Používatelia

linux_server.jpg Mi­nu­le sme si po­sta­vi­li cvič­nú sieť. Ve­rím, že fun­gu­je dob­re a do­ká­že­me sa pin­gnúť z kaž­dé­ho po­čí­ta­ča na os­tat­né. Ak pin­gy preš­li, má­me is­to­tu, že sieť je z har­dvé­ro­vej, ale aj zo sof­tvé­ro­vej strán­ky priec­hod­ná. To je zá­klad ús­pec­hu pri bu­do­va­ní in­for­mač­né­ho sys­té­mu.

Vždy, keď zis­tí­me ne­fun­kčnosť ur­či­tej služ­by ale­bo pro­ce­su, eš­te prv, než všet­ko „roz­ha­sí­me“ pri hľa­da­ní po­ten­ciál­nej chy­by, over­me, či je sieť „ži­vá“. A na to niet lep­šie­ho pros­tried­ku, ako je ping. Ten­to­raz sa bu­de­me ve­no­vať zá­kla­dom ad­mi­nis­trá­cie server­a. Nie­že­by sme už ne­ma­li ne­ja­ké zá­kla­dy, ale po­zrie­me sa na to troc­hu po­kro­či­lej­šie. To pre­to, aby sme ve­de­li, čo ro­bí­me, keď nie­čo ro­bí­me.

Pra­vid­lo č. 1 (naj­hlav­nej­šie)
Keď všet­ko zly­há, ot­vo­rí­me ma­nuál. V tom­to prí­pa­de ma­nuá­lo­vé strán­ky, kto­ré sú sú­čas­ťou ope­rač­né­ho sys­té­mu Li­nux. Pre­čo? Po pr­vé, člo­vek ne­má slo­niu pa­mäť. Ne­mô­že si za­pa­mä­tať všet­ko, obzvlášť nie rôz­ne pa­ra­met­re prí­ka­zu a ich for­mál­ny zá­pis.
Po dru­hé, my si tu po­vie­me tie naj­čas­tej­šie po­uží­va­né pa­ra­met­re prís­luš­né­ho prí­ka­zu. Ale spra­vid­la kaž­dý z nich má eš­te nie­koľ­ko ďal­ších, me­nej po­uží­va­ných, ale za­to cen­ných pa­ra­met­rov.
Len na zo­pa­ko­va­nie (veď sme už na li­nuxovej stred­nej!), ma­nuá­lo­vé strán­ky vy­vo­lá­me prí­ka­zom
man me­no_prí­ka­zu.
Za me­no_prí­ka­zu mô­že­me nie­ke­dy po­užiť aj me­no sú­bo­ru. Ma­nuá­lo­vé strán­ky sa stá­le dop­ra­cú­va­jú, pre­to sa skú­šaj­me spý­tať ma­nuá­lo­vých strá­nok na vše­li­čo. Bu­de­me prek­va­pe­ní, koľ­kok­rát náj­de­me správ­nu od­po­veď.

Jed­nou zo zá­klad­ných čin­nos­tí správ­cu server­a je vy­tvá­ra­nie, mo­di­fi­ká­cia ale­bo ma­za­nie po­uží­va­te­ľov v sys­té­me. Po­ved­zme si nie­čo o po­uží­va­te­ľoch a ich sku­pi­nách.

Po­uží­va­te­lia
Fi­lo­zo­fia Li­nuxu je za­lo­že­ná na tom, že kaž­dý prog­ram ale­bo sú­bor nie­ko­mu pat­rí. To zna­me­ná, že Li­nux ne­mô­že ne­mať po­uží­va­te­ľov. Má te­da as­poň jed­né­ho po­uží­va­te­ľa a tým je root. V Li­nuxe exis­tu­je nie­koľ­ko ty­pov po­uží­va­te­ľov. De­lí­me ich na bež­ných a špe­ciál­nych po­uží­va­te­ľov. Bež­ní po­uží­va­te­lia sú tí, kto­rých do sys­té­mu za­ve­die­me my správ­co­via, te­da napr. anic­ka, jko­vac, ma­tejb, di­rek­tor, sklad­nik1 a po­dob­ne. Špe­ciál­nych po­uží­va­te­ľov vy­tvo­rí Li­nux sám, a to buď pri in­šta­lá­cii sys­té­mu, ale­bo niek­to­ré­ho prog­ra­mu. Tí­to po­uží­va­te­lia sú pev­ne zvia­za­ní s čin­nos­ťou sys­té­mu ale­bo prog­ra­mu, kto­rý ich vy­tvo­ril. Prík­la­dom ta­ké­ho špe­ciál­ne­ho po­uží­va­te­ľa je napr. bin, adm, lp, sync, apac­he a iní. Pre­čo exis­tu­jú, to sa doz­vie­me nes­kôr. Za­tiaľ nám sta­čí ve­dieť, že exis­tu­jú.

