Хранение учетных записей пользователей

В GNU/Linux процедура аутентификации пользователя при входе в сеанс может быть проведена разными способами. Вот некоторые из них:

r хранение учетных записей в файлах;

r аутентификация с помощью системы Kerberos;

r аутентификация в NIS/NIS+;

r аутентификация в LDAP;

r использование специализированных систем аутентификации (например, TCB).

Файл /etc/passwd содержит учетные записи пользователей, а в файле /etc/shadow хранятся шифрованные пароли. Каждая запись в этих файлах соответствует од- ному пользователю системы. Поля записей разделены двоеточиями.

Структура записей в файле /etc/passwd следующая:

r имя пользователя;

r пароль — содержит символ x при использовании теневых паролей;

r UID пользователя;

r GID пользователя;

r справочная информацию о пользователе;

r домашний каталог пользователя;

r оболочка.

Права доступа, устанавливаемые на файл /etc/passwd, позволяют читать этот файл всем пользователям. Поэтому хранение шифрованного пароля во вто- ром поле этого файла представляет реальную угрозу безопасности, т. к. лю- бой злоумышленник, имеющий доступ к данной системе, может воспользо- ваться программами подбора паролей для взлома системы. Использование системы теневых паролей существенно снижает эту опасность, т. к. файл

/etc/shadow, где хранятся шифрованные пароли, не позволяет его читать ни- кому, кроме суперпользователя.

Структура файла /etc/shadow такова:

r имя пользователя;

r зашифрованный пароль;

r количество дней с 1 января 1970 г. до момента последней смены пароля;

r минимальное время жизни пароля;

r максимальное время жизни пароля;

r время до момента устаревания пароля, начиная с которого пользователь будет получать предупреждения о необходимости;

r период времени с момента устаревания пароля, по истечении которого учетная запись пользователя будет заблокирована;

r срок жизни учетной записи;

r девятое поле зарезервировано и в настоящее время в GNU/Linux не ис- пользуется.