o que significa star in passwd file?

14

Eu tenho um computador no qual preciso inicializar, mas as senhas parecem ser falsas. Além disso, não consigo montar a unidade para gravação, e é um processador mips, portanto não posso colocá-la em outra máquina para executá-la.

De qualquer forma, o arquivo passwd tem alguns usuários parecidos com este, com uma estrela após o nome do usuário. isso significa senha em branco ou o quê?

root:8sh9JBUR0VYeQ:0:0:Super-User,,,,,,,:/:/bin/ksh
sysadm:*:0:0:System V Administration:/usr/admin:/bin/sh
diag:*:0:996:Hardware Diagnostics:/usr/diags:/bin/csh
daemon:*:1:1:daemons:/:/dev/null
bin:*:2:2:System Tools Owner:/bin:/dev/null
uucp:*:3:5:UUCP Owner:/usr/lib/uucp:/bin/csh
sys:*:4:0:System Activity Owner:/var/adm:/bin/sh
adm:*:5:3:Accounting Files Owner:/var/adm:/bin/sh
lp:VvHUV8idZH1uM:9:9:Print Spooler Owner:/var/spool/lp:/bin/sh
nuucp::10:10:Remote UUCP User:/var/spool/uucppublic:/usr/lib/uucp/uucico
auditor:*:11:0:Audit Activity Owner:/auditor:/bin/sh
dbadmin:*:12:0:Security Database Owner:/dbadmin:/bin/sh
rfindd:*:66:1:Rfind Daemon and Fsdump:/var/rfindd:/bin/sh

users password data-recovery

— j0h
fonte

12

Observe que você postou hashes de senha do DES. Atualmente, os hashes de senha DES são muito fáceis de quebrar. Não conecte este computador a uma rede até alterar as senhas.

— Gilles 'SO- stop be evil'

2

Eu recomendaria não ligar este computador à Internet pública em tudo , para ser franco. Coloque-o em uma rede com firewall por tempo suficiente para extrair dados dele, com certeza, mas deve ser retirado. Se o sistema operacional é tão antigo quanto parece, provavelmente está cheio de brechas de segurança do kernel em números de seqüência iniciais TCP previsíveis, por exemplo.

— Zwol 30/07/2015

A senha do lpusuário é ridiculamente fraca. E como as senhas baseadas em DES são limitadas a ASCII e podem ter apenas 8 caracteres, você não recebe mais de 53 bits de entropia. Alterne para um hash mais forte, se puder, e altere as senhas.

— kasperd

Adicionando alguns números ao meu comentário anterior: Meu laptop pode quebrar a lpsenha em 630 milissegundos. A rootsenha é muito mais forte. Deixei um ataque de força bruta por cinco horas antes de encerrá-lo. Não quebrou a rootsenha dentro dessas cinco horas. Mas é claro que você ainda deve seguir a recomendação anterior e alterar a senha.

— kasperd

para o registro, você conhece a história de que a senha mais popular é a senha? bem password1 não pode estar muito atrás. ridiculamente fraco mesmo.

— Hildred 31/07/2015

22

Você precisa verificar man passwd :

Se a senha criptografada estiver definida como um asterisco (*), o usuário não poderá efetuar o login usando o login (1), mas ainda poderá fazer o login usando o rlogin (1), executar processos existentes e iniciar novos através do rsh (1), cron (8), em (1) ou filtros de correio etc. A tentativa de bloquear uma conta simplesmente alterando o campo shell gera o mesmo resultado e permite, adicionalmente, o uso de su (1).

Normalmente, as contas com o *campo na senha não têm uma senha, por exemplo: desativado para login. Isso é diferente da conta sem senha, o que significa que o campo de senha ficará vazio e quase sempre é uma prática ruim.

— taliezin
fonte

13

As contas com senhas são as contas com uma quantidade absurda de base64 no segundo campo:

root:8sh9JBUR0VYeQ:0:0:Super-User,,,,,,,:/:/bin/ksh
lp:VvHUV8idZH1uM:9:9:Print Spooler Owner:/var/spool/lp:/bin/sh

Este computador parece estar usando o crypt(3)hash de senha tradicional baseado em DES . Esse hash é bastante fraco para os padrões modernos; se você não conseguir obter um login root de outra maneira, provavelmente poderá recuperar a senha com força bruta, usando John the Ripper ou software semelhante. Além disso, tecnicamente isso não é base64, mas uma codificação semelhante mais antiga, mas você provavelmente não precisa se preocupar com isso.