Sku­pi­ny
So sku­pi­na­mi je to po­dob­né ako s po­uží­va­teľ­mi. Ta­kis­to exis­tu­jú sku­pi­ny, kto­ré vy­tvo­ril sám sys­tém, a tie, kto­ré sme vy­tvo­ri­li my správ­co­via. V dis­tri­bú­cii Red­Hat sa pri vy­tvo­re­ní no­vé­ho po­uží­va­te­ľa vy­tvo­rí zá­ro­veň sku­pi­na to­ho is­té­ho me­na. Tej­to sku­pi­ne ho­vo­rí­me im­pli­cit­ná sku­pi­na. V iných dis­tri­bú­ciách mô­že­me náj­sť jed­nu spo­loč­nú sku­pi­nu s náz­vom users, kto­rej čle­no­via bu­dú na­mi na­de­fi­no­va­ní po­uží­va­te­lia. Ako správ­co­via však naj­čas­tej­šie bu­de­me de­fi­no­vať sku­pi­ny, kto­ré bu­dú zob­ra­zo­vať reál­nu po­do­bu sys­té­mu. Ak bu­de­me po­uží­vať sieť v niek­to­rom vý­rob­nom po­dni­ku, prav­de­po­dob­ne vy­tvo­rí­me sku­pi­ny ma­naz­ment, vy­ro­ba, sklad, uc­to, expe­di­cia, lo­gis­ti­ka a po­dob­ne. Do sku­pín pri­ra­ďu­je­me po­uží­va­te­ľov so spo­loč­ným pra­cov­ným za­me­ra­ním. Je to lo­gic­ké, pre­to­že ľu­dia z jed­né­ho od­de­le­nia pra­cu­jú na spo­loč­ných úlo­hách, a pre­to chce­me, aby ma­li spo­loč­né – sku­pi­no­vé – prá­va.

Kaž­dý po­uží­va­teľ (bež­ný či špe­ciál­ny) je v Li­nuxe iden­ti­fi­ko­va­ný po­mo­cou iden­ti­fi­kač­né­ho čís­la po­uží­va­te­ľa. Ozna­ču­je sa UID (User IDen­ti­fi­ca­tor).
Ta­kis­to sku­pi­na má pri­ra­de­né iden­ti­fi­kač­né čís­lo sku­pi­ny – GID (Group IDen­ti­fi­ca­tor).
Pri pri­de­ľo­va­ní UID a GID exis­tu­jú v Li­nuxe ur­či­té pra­vid­lá:
Ad­mi­nis­trá­tor root má UID a GID naj­niž­šie – rov­né nu­le. Špe­ciál­ni po­uží­va­te­lia ma­jú UID a GID v roz­sa­hu 1 až 499. Bež­ní, správ­com de­fi­no­va­ní po­uží­va­te­lia a sku­pi­ny ma­jú UID a GID rov­né 500 a vy­ššie.

My ako správ­co­via sa ne­mu­sí­me trá­piť pri de­fi­no­va­ní no­vých po­uží­va­te­ľov a sku­pín do sys­té­mu, aké má­me pri­de­liť UID a GID. To za nás za­bez­pe­čia po­moc­né nás­tro­je, ako je use­radd ale­bo grou­padd. Na čís­la UID a GID v Li­nuxe nad­vä­zu­jú prís­tu­po­vé prá­va k jed­not­li­vým sú­bo­rom.
(Spo­meň­me si! V Li­nuxe sa VŠET­KO ja­ví ako sú­bor!!! Te­da aj rôz­ne pe­ri­fér­ne za­ria­de­nia, ako je mo­dem, CD_ROM, tla­čia­reň, ale aj prí­kaz či dá­ta).

