Administración de sistemas operativos

Webvis · #1 (**permalink**) 10/01/2011, 16:54

Hola, estoy estudiando la asignatura de Administración y me proponen diversos ejercicios... estoy pillado en uno que dice lo siguiente:

Tenemos un archivo con "usuario (tab) password" y queremos comprobar si ese usuario y todos los que se encuentran en la lista han cambiado o no la contraseña.

La pregunta es... si yo logueo leo /etc/shadow donde sale la encriptación del pass... modifico mi password con el comando passwd y vuelvo a introducir el mismo que tenia anteriormente... pq la encriptación de este metodo es diferente de la encriptación que se encontraba antes, si es el mismo pass.

No se si me explico bien.

Saludos

PD: en un sistema Unix u otro Linux tb sucede que la encriptación de un pass es diferente de la encriptación del mismo pass?

#2 (**permalink**) 11/01/2011, 05:48

Primero que nada, la contraseña no está cifrada, lo que ves en /etc/shadow es un hash creado a partir de la contraseña.

Como utilizar un hash de la contraseña puede ser vulnerable a ataques de diccionario (se conocen los hashes de muchas, muchas cadenas), los sistemas seguros utilizan lo que en la jerga se conoce como "salt" (sal): una cadena extra para combinar con la cadena cuyo hash se quiere obtener, y así evitar los ataques de diccionario. Seguramente el problema que ves es causado por la utilización de diferentes "sales".

http://www.linuxquestions.org/questi...w-file-663816/
http://en.wikipedia.org/wiki/Crypt_(...5-based_scheme
http://www.linuxquestions.org/questi...shadow-396477/

saludos.

Webvis · #3 (**permalink**) 11/01/2011, 19:01

Si poco después encontré la información respecto a que introduce una "salt" para encriptar dependiendo de la fecha y nosequé más... la cuestión es que por lo visto salen 4000 y pico contraseñas encryptadas.

Como comprobarías tu si un usuario X, sabiendo que anteriormente tenia un password Y... si cambió su contraseña sin necesidad de hacer un login del usuario X.

Creo que el camino es utilizar un crypt de la contraseña Y y compararla con lo que encontramos en /etc/shadow, pero existe el problema de que tenemos que hacer un crypt con el mismo "salt" del usuario X.

Saludos

#4 (**permalink**) 12/01/2011, 05:56

lo podés hacer tal cual lo habías pensado, teniendo en cuenta que en el archivo shadow tenés todos los datos necesarios: el método usado, la "sal" y el hash resultado.
En uno de los enlaces que te pasé tenés un ejemplo de cómo se hace, es con openssl.

saludos.