Autor Tópico: Shadow  (Lida 4553 vezes)

Offline zeroday

  • Usuário Ubuntu
  • *
  • Mensagens: 1.083
    • Ver perfil
Shadow
« Online: 02 de Setembro de 2010, 09:50 »
Em /etc tem um arquivo chamado shadow que tem as senhas do  sistema inclusive a senha root , minha duvida eh pra que serve este arquivo se as senhas la estao tds criptografadas?
"Lutar sempre , vencer na medida do possível , desistir jamais."

Offline clcampos

  • Administrador
  • Usuário Ubuntu
  • *****
  • Mensagens: 10.790
  • .:: User Linux #439596 ::.
    • Ver perfil
Re: Shadow
« Resposta #1 Online: 02 de Setembro de 2010, 09:56 »
Ainda bem que as senhas estão criptografadas, não é?

E elas servem exatamente para comparação, para saber se você digitou a senha correta.

A criação da senha do shadow (de forma bastante geral) é um processo interessante. Primeiro o sistema pega sua senha e mais um conjunto de caracteres e criptografa ela colocando no shadow, tanto a senha quanto os caracteres usados.

Ai quando você digita a informação de usuário e senha (no login, por exemplo) o sistema pega o conjunto de caracteres no arquivo /etc/shadow, a senha digitada e criptografa novamente e depois compara. Se forem iguais o acesso é liberado, senão não é.

Assim o sistema não conhece sua senha, e é impossível chegar na senha através dos dados do arquivo /etc/shadow.

Outra coisa interessante é que o uso do conjunto de caracteres (aleatórios) usados em conjunto com a senha para o processo de criptografia traz mais segurança, pois se eles não existissem e dois usuários tivessem a mesma senha os dados criptografados seriam idênticos, o que facilitaria muito descobrir senhas, apenas pela comparação.

Não vou me estender mais sobre o assunto, porque isso dá um tópico enorme.

[]'s

Cristiano
Cristiano/Timóteo - MG
.: Como Fazer Perguntas de Forma Inteligente :.                
Com dúvida? pesquise!

Offline ucastrobr

  • Usuário Ubuntu
  • *
  • Mensagens: 693
  • Usa Ubuntu 11.10 (Oneiric Ocelot)
    • Ver perfil
Re: Shadow
« Resposta #2 Online: 02 de Setembro de 2010, 10:44 »
Digite no google :
unshad.c e shadow


Spock – "After a time, you may find that having is not so pleasing a thing, after all, as wanting. It is not logical, but it is often true."
("Depois um de tempo você vai perceber que ter algo pode não ser tão prazeroso quanto deseja-lo. Isto não é lógico, mas frequentemente é verdade.")

Offline clcampos

  • Administrador
  • Usuário Ubuntu
  • *****
  • Mensagens: 10.790
  • .:: User Linux #439596 ::.
    • Ver perfil
Re: Shadow
« Resposta #3 Online: 02 de Setembro de 2010, 11:05 »
Digite no google :
unshad.c e shadow

Algumas informações sobre o shadow nos links da pesquisa (só vi uns poucos primeiros) esta bem desatualizada, inclusive falando de windows 95.
Cristiano/Timóteo - MG
.: Como Fazer Perguntas de Forma Inteligente :.                
Com dúvida? pesquise!

Offline ucastrobr

  • Usuário Ubuntu
  • *
  • Mensagens: 693
  • Usa Ubuntu 11.10 (Oneiric Ocelot)
    • Ver perfil
Re: Shadow
« Resposta #4 Online: 02 de Setembro de 2010, 11:58 »
Na verdade ele é um script, com comandos baseado em Unix o que não desatualiza, o que pode acontecer é o caminho padrão do shadow mudar com o tempo daí teria que corrigir o caminho no script.
Por exemplo se você usa o Jhon the Ripp pode seguir o tuto abaixo, mas é lógico que você vai procurar a versão mais nova do programa, mas os comando são sempre os mesmo. É lógico quanto mais difícil a senha mais demorará para ser descoberta.
Tuto1 tem até um vídeozinho
Tuto2
Se quiser baixar manualmente
« Última modificação: 02 de Setembro de 2010, 12:00 por ucastrobr »
Spock – "After a time, you may find that having is not so pleasing a thing, after all, as wanting. It is not logical, but it is often true."
("Depois um de tempo você vai perceber que ter algo pode não ser tão prazeroso quanto deseja-lo. Isto não é lógico, mas frequentemente é verdade.")