Vy­tvá­ra­nie po­uží­va­te­ľov
Kaž­dý po­uží­va­teľ v Li­nuxe je cha­rak­te­ri­zo­va­ný tý­mi­to pr­vka­mi:
- prih­la­so­va­cím me­nom
- hes­lom
- pri­ra­de­nou sku­pi­nou
- do­mov­ským ad­re­sá­rom

Pri prih­la­so­va­ní do sys­té­mu sa mu­sí kaž­dý po­uží­va­teľ iden­ti­fi­ko­vať prih­la­so­va­cím me­nom (lo­gin) a hes­lom (password). Na tie­to dve po­lož­ky sa ho ope­rač­ný sys­tém Li­nux spý­ta vždy, keď sa po­uží­va­teľ po­kú­si vstú­piť do sys­té­mu.

Ako sme uvied­li, kaž­dý po­uží­va­teľ by mal byť pri­ra­de­ný do niek­to­rej sku­pi­ny (ale strik­tne ne­mu­sí). A kaž­dý bež­ný po­uží­va­teľ (ok­rem pár vý­ni­miek) má pri­de­le­ný pra­cov­ný ad­re­sár, kto­ré­mu ho­vo­rí­me do­mov­ský ad­re­sár. Do­mov­ský ad­re­sár bež­né­ho po­uží­va­te­ľa (špe­ciál­ni po­uží­va­te­lia do­mov­ský ad­re­sár spra­vid­la ne­pot­re­bu­jú) sa nac­hád­za na jed­not­nom mies­te ako po­dad­re­sár, kto­ré­ho ná­zov je zhod­ný s lo­go­va­cím me­nom po­uží­va­te­ľa, napr. ad­re­sár /ho­me/orav­mir. Vý­nim­ku tvo­rí po­uží­va­teľ root, kto­rý má svoj pra­cov­ný ad­re­sár pria­mo v ko­re­ni sú­bo­ro­vé­ho stro­mu, te­da /root.

Sú­bo­ry passwd a sha­dow
Všet­ci po­uží­va­te­lia v Li­nuxe (a Unixe všeo­bec­ne) sú evi­do­va­ní v sú­bo­re passwd. Ten sa nac­hád­za v ad­re­sá­ri /etc.
Po­zri­me sa na vý­pis č. 1, kde je frag­ment sú­bo­ru /etc/passwd:

