Die Datei /etc/shadow

Linux-Distributionen verwenden die /etc/shadow Datei, um verschlüsselte Passwort-Daten zu speichern. Passwörter sind in Form sogennanter Hash-Codes gespeichert. Diese Datei speichert auch verschiedene Passwort-Informationen wie z.B. das Datum der letzten Passwortänderung, die Anzahl der Tage, nach denen das Passwort geändert werden muss usw.

Ein Eintrag in der /etc/shadow Datei hat folgenden Aufbau:

benutzer:verschlüsselte passwort:doc:minimum:maximum:passwortvorwarndauer:deaktiv:deaktiv seit

Hier ist eine kurze Beschreibung der einzelnen Felder:

  • benutzer – der Username.
  • verschlüsselte passwort – das verschlüsselte Passwort des Benutzers.
  • doc – Day of last change. Das Datum, an dem das Passwort das letzte Mal geändert wurde. Es ist als Anzahl der Tage seit dem 1. Januar 1970 ausgedrückt.
  • minimum – minimale Anzahl der Tage, die das Passwort gültig ist. Der Wert 0 bedeutet, dass das Passwort jederzeit geändert werden kann.
  • maximum – maximale Anzahl der Tage, die das Passwort gültig ist. Der Wert 99999 bedeutet, dass das Passwort nie abläuft.
  • passwortvorwarndauer – die Anzahl der Tage, die der Benutzer vor dem Ablauf des Passworts gewarnt wird
  • deaktiv – die Anzahl der Tage, die das Passwort nach Ablauf von “maximum” noch gülig ist. Danach kann sich der Benutzer nicht mehr anmelden. Kein Eintrag in diesem Feld bedeutet, dass das Konto sofort gesperrt wird, nachdem das Passwort abläuft.
  • deaktiv seit – ab diesem Tag (gezählt ab dem 1.1.1970) ist dieser Account gesperrt. Kein Eintrag in diesem Feld bedeutet, dass das Konto nicht deaktiviert ist.

Hier ist ein Eintrag für unseren Benutzer bob:

linux etc shadow datei

Im Bild oben können wir die folgenden Informationen sehen:

  • benutzer – bob
  • verschlüsseltes passwort
  • doc – das Passwort wurde zuletzt 16182 Tage nach dem 1.1.1970 (22.04.2014) geändert
  • minimum0 bedeutet, dass das Passwort jederzeit geändert werden kann.
  • maximum – das Passwort laüft 30 Tage nach der letzten Passwortänderung (22.5.2014) ab
  • passwortvorwarndauer – bob wird 7 Tage vor dem Ablauf des Passworts gewarnt
  • deaktiv – kein Eintrag in diesem Feld bedeutet, dass das Konto sofort gesperrt wird, nachdem das Passwort abläuft.
  • deaktiv seit – kein Eintrag in diesem Feld bedeutet, dass das Konto nicht deaktiviert ist.

 

Die Datei /etc/shadow ist in der Regel für einen normalen Benutzer nicht lesbar. Die Datei ist nur für Superuser zugänglich.
Geek University 2022