/ Etc / ছায়ার জন্য কেন ফাইলের অনুমতি 600 এ সেট করা আছে?

এর অনুমতিগুলি /etc/shadoware০০, যার অর্থ এটি রুট ব্যতীত কারও পক্ষে পঠনযোগ্য নয়।

তবে, এর অভ্যন্তরের সমস্ত পাসওয়ার্ডগুলি স্পষ্ট পাঠ্যে সংরক্ষণ করা হয়নি তবে হ্যাশ হিসাবে (যার অর্থ হ্যাশ থেকে মূল পাসওয়ার্ডটি গণনা করা অসম্ভব), কেন এটি প্রত্যেকের দ্বারা না পঠানো যায়?

অফলাইন জন্তু-আক্রমণ আক্রমণ রোধ করতে।

যদিও আপনি কোনও হ্যাশটিকে বিপরীত করতে পারবেন না, আপনি কোনও মিল খুঁজে না পাওয়া পর্যন্ত আপনি প্রতিটি সম্ভাব্য পাসওয়ার্ড হ্যাশ করার চেষ্টা করতে পারেন এবং ভাল হার্ডওয়্যার এবং ফাইলে স্থানীয় অ্যাক্সেসের মাধ্যমে প্রতি সেকেন্ডে কয়েক মিলিয়ন চেষ্টা করতে পারেন।

যদি ফাইলটির 644অনুমতি থাকে তবে যে কেউ আপনার সিস্টেমে লগইন করেছেন এমনকি অতিথির অধিবেশনেও এই ফাইলটি আপনার কম্পিউটারের বাইরে (কোনও ইউএসবি স্টিক অথবা দূরবর্তী মাধ্যমে scp) অনুলিপি করতে এবং একটি অফলাইন ব্রুট-ফোর্স আক্রমণ চেষ্টা করতে সক্ষম হবে , আপনার কম্পিউটারের তে এই কোন প্রমাণ গিয়েই ।

মনে রাখবেন যে উবুন্টুর অনুমতিগুলি আসলে 640, না 600:

$ ls -l /etc/shadow
-rw-r----- 1 root shadow 1239 Jun 25 04:35 /etc/shadow

যদিও এটি এখনও অন্যদের জন্য কোনও অনুমতি নেই এবং ডিফল্টরূপে, কেউই এই shadowগোষ্ঠীতে নেই, ততটা গুরুত্বপূর্ণ নয় ।

মূলত, হ্যাশগুলি সংরক্ষণ করা হত /etc/passwd(এ কারণেই এটি বলা হয় passwd), যেমনটি লিনাক্স তৈরি হওয়ার আগে, একটি হ্যাশ ক্র্যাক করা এমনকি তত্কালীন দুর্বল প্রকারগুলিও কার্যত অসম্ভব ছিল। শেষ পর্যন্ত, প্রসেসিং শক্তি এমন পর্যায়ে চলে গিয়েছিল যেখানে একটি হ্যাশ ক্র্যাক করা, কমপক্ষে অপেক্ষাকৃত দুর্বল পাসওয়ার্ড, সম্ভব হয়ে ওঠে।

এর অনুমতি পরিবর্তন /etc/passwdকরা 640বা 600কাজ করবে না, কারণ /etc/passwdসাধারণ ব্যবহারকারী হিসাবে পড়তে সক্ষম হওয়ার অনেকগুলি বৈধ কারণ রয়েছে (ইউআইডিগুলিকে ইউজারনেমে রূপান্তর করা, ব্যবহারকারীর পুরো নাম, ফোন নম্বর ইত্যাদি পাওয়া যায়), তাই হ্যাশগুলিতে সরানো হয়েছে /etc/shadow, যা 640অনুমতি দেওয়া হয়েছিল । একটি xএকটি ব্যবহারকারীর জন্য পাসওয়ার্ড হ্যাশ মাঠের জায়গায় /etc/passwdব্যবহার করা হয় যা নির্দেশ করে যে ব্যবহারকারীর জন্য হ্যাশ মধ্যে সংরক্ষিত হয় /etc/shadowপরিবর্তে।