root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/no­lo­gin dae­mon:x:2:2:dae­mon:/sbin:/sbin/no­lo­gin adm:x:3:4:adm:/var/adm:/sbin/no­lo­gin lp:x:4:7:lp:/var/spool/lpd:/sbin/no­lo­gin sync:x:5:0:sync:/sbin:/bin/sync shut­down:x:6:0:shut­down:/sbin:/sbin/shut­down
halt:x:7:0:halt:/sbin:/sbin/halt
apac­he:x:48:48:Apac­he:/var/www:/sbin/no­lo­gin
orav­mir:x:500:500::/ho­me/orav­mir:/bin/bash
ho­me-pc$:x:501:501::/ho­me/ho­me-pc$:/bin/bash
mir­ka:x:502:502::/ho­me/mir­ka:/bin/bash
kat­ka:x:503:503::/ho­me/kat­ka:/bin/bash
Kaž­dý ria­dok sú­bo­ru pred­sta­vu­je jed­né­ho po­uží­va­te­ľa. Ria­dok sa skla­dá z po­lo­žiek, kto­ré sú od­de­le­né dvoj­bod­kou.
Čo zna­me­na­jú jed­not­li­vé po­lia:
- lo­go­va­cie me­no po­uží­va­te­ľa (user­na­me) – je to me­no, kto­ré po­uží­va­teľ za­dá­va pri prih­la­so­va­ní na vý­zvu lo­gin. Spra­vid­la sa pí­še ma­lý­mi pís­me­na­mi, aby ne­doš­lo k zby­toč­ným zmät­kom. Lo­go­va­cie me­no po­uží­va­te­ľa mu­sí byť jed­noz­nač­né, ne­mô­že­me mať v Li­nuxe dvoch po­uží­va­te­ľov s me­nom ora­vec, aj ke­by sa lí­ši­li hes­lom!
- za­šif­ro­va­né hes­lo (password) – tec­hnic­ky tá­to po­lož­ka ob­sa­hu­je hes­lo po­uží­va­te­ľa. Ak na tom­to mies­te vi­dí­me znak x (niek­de aj *), ide o tie­ňo­vé hes­lo (vy­svet­lí­me ďa­lej)
- UID – ako sme si po­ve­da­li, to­to čís­lo je spo­je­né s po­uží­va­te­ľom a vi­nie sa ce­lým sys­té­mom
- GID – im­pli­cit­ný sku­pi­no­vý iden­ti­fi­ká­tor – je to čís­lo sku­pi­ny v ča­se prih­lá­se­nia
- opis po­uží­va­te­ľa (user des­crip­tion) – tá­to po­lož­ka ob­sa­hu­je opis­né in­for­má­cie o po­uží­va­te­ľo­vi. To mô­že byť je­ho sku­toč­né me­no, napr. Mir­ka Orav­co­vá, ale­bo drob­ná po­znám­ka, napr. prog­ra­má­tor v Ky­lixe. Ak nie je tá­to po­lož­ka vy­pl­ne­ná, v sú­bo­re passwd sa ja­ví ako prázd­ny znak (nič med­zi dvo­ma dvoj­bod­ka­mi).
- do­mov­ský ad­re­sár po­uží­va­te­ľa – ná­zov ad­re­sá­ra je zhod­ný s lo­gin me­nom po­uží­va­te­ľa na da­nom mies­te, te­da /ho­me/lo­gin_me­no_pou­ží­va­te­ľa, napr. /ho­me/mir­ka, /ho­me/kat­ka
- po­uží­va­teľ­ský prí­ka­zo­vý pro­ce­sor – shell. V Li­nuxe mô­že­me po­uží­vať nie­koľ­ko rôz­nych prí­ka­zo­vých pro­ce­so­rov (Pro­sím, ne­za­mie­ňaj­me si v tom­to prí­pa­de slo­vo „pro­ce­sor“ so sú­čias­tkou s tým is­tým me­nom, kto­rá je sr­dcom po­čí­ta­ča. Slo­vo pro­ce­sor zna­čí „vy­ko­ná­vač“. Shell je ob­do­bou com­mand.com v pros­tre­dí DOS/Win­dows.) Po­čas vý­vo­ja Li­nuxu sa stal naj­pou­ží­va­nej­ším shellom tzv. bash (Bour­ne Again Shell). Špe­ciál­ni po­uží­va­te­lia spra­vid­la ne­pot­re­bu­jú shell, a pre­to je tá­to po­lož­ka nas­ta­ve­ná na /sbin/no­lo­gin ale­bo /bin/fal­se a po­dob­ne, čím sú nas­me­ro­va­né „do stra­te­na“.

Všim­ni­me si pri­ra­de­nie UID a GID. Nep­la­tí, že UID mu­sí byť rov­na­ké s GID. Zá­ro­veň sme schop­ní z vý­pi­su vy­čí­tať, koľ­ko je sku­toč­ných bež­ných po­uží­va­te­ľov. Sú to orav­mir, ho­me-pc$, mir­ka, kat­ka a, sa­moz­rej­me, root. Zvy­šok sú špe­ciál­ni po­uží­va­te­lia.

Hes­lá
Vráť­me sa na chví­ľu k hes­lám. Hes­lo je kom­bi­ná­cia zna­kov, skla­da­jú­ca sa z pís­men, čís­lic a špe­ciál­nych zna­kov, kto­rá slú­ži na ove­re­nie to­tož­nos­ti po­uží­va­te­ľa. Hes­lo by ma­lo byť mi­ni­mál­ne 6 zna­kov dl­hé a ne­ma­lo by prek­ro­čiť roz­sah riad­ka, te­da 80 zna­kov. Je zrej­mé, že čím dlh­šie hes­lo, tým ná­roč­nej­šie je je­ho od­ha­le­nie. Aby ne­bo­lo mož­né hes­lo od­ha­liť, hes­lo sa šif­ru­je.

