Los archivos de contraseña / sombra en un sistema operativo similar a Unix contienen información confidencial, como la contraseña de un usuario. Además, esos archivos no están necesariamente protegidos: con un CD en vivo podemos acceder a esos archivos en el disco duro y potencialmente obtener acceso a la información confidencial.
Mi pregunta es: ¿existe alguna forma de hacer que esos dos archivos sean más seguros, tal vez "bloquearlos" o incluso cambiar su ubicación en el sistema de archivos?
Si alguien tiene acceso físico a la máquina, puede modificar estos archivos para crear una nueva cuenta de root o descifrar los hashes de contraseña existentes, lo cual es útil debido a la prevalencia de la reutilización de la contraseña. Cambiar el nombre o cambiar la ubicación sería "(en) seguridad a pesar de la oscuridad" y no proporcionará una protección apreciable contra este patrón de ataque.
Pasos para protegerse:
1) Establezca una contraseña de BIOS y obligue a su disco duro a ser la unidad de arranque. Sin embargo, esto no impide que alguien retire la unidad de la máquina.
2) Considere el cifrado completo del disco. Incluso si solo cifras / etc / alguien podría reemplazar / usr / bin o / bin con archivos binarios maliciosos que podrían ejecutarse como root. Incluso su archivo /home/user/.bashrc puede usarse para secuestrar su PATH y obtener root si usted es un suoder.
Pero esta no es una solución perfecta. Debe pensar en la seguridad en capas e intentar evitar el acceso físico a la máquina. (@dr jimbob tiene un buen punto.)
Seguridad por oscuridad: en este caso, pedir cambiar la ubicación de los archivos de contraseña en el sistema en realidad no mejora la seguridad. Los diseñadores originales de Unix sabían esto y se aseguraron de que todas las contraseñas estuvieran ocultas dentro del archivo passwd, a pesar de que todos podían leer el archivo / etc / passwd. El archivo instantáneo (mover los tokens de contraseña con hash fuera del archivo / etc / passwd) solo se puso de moda cuando otra capa de seguridad fue considerada beneficiosa.
La respuesta de Rook también es acertada. Si no puede asegurar la máquina física, no se respetarán los "bloqueos" que se encuentren en los archivos confidenciales. Incluso si se creara alguna forma de "bloqueo" en esos archivos que fueron reconocidos mutuamente por todos los sistemas operativos POSIX, ciertamente podría extraer los datos usando alguna herramienta que ignoró el "bloqueo". Cifrar físicamente el disco es la única forma de "bloquear" el archivo para evitar acceder al archivo desde un entorno de Live-CD.
Las contraseñas están, por supuesto, seguras. Si las contraseñas son lo suficientemente complejas, esto debería ser suficiente para mantener sus contraseñas desconocidas.
Supongo que quieres evitar que alguien borre la contraseña y luego reinicie. Esto no es simple, pero puede tener una secuencia de comandos de inicio de raíz, de modo que cuando la computadora se inicia, verifica si el archivo de la sombra es incorrecto y, si lo es, elimina, falla o deshabilita la máquina o hace la información privada. dentro ilegible. Esto no detiene el borrado de la contraseña, pero le brinda la oportunidad de tomar medidas en el próximo arranque.
Pero recuerde, si la máquina nunca arranca, el pirata informático aún puede leer todos los archivos, independientemente del archivo en la sombra.
Por supuesto, la advertencia es que necesita escribir algún programa para detectar cambios maliciosos en el archivo de contraseñas, sin arruinarlo cuando realiza cambios auténticos. Probablemente solo desee detectar si hubo cambios desde la última copia conocida , pero solo si eso ocurrió mientras la máquina estaba desconectada .