… uff, hasta que por fin me animo a postear , y esta vez estaremos estudiando el archivo ‘/etc/shadow’.

Este es otro de los archivos que, cuando movido por la curiosidad (cuando eres novato), lo abres con un editor de texto y te quedas perplejo preguntandote… “Pero, y que es esto!!??". Lo cierras, y te quedas con la idea en la cabeza: “Aja! y se supone que debi entenderlo, cieto!?". Mi intencion el dia de hoy es tratar de quitarle lo ‘mistico’ o ‘enredado’ a esos archivos, y dar un paseo por la sintaxis del mismo …

Comencemos con lo esencial: El manual page

Content-type: text/html

SHADOW
Seccion: Formato de Archivos (5)


NOMBRE

shadow - archivo de passwords encriptados


DESCRIPCIÓN
shadow contiene la información encriptada para las cuentas de usuarios y opcionalmente la información de caducidad del password.


Está incluido

Nombre de usuario
Password Encriptado

Dias desde 1 Enero, 1970 que el password fue cambiado
Dias antes de que el password pueda ser cambiado

Dias despues de los cuales el password debe ser cambiado
Dias antes en los que el usuario será advertido antes de que el password expire

Dias despues de 1 Enero de 1970, en los cuales la cuenta será deshabilitada luego del password expirar
Un campo reservado


El password debe ser llenado. El password encriptado consiste en 13 a 24 carácteres del alfabeto de 64 caracteres de a hasta z, A hasta Z, 0 al 9, . y /. Referirse a crypt(3) para detalles acerca de como es interpretada esta cadena.


El dia del ultimo cambio de password es dado como el número de dias desde 1 Enero, 1970. El password no puede ser cambiado nuevamente hasta que esos dias hayan pasado, y debe ser cambiado antes número máximo de dias. Si el número mínimo de dias requerido es mayor que el máximo numero de dias permitido, este password no puede ser cambiado por el usuario.


Una cuenta es considerada como inactiva y deshabilitada si el password no es cambiado dentro de el número de dias especificado luego de que el password expire. Una cuenta tambien será deshabilitada en los dias especificados no obstante la información de expiracion restante.


Esta información trasciende cualquier password o información de tiempo de password presente en /etc/passwd.


Este archivo no debe ser leible por usuarios regulares si se mantendrá la seguridad de los passwords.


ARCHIVOS

/etc/passwd - user account information

/etc/shadow - encrypted user passwords


VER TAMBIEN

chage(1), login(1), passwd(1), su(1), passwd(5), pwconv(8), pwunconv(8), sulogin(8)


AUTOR

Julianne Frances Haugh (jockgrrl@ix.netcom.com)

De modo que tomando como ejemplo la linea correspondiente a mi usuario, en /etc/shadow , tenemos algo como esto:

jespinal:$1$N9L1HjIf$.YbfoPCCZmrqemk4zwYUb4:13918:0:::::0

Se sigue viendo medio feo, pero por lo menos se entiende, ya que sabemos que segun el man page:

Nombre de usuario

jespinal

Password Encriptado

$1$N9L1HjIf$.YbfoPCCZmrqemk4zwYUb4

Dias desde 1 Enero, 1970 que el password fue cambiado

13918

Dias antes de que el password pueda ser cambiado

0

Dias despues de los cuales el password debe ser cambiado

 vacio, es decir, no debo cambiarlo :)

Dias antes en los que el usuario será advertido antes de que el password expire

 tampoco estoy usando este campo 

Dias despues de 1 Enero de 1970, en los cuales la cuenta será deshabilitada luego del password expirar

ya que mi cuenta no va  a expirar, tampoco se usa esto

Un campo reservado

0

Te preguntaras, “Y ya!? es todo?"… respuesta: Si , es que cuando no nos detenemos a leer nos asustamos por poca cosa

Espero que este articulo te haya sido de utilidad, y que te aclare varias dudas.
Proximamente explicare la como es que se genera ese password encriptado (por si necesitas crear un usuario manualmente )

Hasta pronto.

--
Jose P. Espinal
http://blog.slackware-es.com