No Linux / Debian, as senhas (/ etc / passwd) foram armazenadas como texto simples?

De "Password Security: A Case History", de Robert Morris e Ken Thompson (1979) ( link ), citado no prólogo:

The UNIX system was first implemented with a password file that contained the actual passwords of all the users, and for that reason the password file had to be heavily protected against being either read or written.

Então, sim, originalmente, o arquivo de senhas continha senhas reais

EDITAR

Isso foi no UNIX. Mesmo no momento em que o artigo acima mencionado saiu, foi visto como uma má idéia. Como o Debian é posterior a 1991, seria ridículo assumir ou acreditar que a distribuição do Linux teria habilitado arquivos de senhas sem a proteção da mesma.

É muito mais provável que as versões iniciais do pacote Debian passwd usem senhas não-sombreadas, que armazenariam as senhas criptografadas no / etc / passwd em si. O mecanismo usado naquela época teria sido 'crypt', que é matematicamente mais simples de calcular do que a prática atual de usar md5 (embora outras opções estejam disponíveis).

Se você tiver uma chance, escolha a edição "Manual do Shell" da Linux Pro Magazine. Eu tenho um artigo de 4 páginas sobre manipulação de usuário de linha de comando, e falo sobre o histórico de segurança de senha do UNIX.

Eu sou um SysAdmin Unix desde 1992, bem antes de termos o / etc / shadow.

Antes de as entradas /etc/shadow , /etc/passwd serem mais ou menos assim:

user:XDjfiejfiejf:1001:1001:Joe User:/home/user:/bin/sh

O segundo campo era a entrada de senha criptografada (não hash) para o usuário. Assim como é hoje, /etc/passwd tinha configurações de permissão de 644, o que significa que todos poderiam ler o arquivo. /etc/passwd precisa ser legível por todo o mundo para que (por exemplo) um programa possa converter uma ID de usuário em um nome de usuário.

Mas isso também possibilitou que um ataque de força bruta descobrisse uma senha de usuário sem realmente tentar se logar - apenas continuasse a criptografar strings diferentes, e quando o resultado criptografado do programa de ataque fosse o mesmo da string armazenada em / etc / passwd, bingo, você tem a senha do usuário.

Assim nasceu /etc/shadow . Agora o segundo campo do arquivo / etc / passwd é simplesmente '*', e a senha criptografada é armazenada em / etc / shadow, que tem suas permissões configuradas para 640 (ou às vezes 600) - o que significa que você precisa de privilégios para ler a cadeia criptografada. Não há mais ataque de força bruta.

Se você está realmente curioso sobre o Debian, todos os pacotes originais podem ser encontrados aqui ( link ).

Pelo que sei, olhando o arquivo Packages, as ferramentas de sombra foram adicionadas em 1.3. Uma rápida olhada na fonte 1.1 para login- utils que é um dos primeiros lançamentos mostra como usar a antiga função crypt () que eu acredito que use Triple DES .

Eu tenho rodado o linux continuamente desde o slackware com o kernel 1.0.13 e nunca vi senhas em texto puro. Eu duvido que isso tenha acontecido, mas eu só posso atestar o que eu vi.

Sim. Arquivos de senha de sombra foram introduzidos posteriormente. Certa vez tive que atualizar os sistemas Slackware Linux para suportar senhas shadow. Eu tenho dificuldade em lembrar qual versão. No entanto, eu acho que em torno de 2,0.

Há um Linux HOWTO 1 com mais detalhes.

Editar

Eu interpretei mal inicialmente. As senhas nunca foram armazenadas em texto puro no / etc / passwd do Linux. Arquivos de senhas shadow nem sempre eram usados no Linux, como afirmamos anteriormente.

Praticamente, o argumento deste alguém é válido, do ponto de vista atual, a senha criptografada do DES e texto sem formatação um é a mesma coisa :) Levará alguns segundos (no máximo) para quebrá-lo.

Além disso, sombra e criptografia não é a mesma coisa, parece que muitas respostas estão confusas sobre isso. Mesmo agora você pode ter sua senha criptografada em / etc / password como legível por todos. Mas a sua pergunta não é muito clara sobre esta parte.