Kami tahu bahwa kata sandi pengguna disimpan di /etc/passwd , tetapi dengan cara terenkripsi, sehingga root pun tidak dapat melihatnya:
jane:x:501:501::/home/jane:/bin/bash
fred:x:502:502::/home/fred:/bin/bash
Seperti yang ditunjukkan di atas, :x: mewakili kata sandi.
Apakah ada cara (konfigurasi yang memungkinkan) untuk menyimpan kata sandi di /etc/passwd dalam teks yang jelas dan sedemikian rupa sehingga root dapat melihatnya?
Jawaban yang Diterima:
Dua jawaban lainnya memberi tahu Anda—benar!—bahwa ini adalah Ide Buruk™ . Tetapi mereka juga memberi tahu Anda bahwa ini sulit yang harus dilakukan, memerlukan perubahan banyak program.
Itu tidak benar. Ini sangat mudah. Anda hanya perlu mengubah satu atau dua file konfigurasi. Saya merasa penting untuk menunjukkan hal ini, karena Anda harus menyadarinya saat masuk ke sistem yang tidak Anda kendalikan. Ini tidak akan benar-benar memasukkan kata sandi teks biasa di /etc/passwd atau /etc/shadow , itu akan masuk ke file yang berbeda. Perhatikan bahwa saya belum menguji ini, karena saya lebih suka tidak memasukkan kata sandi saya dalam teks biasa.
-
Edit
/etc/pam.d/common-password(untuk mengetahui sandi yang diubah) atau/etc/pam.d/common-auth(untuk menangkap saat login) dan tambahkan… pam_exec expose_authtok log=/root/passwords /bin/cat -
Edit keduanya, dan alihkan dari pam_unix ke pam_userdb dengan
crypt=none. Atau, Anda dapat memasukkannya hanya ke dalam sandi umum (meninggalkan pam_unix juga) untuk merekam sandi saat diubah. -
Anda dapat menghapus
shadow(serta opsi hash yang kuat) dari pam_unix untuk menonaktifkan file bayangan, dan kembali ke kata sandi crypt tradisional. Bukan teks biasa, tetapi John the Ripper akan memperbaikinya untuk Anda.
Untuk detail lebih lanjut, lihat Panduan Admin Sistem PAM.
Anda juga dapat mengedit kode sumber PAM, atau menulis modul Anda sendiri. Anda hanya perlu mengkompilasi PAM (atau modul Anda), tidak ada yang lain.