Was bedeuten NP und UP im Passwortfeld der Schattendatei?

7

Ich habe einige Einträge in einer Schattendatei gefunden, deren Bedeutung ich nicht verstehe.

user:UP:::::::
user1:NP:::::::

Was bedeutet UP und NP? Zusätzlich zu diesen 2 hat dieselbe Schattendatei den normalen Hash-Eintrag und den LK , der ein gesperrtes Konto angibt.

Die Maschine ist eine Solaris 10-VM.

Ayrx
quelle
Es ist in der passwd-Handbuchseite dokumentiert.
Ceving

Antworten:

10

NPim Kennwortfeld von /etc/shadowgibt an, dass das Konto nicht mit einem Kennwort angemeldet werden kann, sondern mit anderen Authentifizierungsmethoden, z. B. suvon Root- oder Cron-Jobs. NPbedeutet, dass die Kennwortauthentifizierung immer fehlschlägt, andere Anmeldemethoden jedoch möglicherweise erfolgreich sind. Sie können ein Konto in diesem Zustand mit einrichten passwd -N. Dies unterscheidet sich von *LK*(gemeldet als LKvon passwd -s), bei dem alle Anmeldungen für das Konto unabhängig von der Authentifizierungsmethode deaktiviert werden.

Verwirrend, wenn passwd -ssieht NPin/etc/shadow , es berichtet NL , während NPin dem passwd -lBericht weist darauf hin , dass das Konto zu allen Winden offen: Benutzer , ohne auch nur eine Passwortabfrage immer authentifiziert werden (dies wird durch ein leeres Passwort - Feld angezeigt wird , in /etc/shadow).

UPist ein dokumentierter Code in der passwd -sAusgabe von Solaris 11 (nicht von Solaris 11 Express). Dies bedeutet, dass "dieses Konto noch nicht vom Administrator aktiviert wurde und nicht verwendet werden kann." Wenn ich die Dokumentation richtig verstehe, ist ihre Wirkung ähnlich wie NP; Die Absicht ist, dass der Systemadministrator passwdspäter ausgeführt wird, um ein Kennwort festzulegen (dh es ist die erste Phase in dem Prozess, in der der Administrator das Konto für einen zukünftigen Benutzer erstellt und der Benutzer später ein Kennwort eingibt, wenn er zum ersten Mal vor Ort ist). . In der Dokumentation wird nicht angegeben, ob passwd -sBerichte erstellt werden, UPwenn dies festgestellt wird /etc/shadow. Während dies plausibel ist, NPlädt die Verwirrung um Vorsicht ein.

Normalerweise wird alles im Kennwortfeld von /etc/shadow(oder einer anderen Kennwortdatenbank), das keine leere Zeichenfolge ist, als gehashtes Kennwort behandelt und führt zu einer verweigerten Authentifizierung, wenn es keinem der gültigen gehashten Kennwortformate entspricht. Dies ist bei der normalen Kennwortauthentifizierung unter OpenSolaris der Fall. Ich kann nicht für andere Versionen sprechen, wäre aber etwas überrascht, wenn dies nicht der Fall wäre.

Beachten Sie, dass, wenn es mehrere Einträge für denselben Benutzer gibt, meiner Meinung nach nur der erste berücksichtigt wird. (Zumindest ist dies unter Linux der Fall, und ich habe keinen Grund zu der Annahme, dass Solaris in dieser Hinsicht anders wäre.)

Gilles 'SO - hör auf böse zu sein'
quelle
3

Aus der Oracle Solaris-Dokumentation.

LK This account is locked account. See Security.
NL This account is a no login account. See Security.
NP This account has no password and is therefore open without authentication.
PS This account has a password.
UN The data in the password field is unknown. It is not a recognizable hashed password or any of the above entries. See crypt(3C) for valid password hashes.
UP This account has not yet been activated by the administrator and cannot be used. See Security.
Keith Worswick
quelle
"ohne Authentifizierung öffnen" ist wahrscheinlich falsch.
Ceving
2

Interessante Frage, sagt Google,

Der NP in der /etc/shadowDatei steht für No Password. Es hat den Effekt, dass sich niemand anmelden kann, aber su / sudo funktioniert immer. Ich bin mir nicht sicher, wie sich das von LK unterscheidet

Gänseblümchen
quelle
Danke, hoffentlich hat jemand anderes eine bessere Vorstellung davon, was es bedeutet.
Ayrx
0

NP unterscheidet sich von LK darin, dass:

  • Mit NP können andere Authentifizierungsformulare verwendet werden (z. B. SSH-Schlüssel).
  • Mit NP können Cron-Jobs ausgeführt werden (das Konto ist nicht deaktiviert).

  • LK verhindert andere Formen der Authentifizierung (aber su von root funktioniert, weil es die Authentifizierung umgeht).

  • LK verhindert, dass Cron-Jobs ausgeführt werden
Brian King
quelle