Was ist der Unterschied zwischen /etc/shadow und /etc/security/opasswd?
Habe mal beides gegoogelt und die Beschreibungen ähneln sich sehr.
Warum gibt es beide Dateien bzw. worin unterscheiden sie sich? Stehen sie in Konkurrenz zueinander?
2 Antworten
"/etc/security/opasswd" gibt es anscheinend nur unter Solaris und ist ein Backup von "/etc/passwd".
"/etc/shadow" ist eine Datei, die zum Einsatz kommt, um "sensible Informationen" (insbesondere die Hashes der Passwörter) getrennt von "/etc/passwd" zu speichern.
Das hat den Vorteil, dass man nur privilegierten Systemprozessen Zugriff auf die Hashes in "/etc/shadow" geben kann, während auch unprivilegierte Prozesse häufig Zugriff auf die Benutzernamen und Gruppenzugehörigkeiten, die in "/etc/passwd" gespeichert sind, benötigen.
Stimmt, Debian hat sie auch.
Dieses Modul scheint sie (unter Linux) zu schreiben.
https://manpages.debian.org/stretch/libpam-modules/pam_pwhistory.8
Die Frage ist ganz spannend . Ich finde die '/etc/security/opasswd' auch auf Debian 10, allerdings ist die leer. Welchem Zweck sie dient kann ich leider auch nicht sagen . Für RedHat finde ich auf die schnelle lediglich einen Bugreport: https://bugzilla.redhat.com/show_bug.cgi?id=1412838
# ls -la /etc/security/opasswd
-rw------- 1 root root 0 Nov 15 2020 /etc/security/opasswd
Ich würde neben einer /etc/shadow aber eher nach einer 'oshadow' suchen, finde die aber auch nicht. Ich habe mal nach letzterem gesucht und finde dann folgendes: https://groups.google.com/g/comp.unix.solaris/c/9CUC8D42ot8 - Da gehts dann allerdings wieder um Solaris.
Ja, leer ist sie.
Allerdings habe ich auf dem betreffenden System mein Benutzerpasswort noch nie geändert und da sie ja "alte Passwort-Hashes" speichern soll, ist es dementsprechend möglicherweise okay, dass sie leer ist.
Habe da auch noch nichts konfiguriert. Bei Gelegenheit und mit etwas Zeit probiere ich das mal aus.
Die Datei "opasswd" wird zum Speichern alter, abgelaufener Passwörter verwendet (o wie old).
Das wird benötigt, wenn die Password Policy so eingestellt ist, dass nach Ablauf des alten Passwortes ein neues benötigt wird und dieses nicht identisch mit einem früheren Passwort sein darf.
https://www.xmodulo.com/set-password-policy-linux.html
Fürsorgliche Admins quälen damit gerne Ihre User.
das muss aber schon viele Jahre her sein. Ich haben vergessen, seit wann die /etc/passwd keine Passwörter mehr enthält. Dafür wurde die /etc/shadow "erfunden" .
Mindestens unter OpenSuse gibt es die opasswd auch. Da habe ich sie gerade gesehen.