Qual é o significado de NP e UP no campo de senha do arquivo de sombra

7

Encontrei algumas entradas em um arquivo shadow cujo significado não entendo.

user:UP:::::::
user1:NP:::::::

O que UP e NP significam? Além desses 2, o mesmo arquivo de sombra tem a entrada hash normal e o LK que indica uma conta bloqueada.

A máquina é uma VM do Solaris 10.

    
por Ayrx 27.10.2012 / 09:42

4 respostas

9

NP no campo de senha de /etc/shadow indica que a conta não pode ser autenticada com uma senha, mas pode ter efetuado login com outros métodos de autenticação, como su de tarefas raiz ou agendadas. NP significa que a autenticação por senha sempre falhará, mas outros métodos de login podem ser bem-sucedidos. Você pode definir uma conta nesse estado com passwd -N . Isso difere de *LK* (relatado como LK por passwd -s ), que desativa todos os logins para a conta, independentemente do método de autenticação.

Confusamente, quando passwd -s NP em /etc/shadow , relatórios NL , enquanto NP no relatório passwd -l indica que a conta está aberta a todos os ventos: os usuários serão autenticados sem receber uma solicitação de senha (isso é indicado por um campo de senha vazio em /etc/shadow ).

UP é um código documentado no passwd -s saída no Solaris 11 (não no Solaris 11 Express). Isso significa que “essa conta ainda não foi ativada pelo administrador e não pode ser usada”. Se eu entendi a documentação corretamente, seu efeito é semelhante ao NP ; a intenção é que o administrador do sistema execute passwd mais tarde para definir uma senha (ou seja, é o primeiro estágio no processo em que o administrador cria a conta para um usuário futuro e depois o usuário digita uma senha quando -local). A documentação não indica se passwd -s reporta UP quando acha isso em /etc/shadow ; Embora isso seja plausível, a confusão em torno de NP convida a cautela.

Geralmente, qualquer coisa no campo de senha de /etc/shadow (ou outro banco de dados de senha) que não seja uma cadeia vazia é tratada como uma senha com hash e leva a uma autenticação negada se não corresponder a nenhuma das formatos de senha com hash. Esse é o caso da autenticação de senha normal no OpenSolaris, eu não posso falar por outras versões, mas ficaria um pouco surpreso se este não fosse o caso.

Observe que, se houver várias entradas para o mesmo usuário, acho que apenas a primeira delas é levada em consideração. (Pelo menos esse é o caso no Linux, e não tenho motivos para acreditar que o Solaris seria diferente a esse respeito.)

    
por 27.10.2012 / 15:38
3

Na documentação do Oracle Solaris.

LK This account is locked account. See Security.
NL This account is a no login account. See Security.
NP This account has no password and is therefore open without authentication.
PS This account has a password.
UN The data in the password field is unknown. It is not a recognizable hashed password or any of the above entries. See crypt(3C) for valid password hashes.
UP This account has not yet been activated by the administrator and cannot be used. See Security.
    
por 03.04.2015 / 17:42
2

Pergunta interessante, diz o google

O NP no arquivo /etc/shadow significa Sem Senha. Ele tem o efeito de não permitir que alguém faça login, mas o su / sudo sempre funciona. Não tenho certeza de como isso difere de LK

    
por 27.10.2012 / 12:12
0

O NP difere do LK nisso:

  • NP permite que outros formulários de autenticação funcionem (por exemplo, chaves ssh)
  • O NP permite que tarefas do cron sejam executadas (a conta não está desativada)

  • O LK impede outras formas de autenticação (mas o su da raiz funciona porque ignora a autenticação)

  • O LK impede que tarefas do cron sejam executadas
por 04.12.2013 / 16:18