Академический Документы
Профессиональный Документы
Культура Документы
(/es)
(/es/sobre-el-archivo-etcpasswd)
Post Category
Administración de sistemas
El contenido del chero /etc/passwd determina quien puede acceder al sistema de manera legitima y
que se puede hacer una vez dentro del sistema. Este chero es la primera linea de defensa del
sistema contra accesos no deseados. Debe de mantenerse escrupulosamente y libre de errores y
fallos de seguridad. En el tenemos registrados las cuentas de usuarios, asi como las claves de accesos
y privilegios.
Una linea ejemplo en este chero:
usuario1:FXWUuZ.vwXttg:500:501:usuario pepito:/home/usuario1:/bin/bash
Los diferentes campos(7) estan separados por dos puntos (:) y el signi cado de los mismos es el
siguiente:
https://e-mc2.net/es/sobre-el-archivo-etcpasswd 1/6
10/2/2018 Sobre el archivo /etc/passwd | Emc2Net
Lo mismo (con un pequeno cambio) se puede utilizar para ver cuentas con GID igual a 0:
Es muy importante veri car asiduamente que toda cuenta (login) tiene asignada una clave valida.
Existen programas para comprobar que no existen problemas de seguridad en /etc/passwd, pero a
falta de uno se puede utilizar el siguiente comando para averiguar si existen cuentas sin claves:
Nunca dejar una cuenta con el campo de clave vacio, esto signi ca que no es necesario una clave
para entrar en el sistema. Las cuentas de pseudo-usuarios (ej: daemon, lp, etc) y cuentas de usuarios
cerradas temporalmente, tienen que tener un asterisco (*) en el campo de la clave.
Otro punto a tener en cuenta es la eleccion de una buena clave. No se deberian utilizar claves que
sean palabras de diccionario, nombres, datos personales, matriculas, etc, existen programas que son
capaces de descifrar este tipo de claves. Utilizar al menos 7 caracteres (8 recomendable) e interpolar
numeros y letras, mayusculas y minusculas. Existen programas que sustituyen el clasico "passwd"
para crear/cambiar claves, que comprueban que la clave es su cientemente buena.
La explicacion de porque no se deberian utilizar palabras de diccionario, nombres, etc como claves de
acceso, es la siguiente:
https://e-mc2.net/es/sobre-el-archivo-etcpasswd 2/6
10/2/2018 Sobre el archivo /etc/passwd | Emc2Net
Cuando una clave es generada, esta, es codi cada con la funcion "crypt", esta funcion se puede
de nir como una funcion "hash" de una sola direccion, esto es, un algoritmo que es facil de computar
en una direccion pero muy di cil de calcular en direccion opuesta. La funcion crypt utiliza un valor
aleatorio llamado "salt" el cual esta formado por una cadena de dos caracteres [a-z A-Z 0-9 ./]. Este
valor aleatorio permite codi car una misma clave de 4096 maneras distintas (Los dos primeros
caracteres de una clave codi cada, son los valores de "salt", el resto hasta un total de 13 caracteres
ASCII es la clave codi cada segun el valor de "salt").
Una vez que sabemos un poco de teoria de como las claves son codi cadas, nos podemos imaginar
como se podria descifrar un clave de cuenta que es un palabra de diccionario, nombre, matricula, etc.
Existen programas que codi can sistematicamente diccionarios de palabras de las 4096 maneras
posibles (segun el valor "salt") y comparan cada codi cacion con los valores encriptados en
/etc/passwd, si algun valor coincide, signi caria que una clave ha sido descifrada. Este es uno de los
metodos utilizados por hackers para descifrar claves y la razon de porque no se deben utilizar claves
que sean palabras de diccionarios, nombres, etc.
Nunca usar scripts/programas como interprete de comandos en cuentas sin clave. Un ejemplo que lei
una vez en un grupo de noticias, hablaba sobre como apagar el ordenador sin necesidad de ser root.
Una de las soluciones que daban era el tener la siguiente linea en el chero /etc/passwd:
shutdown::0:0:shutdown:/sbin:/sbin/shutdown
Podeis ver que el campo de clave esta vacio, con esta linea en tu /etc/passwd cualquier usuario, local
o no local, puede apagar tu ordenador haciendo un simple telnet a la maquina en cuestion y
escribiendo shutdown como login. No hace falta explicar las consecuencias que esto puede tener
para tu sistema. ;-)
Los cheros /etc/passwd y /etc/group deben tener permisos de lectura para todos para que muchos
programas puedan funcionar y permisos de escritura solo para root.
-rw-r--r-- 1 root root 11594 Nov 9 12:53 /etc/passwd -rw-r--r-- 1 root root 1024 Nov 9 12:53 /et
Con estos permisos, cualquiera que tenga acceso al sistema puede leer el contenido de estos cheros
e intentar descifrar la clave encriptada de las cuentas. En pequenos sistemas, donde todos los
usuarios se conocen y existe con anza entre ellos, esto no es un gran problema, pero en sistemas con
un gran numero de usuarios, no es recomendable tener el sistema con gurado de esta manera.
Para evitar esto se puede instalar "Shadow passwords". Con shadow passwords el chero /etc/passwd
puede ser leido por cualquier usuario con acceso, pero la informacion con las claves del sistema
queda guardada en un chero que solo puede ser leido por el administrador (root). Mas informacion
sobre Shadow Password en el Howto correspondiente Shadow password HOWTO.
https://e-mc2.net/es/sobre-el-archivo-etcpasswd 3/6
10/2/2018 Sobre el archivo /etc/passwd | Emc2Net
SU NOMBRE
IDIOMA
Español
SUBJECT
COMENTARIO
No soy un robot
reCAPTCHA
Privacidad - Condiciones
Guardar PREVISUALIZAR
C O M PA R T I R E N
https://e-mc2.net/es/sobre-el-archivo-etcpasswd 4/6
10/2/2018 Sobre el archivo /etc/passwd | Emc2Net
(https://www.addtoany.com/share#url=https
mc2.net%2Fes%2Fsobre-el-archivo-
etcpasswd&title=Sobre%20el%20archivo%20%2
TA G S
Fo l l ow
Co n t ac t o
(+47) 99 25 69 07
rafael@e-mc2.net (mailto:rafael@e-mc2.net)
GitHub: rafaelma (https://github.com/rafaelma)
Twitter: rafaelma_ (https://twitter.com/rafaelma_)
(http://creativecommons.org/licenses/by-nc-sa/4.0/)
https://e-mc2.net/es/sobre-el-archivo-etcpasswd 6/6