Ne­dáv­no
V mi­nu­los­ti sa hes­lá šif­ro­va­li šif­ro­va­cím al­go­rit­mom DES a ich šif­ro­va­ná po­do­ba sa uk­la­da­la pria­mo do sú­bo­ru /etc/passwd na dru­hú po­zí­ciu (tam, kde je dnes znak x ale­bo *).
Pri prih­la­so­va­ní po­uží­va­te­ľa sa po za­da­ní me­na to­to ove­ri­lo v sú­bo­re passwd. Po za­da­ní hes­la sa to­to za­da­né hes­lo za­šif­ro­va­lo al­go­rit­mom DES a ten­to za­šif­ro­va­ný re­ťa­zec zna­kov sa po­rov­nal s tým, kto­rý bol ulo­že­ný v sú­bo­re passwd. Ak doš­lo k zho­de me­na a za­šif­ro­va­ných re­ťaz­cov, po­uží­va­teľ bol iden­ti­fi­ko­va­ný a bol mu umož­ne­ný vstup do sys­té­mu.
Ale ako to už vo sve­te cho­dí, med­zi na­mi exis­tu­jú aj rôz­ni ne­nec­hav­ci a po­ten­ciál­ni škod­co­via, kto­rí sa pod úč­tom niek­to­ré­ho po­uží­va­te­ľa sna­žia vstú­piť do sys­té­mu a na­ro­biť tam ša­ra­pa­tu. Sa­moz­rej­me, naj­rad­šej si vy­be­ra­jú účet to­ho naj­vyš­šie­ho, te­da roo­ta. Je­ho lo­gin je jas­ný, je to root, sta­čí len uhád­nuť je­ho hes­lo. Keď­že je sú­bor passwd bež­ne prís­tup­ný na čí­ta­nie všet­kým po­uží­va­te­ľom v Li­nuxe, sta­či­lo z ne­ho zis­tiť za­šif­ro­va­ný re­ťa­zec, kto­rý uk­rý­val hes­lo roo­ta. Po­tom po­mo­cou slov­ní­ko­vej me­tó­dy sta­čí od­ha­liť hes­lo roo­ta. Vzhľa­dom na stá­le ras­tú­ci vý­kon vý­poč­to­vej tec­hni­ky to už netr­vá me­sia­ce, ale je to otáz­ka ho­dín!!!

Dnes
Pre­to sa v zá­uj­me zvý­še­nia bez­peč­nos­ti pris­tú­pi­lo k dvom kro­kom:
Po pr­vé, hes­lá sa šif­ru­jú do­ko­na­lej­ším al­go­rit­mom MD5 a po dru­hé, už sa neuk­la­da­jú do sú­bo­ru /etc/passwd, ale do po­moc­né­ho sú­bo­ru /etc/sha­dow. Tým­to hes­lám ho­vo­rie­va­me tie­ňo­vé hes­lá.
Do sú­bo­ru passwd sa na dru­hú po­zí­ciu u kaž­dé­ho po­uží­va­te­ľa vlo­ží znak x (ale­bo * ), čo zna­čí od­kaz na sú­bor sha­dow. Sku­toč­né za­šif­ro­va­né hes­lo sa ulo­ží prá­ve v tom­to sú­bo­re sha­dow. Ten na roz­diel od sú­bo­ru passwd už nie je voľ­ne prís­tup­ný, ale mô­že doň za­pi­so­vať a čí­tať iba root.
Po­zri­me sa na vzor vý­pi­su sú­bo­ru /etc/sha­dow – vý­pis č. 2.