প্রকৃতপক্ষে, ব্যবহারকারীর নাম এবং পাসওয়ার্ডগুলির সর্বজনীনভাবে পঠনযোগ্য তালিকা থেকে সরে যাওয়ার অনুমতি দেওয়ার জন্য / etc / ছায়া তৈরি করা হয়েছিল ।

সেখানে স্থির থাকুন, আসল উত্তরটি পাওয়ার আগে এটি আমাদের ইতিহাসের পাঠের কিছুটা হবে। আপনি যদি ইতিহাসের বিষয়ে চিন্তা না করেন তবে কিছুটা নিচে স্ক্রোল করুন।

পুরানো দিনগুলিতে, লিনাক্স সহ ইউনিক্স-এর মতো ওএসগুলি সাধারণত সমস্ত পাসওয়ার্ডগুলিতে / ইত্যাদি / পাসডাব্লুডে রাখে। এই ফাইলটি বিশ্ব পঠনযোগ্য ছিল এবং এখনও রয়েছে, কারণ এটিতে সংখ্যার ব্যবহারকারী আইডি এবং ব্যবহারকারীর নামগুলির মধ্যে উদাহরণস্বরূপ ম্যাপিংয়ের অনুমতি দেয় এমন তথ্য রয়েছে। এই তথ্য এমনকি সাধারণ ব্যবহারকারীদের পক্ষেও পুরোপুরি বৈধ উদ্দেশ্যগুলির জন্য অত্যন্ত কার্যকর, সুতরাং ফাইল ওয়ার্ল্ড পঠনযোগ্য হওয়া ব্যবহারের পক্ষে খুব উপকারী।

তারপরেও লোকেরা বুঝতে পেরেছিল যে একটি সুপরিচিত স্থানে কোনও ফাইলের সরল পাঠ্যে পাসওয়ার্ড থাকা যে কেউ লগইন করতে পারে সে নির্দ্বিধায় পড়তে পারে এটি একটি খারাপ ধারণা। সুতরাং পাসওয়ার্ডগুলি হ্যাশ করা হয়েছিল, এক অর্থে। এটি পুরানো "ক্রিপ্ট" পাসওয়ার্ড হ্যাশিং প্রক্রিয়া, যা প্রায়শই আধুনিক সিস্টেমে ব্যবহৃত হয় না, তবে প্রায়শই উত্তরাধিকারের উদ্দেশ্যে সমর্থিত হয়।

আপনার সিস্টেমে / ইত্যাদি / পাসডাব্লুটি একবার দেখুন। দ্বিতীয় ক্ষেত্রটি দেখুন, যা xসর্বত্র বলে ? এটি প্রশ্নযুক্ত অ্যাকাউন্টের জন্য হ্যাশ পাসওয়ার্ড ধারণ করে।

সমস্যাটি হ'ল লোকেরা / ইত্যাদি / পাসডাব্লুড ডাউনলোড করতে পারে, এমনকি এটি ডাউনলোডও করতে পারে না এবং পাসওয়ার্ডগুলি ক্র্যাক করার কাজ করে। কম্পিউটারগুলি খুব শক্তিশালী ছিল না, এটি কোনও বড় সমস্যা ছিল না ( দ্য কোকিলির ডিমের ক্লিফোর্ড স্টল, যেমন মনে আছে, 1980 এর দশকের মাঝামাঝি সময়ে আইবিএম পিসি ক্লাস সিস্টেমে একটি পাসওয়ার্ড হ্যাশ করার সময় এসেছে প্রায় এক সেকেন্ডের মতো ), তবে প্রক্রিয়াকরণ শক্তি বৃদ্ধি পাওয়ার সাথে সাথে এটি সমস্যা হয়ে দাঁড়িয়েছে। কিছু সময়, একটি শালীন শব্দের তালিকার সাথে, সেই পাসওয়ার্ডগুলি ক্র্যাক করা খুব সহজ হয়ে গেল। প্রযুক্তিগত কারণে, এই স্কিমটি আট বাইটের চেয়ে বেশি পাসওয়ার্ডগুলি সমর্থন করতে পারে না।

