prawidłowym zaszyfrowanym haśle (patrz crypt (3)). ” - Strona man OpenBSD dla passwd (5) . Oczekiwałbym ! lub !! technicznie nie różni się, czy jest to prawidłowy plik passwd, ani w kwestii logowania. Jednak niektóre narzędzia mogą mieć specjalne wsparcie.
TOOGAM,
1
Nie używaj doco BSD jako odniesień do tego. Baza danych kont obsługuje różne rzeczy i nawet nie ma /etc/shadowpliku. Nie umieszczaj odpowiedzi w komentarzach . ☺
JdeBP

Odpowiedzi:

31

Obie "!" i "!!" obecność w polu hasła oznacza, że ​​konto jest zablokowane.

Jak można przeczytać w następującym dokumencie: „!!” Wpis konta w cieniu oznacza, że ​​konto użytkownika zostało utworzone, ale nie otrzymało jeszcze hasła. Do czasu otrzymania początkowego hasła przez sysadmin jest ono domyślnie zablokowane.

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/4/html/System_Administration_Guide/s2-redhat-config-users-process.html

Rui F. Ribeiro
źródło
4
To może być prawda w systemach Red Hat, ale niekoniecznie gdzie indziej - w Ubuntu lub Arch Linux nowo utworzone konto bez hasła nadal ma !, a nie tylko !!.
muru
2
To prawda, że ​​nigdy nie widziałem „!!” w systemie Debian. Domyślam się, że OP używa systemu opartego na RH lub SuSE.
Rui F Ribeiro,
Dziękuję za szybkie odpowiedzi, czy powyższe wyjaśnienia dostarczone przez Rui - będą również dobre dla HP-ux?
JavaTec
4
@JavaTec Niekoniecznie: Myślę, że wszystkie jednorożce, które /etc/shadowmają to samo pole, ale sposób, w jaki w polu hasła są przechowywane informacje inne niż hasło, jest różny. Sprawdź dokumentację HP-UX, zaczynając od strony podręcznika shadow.
Gilles „SO- przestań być zły”
1
/etc/shadowDo niedawna HP-UX nie miał jeszcze : przed HP-UX 11.11, opcje były albo klasyczne bezcieniowe, /etc/passwdalbo „Trusted Computing Base”, które przechowywały skróty haseł poszczególnych użytkowników i inne informacje o kontach w nazwanych plikach /tcb/files/auth/<initial>/<username>, odczytywanych tylko przez root. W HP-UX 11.11 /etc/shadowzostał wprowadzony jako opcjonalny dodatek , w 11.23 była to opcja w podstawowym systemie operacyjnym, aw 11.31 TCB zostało ostatecznie wycofane.
telcoM
10

Warto również zauważyć, <account>::.....że nie jest wymagane hasło (puste hasło).

Jeśli tworzysz użytkownika tylko do ssh, możesz <account>::0:0:99999:7:::wymagać, aby użytkownik ustawił hasło (tj. Używał do sudo) przy pierwszym logowaniu.

CoolAJ86
źródło
8
Uważaj na to. Puste pole oznacza, że ​​nie ma hasła i wystarczy nacisnąć ENTER, aby się zalogować, przynajmniej w konsoli.
Rui F Ribeiro
W man shadowodniesieniu do pola zaszyfrowanego hasła: „To pole może być puste, w którym to przypadku do uwierzytelnienia jako określonej nazwy logowania nie są wymagane hasła”. <- Pozostawienie tego pola pustym skutkuje otwarciem konta i rzeczywiście tego należy unikać!
Laas
Zauważ, że wiele implementacji SSH domyślnie blokuje logowanie na kontach z zerowym hasłem: sudo /usr/sbin/sshd -T| grep emptyzwraca: „zezwolenie na puste hasła ”
Brian Huntley,