A distinção entre :*:e :!:mencionada em outras respostas é nova demais para ser relevante para o seu problema. Em um sistema UNIX tão antigo, existem apenas três coisas diferentes que podem aparecer no campo de senha:

alice::1001:1001:Alice Can Log In Without A Password:/home/alice:/bin/ksh
bob:WSy1W41d4D1Gw:1002:1002:Bob Must Supply A Password:/home/bob:/bin/ksh
carol:ANYTHING ELSE:1003:1003:Carol Cannot Log In At All:/home/carol:/bin/ksh

Se o conteúdo do campo senha estiver vazio, você poderá efetuar login sem senha.

Se o conteúdo do campo for o crypthash válido de alguma senha, você poderá efetuar login com essa senha.

Caso contrário, você não poderá efetuar login como esse usuário. *é apenas a coisa convencional a se usar - obviamente não é um hash de senha válido. Provavelmente foi escolhido por quem escreveu o passwdprograma.

(O objetivo de ter IDs de usuário no arquivo de senha que não podem efetuar login é que eles ainda podem possuir arquivos, ainda podem ter crontrabalhos e os daemons podem usar setuidpara assumir essa identidade. Na verdade, é uma prática recomendada executar todos os daemons (que não precisam ser executados como root) sob esses IDs de usuário, para que você tenha algum nível de garantia de que apenas o daemon está sendo executado sob essa identidade.)

(As contas /dev/nullno campo shell estão bloqueadas contra o rootuso sude programas sob essa identidade de usuário, bem como o logon regular. Atualmente, é muito mais provável que você veja /bin/falseou /sbin/nologinuse esse objetivo; suspeito que nesse sistema o último não existe e o primeiro é um script de shell.)

(A senha para Bob é "bobpassw", criptografada usando o algoritmo antigo, mas em uma máquina Linux moderna; pode não ser o que seu computador produziria para a mesma senha e sal. Um dos motivos pelos quais o algoritmo antigo não é considerado bom mais é que tem um limite superior rígido de 8 caracteres em uma senha.)

(Eu sei que o sistema é realmente antigo porque está usando hash de senha baseado em DES, porque não está usando um arquivo shadow e porque o shell do root é /bin/kshmais do que algo mais novo e mais ergonômico.)

— zwol
fonte

Eu pensei que a senha do bob não era muito boa no formulário.

— Joshua

@Joshua Fixed it now :)

— zwol 30/07/2015

Se ele precisar inicializar na máquina, não seria mais rápido inicializar no modo de recuperação ou inicializar com um CD / DVD ao vivo USB e alterar a senha para outra do que usar john the ripper?

— YoMismo 31/07

@YoMismo Um computador tão antigo (meu palpite é que é do início dos anos 90) pode não ter um modo de recuperação. Provavelmente tem a capacidade de inicializar a partir de algum tipo de mídia removível, mas pode ser bastante difícil encontrar um CD ou fita inicializável ou qualquer outra coisa. Um liveCD moderno definitivamente não vai funcionar.

— Zwol 31/07/2015

@zwol Eu tentaria iniciar o sistema com uma distribuição real e chroot para o sistema antigo, provavelmente passwd não teria necessidade de ter montado --bind / dev / sys ....

— yomismo

8

Isso significa que ele está desativado para login direto. É um usuário usado para executar serviços ou para rlogin. Verifique https://en.wikipedia.org/wiki/Passwd#Password_file

— Marco
fonte

Este computador é bastante antigo. Eu não tinha certeza se os significados mudavam com o tempo.

— J0h 30/07

@WouterVerhelst: está desativado para login. Não está desativado para o rlogin. Você tem que olhar a resposta mais de perto.

— 30715 Brian

Eu mudei minha resposta. Espero que agora seja mais correto para o @WouterVerhelst.

— Marco

3

Sobre sua pergunta real, consulte a resposta de taliezin (e aceite essa;)

Sobre o seu outro problema: procure a string 8sh9JBUR0VYeQ no disco para descobrir o (s) bloco (s) de disco em que reside. Em seguida, coloque o bloco em um arquivo, substitua essa string por um hash de senha conhecido (a cripta antiga () o mesmo comprimento) e escreva o (s) bloco (s) de disco de volta no local antigo - possivelmente fazendo um backup completo do disco antes. Como essa abordagem não altera o tamanho do arquivo, nenhum metadado do sistema de arquivos precisa ser atualizado.

— Bodo Thiesen
fonte