root:$1$9zYuijoY$R2TF0m9VQDNt.RWNY9vz./:12283:0:99999:7::: bin:*:12283:0:99999:7::: dae­mon:*:12283:0:99999:7::: adm:*:12283:0:99999:7:::
lp:*:12283:0:99999:7:::
sync:*:12283:0:99999:7:::
shut­down:*:12283:0:99999:7:::
halt:*:12283:0:99999:7:::
apac­he:!!:12283:0:99999:7:::
orav­mir:$1$SIf01A1y$VpRuw8EiprTRy.AKaT­cDy1:12316:0:99999:7:::
ho­me-pc$:!!:12316:0:99999:7:::
mir­ka:$1$Rz7js9C2$tV2Lo­GO­B38vvjYg9Mbowy/:12321:0:99999:7:::
kat­ka:$1$CsGJzICP$DgCfqQnWpzP/mi­dEAr­DJi1:12321:0:99999:7:::
Vi­dí­me, že sa v tom­to sú­bo­re nac­hád­za­jú lo­gin me­ná po­uží­va­te­ľov de­fi­no­va­ných v sú­bo­re passwd. Ok­rem za­šif­ro­va­ných he­siel sa tu nac­hád­za­jú aj ďal­šie dô­le­ži­té in­for­má­cie, via­žu­ce sa k hes­lu po­uží­va­te­ľa. Po­ďme sa po­zrieť na jed­not­li­vé po­lož­ky (opäť sú jed­not­li­vé po­lož­ky od­de­le­né dvoj­bod­kou):
- lo­go­va­cie me­no po­uží­va­te­ľa – je to­tož­né s pr­vou po­lož­kou v sú­bo­re passwd
- za­šif­ro­va­né hes­lo – tu sa nac­hád­za za­šif­ro­va­ná po­do­ba sku­toč­né­ho hes­la, tzv. tie­ňo­vé hes­lo. Všim­ni­me si, že u po­uží­va­te­ľa root je to re­ťa­zec $1$9zYuijoY$R2TF0m9VQDNt.RWNY9vz./, čo je už po­mer­ne dosť ná­roč­né na od­ha­le­nie. Ak je na tej­to po­zí­cii na­mies­to re­ťaz­ca prázd­ny znak, to zna­me­ná, že kon­krét­ne­mu po­uží­va­te­ľo­vi ne­bo­lo hes­lo sta­no­ve­né
- po­sled­ná zme­na hes­la – to­to čís­lo udá­va po­čet dní od 1. ja­nuá­ra 1970, keď bo­la vy­ko­na­ná po­sled­ná plat­ná zme­na hes­la
- po­čet dní, po kto­rých mô­že byť hes­lo zme­ne­né. Oby­čaj­ne je to hod­no­ta 0 (nu­la), čo zna­čí, že hes­lo mô­že byť zme­ne­né tak čas­to, ako to po­uží­va­teľ po­tre­bu­je
- po­čet dní, po kto­rých mu­sí byť hes­lo zme­ne­né. To­to čís­lo rep­re­zen­tu­je po­čet dní, po kto­rých up­ly­nu­tí mu­sí byť hes­lo zme­ne­né; ak zme­ny hes­la nie sú vy­nú­te­né, po­lož­ka ob­sa­hu­je hod­no­tu 99999
- po­čet dní, o koľ­ko vop­red bu­de po­uží­va­teľ upo­ve­do­me­ný, že plat­nosť je­ho hes­la vy­pr­ší. Oby­čaj­ne je po­uží­va­teľ upo­ve­do­me­ný o vy­pr­ša­ní plat­nos­ti hes­la týž­deň dop­re­du, pre­to je na tej­to po­zí­cii hod­no­ta 7
- po­čet dní med­zi skon­če­ním plat­nos­ti hes­la a za­blo­ko­va­ním úč­tu. Ak ne­po­ža­du­je­me blo­ko­va­nie úč­tu, tá­to po­lož­ka ob­sa­hu­je hod­no­tu –1 ale­bo je práz­dna
- po­čet dní od 1. ja­nuá­ra 1970, keď doš­lo (ale­bo dôj­de) k za­blo­ko­va­niu úč­tu. Ak nie je po­ža­do­va­né za­blo­ko­va­nie úč­tu, po­lož­ka ob­sa­hu­je hod­no­tu –1 ale­bo je práz­dna
- re­zer­va – tá­to po­lož­ka je prip­ra­ve­ná na bu­dú­ce po­uži­tie a bý­va práz­dna