এটি সমাধান করার জন্য দুটি জিনিস করা হয়েছিল:

• শক্তিশালী হ্যাশ ফাংশনে সরানো। পুরাতন ক্রিপ্ট () এর দরকারী জীবনকে বহির্ভূত করেছিল এবং আরও আধুনিক স্কিমগুলি তৈরি করা হয়েছিল যা ভবিষ্যতে প্রমাণিত এবং গণনাগতভাবে আরও শক্তিশালী ছিল।
• হ্যাশ পাসওয়ার্ডগুলিকে এমন একটি ফাইলে সরান যা কেবল কারও দ্বারা পঠনযোগ্য ছিল না। এইভাবে, এমনকি যদি পাসওয়ার্ড হ্যাশ ফাংশনটি প্রত্যাশার চেয়ে দুর্বল হয়ে দাঁড়ায়, বা কারও সাথে শুরু করার জন্য যদি কোনও দুর্বল পাসওয়ার্ড থাকে তবে আক্রমণকারীটির জন্য হ্যাশ মানগুলির অ্যাক্সেস পেতে আরও একটি বাধা ছিল। এটি আর সবার জন্য ফ্রি ছিল না।

ফাইলটি / ইত্যাদি / ছায়া।

যে সফ্টওয়্যারটি / ইত্যাদি / ছায়া নিয়ে কাজ করে সেগুলি সাধারণত খুব ছোট, খুব বেশি মনোযোগী এবং সমস্যার সম্ভাবনা থাকার কারণে পর্যালোচনাতে কিছু অতিরিক্ত পরীক্ষা-নিরীক্ষা গ্রহণ করে। এটি সাধারণ অনুমতি নিয়েও চালিত হয়, যা সাধারণ ব্যবহারকারীদের সেই ফাইলটি দেখতে অক্ষম রাখার সময় / ইত্যাদি / ছায়া পড়তে ও সংশোধন করার অনুমতি দেয় ।

সুতরাং সেখানে আপনার এটি রয়েছে: / ইত্যাদি / ছায়ায় অনুমতিগুলি সীমাবদ্ধ (যদিও ইতিমধ্যে দেখানো হয়েছে, আপনার বর্ণনার মতো ততটা সীমাবদ্ধ নয়) কারণ এই ফাইলটির পুরো উদ্দেশ্য সংবেদনশীল ডেটাতে অ্যাক্সেসকে সীমাবদ্ধ করা।

একটি পাসওয়ার্ড হ্যাশ শক্তিশালী বলে মনে করা হচ্ছে, তবে যদি আপনার পাসওয়ার্ড ইন্টারনেট তালিকার শীর্ষ 500 পাসওয়ার্ডে থাকে তবে হ্যাশটিতে অ্যাক্সেস থাকা যে কেউ এখনও পাসওয়ার্ডটি দ্রুত খুঁজে পেতে সক্ষম হবে। হ্যাশটিকে রক্ষা করা সেই সহজ আক্রমণটিকে বাধা দেয় এবং হোস্টের একজন সিস্টেম প্রশাসক হওয়ার প্রয়োজন হয় বা প্রথমে কোনও বিশেষাধিকারের ক্রমবর্ধমান আক্রমণে যেতে সহজ সরল উঁকি দেওয়া থেকে সফল আক্রমণটির জন্য বাধা দেয়। বিশেষত একটি সঠিকভাবে প্রশাসিত বহু-ব্যবহারকারী সিস্টেমে, এগুলি উভয়ই কেবল একটি বিশ্ব-পঠনযোগ্য ফাইলের চেয়ে বেশি গুরুত্বপূর্ণ ।

কেন / ইত্যাদি / ছায়া ফাইলের জন্য অনুমতি 600 সেট করা আছে?