Offline clcampos

  • Administrador
  • Usuário Ubuntu
  • *****
  • Mensagens: 10.790
  • .:: User Linux #439596 ::.
    • Ver perfil
Re: Shadow
« Resposta #5 Online: 02 de Setembro de 2010, 11:59 »
O que eu quis dizer é que a sintaxe do shadow esta diferente (entre os links e a atual), pode até ser que o script acompanhou a nova sintaxe, o que é normal e lógico que tenha acontecido, mas como fonte de aprendizagem os links iniciais estão meio atrasados.

É outro tema que não gosto de tratar assim... vai que tem algum usuário da minha rede por aqui aprendendo isso. :P
« Última modificação: 02 de Setembro de 2010, 12:01 por clcampos »
Cristiano/Timóteo - MG
.: Como Fazer Perguntas de Forma Inteligente :.                
Com dúvida? pesquise!

Offline ucastrobr

  • Usuário Ubuntu
  • *
  • Mensagens: 693
  • Usa Ubuntu 11.10 (Oneiric Ocelot)
    • Ver perfil
Re: Shadow
« Resposta #6 Online: 02 de Setembro de 2010, 12:50 »
É outro tema que não gosto de tratar assim... vai que tem algum usuário da minha rede por aqui aprendendo isso. :P

Mas isso não é problema para clcampos o gênio do Ubuntu com 10.000 mensagens no fórum.
Spock – "After a time, you may find that having is not so pleasing a thing, after all, as wanting. It is not logical, but it is often true."
("Depois um de tempo você vai perceber que ter algo pode não ser tão prazeroso quanto deseja-lo. Isto não é lógico, mas frequentemente é verdade.")

Offline zeroday

  • Usuário Ubuntu
  • *
  • Mensagens: 1.083
    • Ver perfil
Re: Shadow
« Resposta #7 Online: 02 de Setembro de 2010, 18:37 »
Mas minha duvida ainda se mantem , so tem permissao de ler e escrever no shadow o usuario root , entao pq estar criptografado? A segurança devia estar na senha root , pois com ela vc tem total poder sobre o sistema  (ou estou errado?) , por isso acho que não devia ser criptografado , pois so o root tem acesso a elas . Não achei bem claro a explicação de vcs de pq tem que estar criptografado , mas vlw a tentativa ;D   
"Lutar sempre , vencer na medida do possível , desistir jamais."

Offline clcampos

  • Administrador
  • Usuário Ubuntu
  • *****
  • Mensagens: 10.790
  • .:: User Linux #439596 ::.
    • Ver perfil
Re: Shadow
« Resposta #8 Online: 02 de Setembro de 2010, 21:00 »
O fato de apenas o root ter acesso ao arquivo é um item a mais para a segurança, que no caso não invalida a criptografia das senhas.

Se por qualquer motivo o usuário ter acesso de root ao seu sistema (senha fraca ou outra coisa), resta a ele ainda descobrir as senhas.

São vários os itens que, junto em um todo, formam a segurança do linux.
Cristiano/Timóteo - MG
.: Como Fazer Perguntas de Forma Inteligente :.                
Com dúvida? pesquise!

Offline zeroday

  • Usuário Ubuntu
  • *
  • Mensagens: 1.083
    • Ver perfil
Re: Shadow
« Resposta #9 Online: 03 de Setembro de 2010, 06:23 »
Convencido e agradecido a todos  ;D
"Lutar sempre , vencer na medida do possível , desistir jamais."