Te­raz je na­mies­te otáz­ka, či nie je jed­no­duc­hšie za­šif­ro­va­né hes­lo uvád­zať pria­mo v sú­bo­re /etc/passwd a ten­to sú­bor znep­rís­tup­niť všet­kým ok­rem roo­ta, tak ako je to pri sú­bo­re /etc/sha­dow.
Ne­mož­no! Pre­čo?
Z his­to­ric­kých dô­vo­dov niek­to­ré prog­ra­my pra­cu­jú so sú­bo­rom /etc/passwd. Ke­by sme ho znep­rís­tup­ni­li, tie­to prog­ra­my by pres­ta­li fun­go­vať. Pre­to sa sú­bor passwd nec­há­va na­ďa­lej prís­tup­ným na čí­ta­nie všet­kým a sa­mot­né hes­lá sa nac­hád­za­jú v sú­bo­re sha­dow, nep­rís­tup­nom pre os­tat­ných po­uží­va­te­ľov.

Slov­ní­ko­vá me­tó­da
Už sme tu spo­me­nu­li od­ha­le­nie hes­la po­mo­cou slov­ní­ko­vej me­tó­dy. To­mu­to od­ha­le­niu sa ho­vo­rí slan­go­vo pre­lo­me­nie hes­la ale­bo skrá­te­ne prielom. Tá­to ob­lasť pat­rí už do bez­peč­nos­ti sys­té­mu, ale urob­me si ma­lú pres­tá­voč­ku a po­ved­zme si, v čom spo­čí­va prin­cíp slov­ní­ko­vej me­tó­dy:
Aby sme to správ­ne po­cho­pi­li, vži­me sa do ro­ly hac­ke­ra, kto­rý chce vnik­núť do náš­ho sys­té­mu. Naj­prv mu­sí­me zís­kať za­šif­ro­va­ný re­ťa­zec hes­la roo­ta. (Ako to uro­bí­me, to nie je dô­le­ži­té pre tú­to ukáž­ku!) Má­me ho a vie­me, že je to re­ťa­zec $1$9zYuijoY$R2TF0m9VQDNt.RWNY9vz./. Po­uži­je­me ten is­tý šif­ro­va­cí al­go­rit­mus, akým je to­to hes­lo šif­ro­va­né. Ten je – bo­hu­žiaľ – ve­rej­ne zná­my a bý­va to DES ale­bo mo­der­nej­ší MD5.

Po­tom po­uži­je­me zoz­nam rôz­nych slov, mien, náz­vov a po­dob­ne, o kto­rých sa dom­nie­va­me, že ich mo­hol po­uží­va­teľ pri tvor­be hes­la po­užiť. Vez­me­me pr­vé slo­vo, za­šif­ru­je­me al­go­rit­mom, po­rov­ná­me so zís­ka­ným re­ťaz­com. Ak sa nez­ho­du­jú, po­kra­ču­je­me s nas­le­du­jú­cim slo­vom dov­te­dy, kým sa re­ťaz­ce zho­du­jú. Ak náj­de­me zhod­ný re­ťa­zec (bi­ngo!), od­ha­li­li sme hes­lo roo­ta. Jed­no­duc­hé, však? Mu­sí­me mať na pa­mä­ti, že zoz­nam týc­hto slov, kto­ré­mu ho­vo­rí­me slov­ník (od­tiaľ aj ná­zov slov­ní­ko­vej me­tó­dy), dnes už rá­ta mi­lió­ny slov a je bež­ne dos­tup­ný na inter­ne­te vrá­ta­ne prog­ra­mov na auto­ma­tic­ké šif­ro­va­nie a po­rov­ná­va­nie re­ťaz­cov.

Aké po­uče­nie ply­nie z na­pí­sa­né­ho?
A) Voľ­me správ­ne hes­lá! Slov­ník ob­sa­hu­je slo­vá, kto­ré sa bež­ne nac­hád­za­jú v ho­vo­ro­vej re­či a v rôz­nych ja­zy­koch, me­ná, priez­vis­ká, dá­tu­my a po­dob­ne. Ak ste sa už stret­li s niek­to­rou sie­ťou, vie­te, že po­uží­va­te­lia si dá­va­jú ako hes­lá me­ná svo­jich blíz­kych, me­ná zvie­ra­cích mi­lá­či­kov ale­bo ich dá­tu­my na­ro­de­nia! Tak mi ver­te, že to­to od­ha­lí slov­ní­ko­vá me­tó­da za nie­koľ­ko mi­nút!
B) Meň­me čas­to hes­lá! Nie­len svo­je roo­tov­ské, ale núť­me k to­mu aj na­šich po­uží­va­te­ľov, napr. vhod­ným nas­ta­ve­ním po­lo­žiek v sú­bo­re /etc/sha­dow!
C) Hes­lá uta­juj­me! Nie je nič hor­šie, ako keď si po­uží­va­teľ po do­nú­te­ní zme­ní hes­lo, a aby ho ná­ho­dou ne­za­bu­dol, na­pí­še si ho ce­ru­zou na mo­ni­tor ale­bo klá­ves­ni­cu! (Dos­tá­vam z to­ho sr­dco­vý ko­laps!)