তোমাকে সেটা কে বললো?

$ls -l /etc/shadow
-rw-r----- 1 root shadow 1407 mei 18 10:05 /etc/shadow

• এটি 640।

সহজ উত্তর: লিনাক্সের অনুমতিগুলি গুরুত্ব সহকারে নেওয়া হয়। "অন্য" এর সাথে কিছু করার কোনও কারণ নেই /etc/shadow। এবং এটিতে গ্রুপ "ছায়া" লেখার কোনও কারণ নেই। এবং কার্যকর করা আদেশের বাইরে out

তবে, এর অভ্যন্তরের সমস্ত পাসওয়ার্ডগুলি স্পষ্ট পাঠ্যে সংরক্ষণ করা হয়নি তবে হ্যাশ হিসাবে (যার অর্থ হ্যাশ থেকে মূল পাসওয়ার্ডটি গণনা করা অসম্ভব), কেন এটি প্রত্যেকের দ্বারা না পঠানো যায়?

কারণ এটি করার একক কারণ নেই।

হ্যাশগুলি একমুখী। কাউকে পড়ার অ্যাক্সেস দেওয়া তার পক্ষে এই একতরফা অপব্যবহারের জন্য কোনও স্ক্রিপ্ট ব্যবহার করা সম্ভব করে তোলে: আপনি কল্পনা করতে পারেন এবং হ্যাশ তৈরি করতে পারেন এমন কোনও শব্দই তালিকাবদ্ধ করুন। কিছু সময় এটি পাসওয়ার্ডের সাথে মেলে। যদিও কিছুটা সময় নিতে পারে।

এই উত্তরটি আকর্ষণীয় এবং জোর করে চাপিয়ে দেওয়ার বিষয়ে কিছু অনুমান রয়েছে।

গুরুত্বপূর্ণ পটভূমি: /etc/shadowপাসওয়ার্ডের হ্যাশগুলি গোপন রাখার লক্ষ্যে একমাত্র বিদ্যমান। ইউনিক্সের প্রথম দিকের দিনগুলিতে পাসওয়ার্ড হ্যাশগুলি সংরক্ষণ করা হয়েছিল /etc/passwd। কম্পিউটারগুলি আরও শক্তিশালী হওয়ার সাথে সাথে নেটওয়ার্ক সংযোগগুলি আরও ধ্রুবক এবং সুরক্ষা আরও পরিশীলিত কাজে লাগায়, লোকেরা বুঝতে পেরেছিল যে পাসওয়ার্ড হ্যাশকে শব্দ-পাঠ্যযোগ্য রাখার জন্য সমস্যা জিজ্ঞাসা করা হচ্ছে। (আমি শোষণগুলি বিস্তারিত করব না; ইতিমধ্যে সে সম্পর্কে যথেষ্ট ভাল উত্তর রয়েছে))

তবে /etc/passwdপঠন-সুরক্ষিত হতে পারে না: এটি ব্যবহারকারীর নামগুলিতে সংখ্যক ব্যবহারকারী আইডির মানচিত্র তৈরি করতে এবং হোম ডিরেক্টরি, ডিফল্ট শেলস, ব্যবহারকারীর পুরো নাম (এবং অফিস নম্বর ইত্যাদি - চেক আউট man finger) সন্ধান করতে এটি বিভিন্ন ধরণের প্রোগ্রাম ব্যবহার করে is । সুতরাং সংবেদনশীল অংশ, পাসওয়ার্ড হ্যাশগুলিতে সরানো হয়েছে /etc/shadow, এবং বাকীটি যেমন ছিল তেমন রয়ে গেছে। এই কারণেই /etc/passwd, নামটিকে তুচ্ছ করুন, (হ্যাশ) পাসওয়ার্ড ব্যতীত সমস্ত কিছু রয়েছে ।