Po­znám­ka:
Veľ­mi čas­to sa mi stá­va, že mi za­vo­lá po­uží­va­teľ a po­vie mi, aby som mu po­ve­dal je­ho hes­lo. On si z nez­na­los­ti mys­lí, že ja ho viem pre­čí­tať „tam niek­de v tých sú­bo­roch“. Ale ako je z uve­de­né­ho zrej­mé, ani root (bez po­uži­tia hac­ker­ských me­tód) ne­do­ká­že zis­tiť hes­lo po­uží­va­te­ľa. A to je asi je­di­ná vec, čo root – pán všet­kých pá­nov (ca­po di tut­ti ca­pi) – v Li­nuxe ne­do­ká­že. Inak do­ká­že nao­zaj všet­ko! Pre­to ta­ké­mu­to zá­bud­liv­co­vi mô­žem ja – ako root – iba hes­lo zme­niť, po­ve­dať mu ho a nás­led­ne ho do­nú­tiť, aby si ho zme­nil, aby ani root ne­ve­del, aké hes­lo má.


Ďal­šie čas­ti >>

Zdroj: PC Revue 11/2003



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Li­nux prak­tic­ky ako server úvod
Linux ako server je pomerne zložitá technológia. Jej výhodou je určitá modularita, keď sa nemusí nastaviť celý server naraz, ale postupne. čítať »
 
Syn­chro­ni­zá­cia ča­su v Li­nuxe
V predchádzajúcich dvoch častiach sme si ukázali, že Linux a všeobecne open source softvér sa nenachádza iba v serveroch a počítačových sieťach, ale aj v iných zariadeniach bežnej domácej potreby a v oblasti hobby. čítať »
 
Za­ria­de­nia za­lo­že­né na Li­nuxe
V predchádzajúcej časti sme si spomenuli definície nie - ktorých pojmov z oblasti nášho záujmu, teda Linuxu. Vysvetlili sme si, čo je to Open Source, Public Domain, proprietárny softvér a GNU GPL. Tentoraz ukážeme, ako sa tieto pojmy využívajú v praxi. čítať »
 
Po­jmy z ob­las­ti
Tentoraz na chvíľu trochu odbočíme od bezpečnosti Linuxu a jeho siete. V tejto neštandardnej časti seriálu sa mu budeme venovať len okrajovo. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí II.
V predchádzajúcej časti sme sa začali zaoberať bezpečnosťou bezdrôtových sietí. Poukázali sme na rôzne faktory zneužitia siete, podstatu rizika a vysvetlili sme základné prvky bezpečnosti. čítať »
 
Bez­peč­nosť bez­drô­to­vých sie­tí I.
V predchádzajúcich častiach sme sa venovali bezpečnosti linuxového servera. Riešili sme firewall, bezpečnosť prístupu na internet, zaoberali sme sa demilitarizovanou zónou a podobne. čítať »
 
Údr­žba lo­gov – kon­fi­gu­rá­cia log­ro­ta­te
V predchádzajúcej časti sme sa venovali rotácii logov. Vysvetlili sme princíp ukladania logov, spôsob, ako sa rotujú, a uviedli sme niečo o tom, čo a ako treba nastaviť čítať »
 
Údr­žba lo­gov – ro­tá­cia
V predošlej časti sme sa zaoberali spôsobom logovania informácií na iný alebo vzdialený počítač a ukázali sme, ako riešiť problém s logovaním uzavretých procesov pomocou chroot. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter