いますぐ実践! Linuxシステム管理

[バックナンバーのトップへ] [Linux システム管理のトップへ]


いますぐ実践! Linux システム管理 / Vol.111 / 読者数:1091名

こんばんは、うすだです。

先週、意気揚々と、 「ポートをリッスンしているプロセスを知る」というネタをお送りしたのですが、 読者のかたから、 netstat コマンドに -p というオプションをつけて実行すると一発でわかりますよ、 というご連絡をいただきました。

早速、ドキドキしながら実行しますと… (注: root 権限が必要です)

  # netstat -anp
  稼働中のインターネット接続 (サーバと確立)
  Proto 受信-Q 送信-Q 内部アドレス   外部アドレス 状態   PID/Program name
  tcp        0      0 0.0.0.0:110    0.0.0.0:*    LISTEN 2087/inetd
  tcp        0      0 0.0.0.0:22273  0.0.0.0:*    LISTEN 2590/jserver
  tcp        0      0 0.0.0.0:80     0.0.0.0:*    LISTEN 2560/httpd
  tcp        0      0 192.168.1.1:53 0.0.0.0:*    LISTEN 29008/named
  ...

あー、ばっちりわかりますね。orz

でも、ほら、どうやって解決しているのか、気になるじゃないですか。
という言い訳も考えたのですが、 しょせんは proc_fs をたどって解決をしているだけですので、 それは説得力がありませんよね…。

というわけで、申し訳ございませんでした。> みなさま
事前の調査は、しっかりやらないといけませんね。猛反省します。

これっぽっちも読者さんが増えなかった理由が、よくわかりました。
さあ、気をとり直して、今週も、はりきってまいりますよ!

今週のお題 - パスワードの暗号化について理解する

ユーザがそのユーザであることを証明するモノといえば、パスワードですよね。

パスワードを盗まれたり、推測されて見破られたりしますと、自分自身を偽られ、 あんなことやこんなことに悪用されてしまう可能性が生じます。
お、恐ろしいですね…。

ですから、大文字小文字数字記号などいろんな文字を使うとか、 定期的に変更するとか、いろいろ気をつけなければならないことになっています。

さて、そんなとっても大切なパスワードですが、どのような形式で、 どこに記録され、どのように利用されているのか、ご存じない貴兄も、 意外といらっしゃるのではないでしょうか。

なにかあったときに確認できるようにするため、そして後輩にうんちくをたれるため、 はたまた技術的な興味を満たすなどのために、パスワードの扱われかたを、 今週はご紹介したいと思います。


まず、ユーザ情報が、/etc/passwd ファイルにいろいろ記録されているということは、 みなさんご存じだと思います。
これには、ユーザ名、ユーザID, ホームディレクトリやシェルなどが記述されていて、 だれでも参照できるようになっています。

  % cat /etc/passwd
  root:x:0:0:root:/root:/bin/bash
  bin:x:1:1:bin:/bin:/sbin/nologin
  daemon:x:2:2:daemon:/sbin:/sbin/nologin
  ...

詳細は割愛しますが、このように、各情報が : で区切られています。
そして、先頭のユーザ名の次のフィールドが、 暗号化されたパスワードのフィールドです。

しかし、暗号化されているとはいえ、パスワードの情報が、 だれでも参照できるという状態は、どうあがいても健全ではありません。
ですので、いまどきは、このパスワード・フィールドには x だけを記述して、 ホンモノを別の場所に格納するようになっています。

 

その「別の場所」というのが、/etc/shadow というファイルです。
(参照するには、root 権限が必要です。)

  # cat /etc/shadow
  root:$1$qwertyui$597J03wRjGwA/PJThslgH0:13257:0:99999:7:::
  bin:*:13257:0:99999:7:::
  daemon:*:13257:0:99999:7:::
  ...

passwd ファイルと同様に、各情報が : で区切られています。
そして、やはり同様に、2番目のフィールドに、 パスワードの情報が格納されています。
念のため、各情報の意味を、以下にさらっと列挙しておきます。

  ユーザ名
  暗号化されたパスワード
  最後にパスワードが変更された日(1970年1月1日からの日数)
  パスワードが変更可能となるまでの日数
  パスワードを変更しなくてはならなくなるまでの日数
  パスワードの有効期限が来る前に、警告を発する日数
  パスワードの有効期限が過ぎてから使用不能になるまでの日数
  アカウントが使用不能になるまでの日数(1970年1月1日からの日数)
  予約フィールド

※ ちなみに、上記は、以下でご紹介済です。
Vol.098 - パスワード変更していない日数をチェックする
http://www.usupi.org/sysad/098.html


では、暗号化されたパスワードの中身を、見ていきましょう。

先の root のパスワード・フィールドは、以下のようになっていました。

  $1$qwertyui$597J03wRjGwA/PJThslgH0

最初が $1$ ではじまる場合、MD5 というハッシュ関数を用いて、 暗号化されていることを示しています。
そうでない場合は、DES で暗号化されています。例を示します。

  abzAzwqUcqw62

ただ、いずれの場合も、パスワードが同じですと、 暗号化した結果も同じになってしまいます。
ですので、salt と呼ばれる文字列を付加して暗号化を行い、 異なる結果になるようにします。

MD5 の場合は、$1$ から次の $ までの文字列(最大8文字)が salt です。
上記の場合、qwertyui ですね。
DES の場合は、最初の2文字です。上記の場合、ab が salt です。

いずれも、64種類の文字を使って表されますので、同じパスワードでも、 DES では 64x64=4096 通り、MD5 では最大約 280兆通りの、 異なる結果を作り出せます。ですので、重複することはほぼなさそうです。

※ ちなみに、MD5 については、以下でさらっとご紹介しています。
Vol.100 - ファイルが一致することを確認する
http://www.usupi.org/sysad/100.html


長い長い前置きはこのくらいにして、実際に、 暗号化されたパスワードを生成してみたいと思います。

実は、crypt という関数を使えば、一発で作成できます。
というわけで、以下のような Perl スクリプトを作ってみました。

  #!/usr/bin/perl
  if($#ARGV != 1) {
      print STDERR "Usage: $0 passwd salt\n";
      exit 1;
  }
  print crypt($ARGV[0], $ARGV[1]) . "\n";

crypt の、第1引数にパスワードを、第2引数に salt を指定すると、 結果の文字列が戻ります。上記は、それを出力するだけのスクリプトです。

このファイルを、makepasswd.pl という名前で保存したら、 以下のように実行してみましょう。

  % ./makepasswd.pl test1 '$1$qwertyui'
  $1$qwertyui$597J03wRjGwA/PJThslgH0

salt に、$1$ ではじまる文字列を指定すると、MD5 で暗号化した結果を出力します。

  % ./makepasswd.pl test1 ab
  abzAzwqUcqw62

そうでなければ、DES で暗号化します。

 

確認も、同じスクリプトで行えます。
salt に、暗号化されたパスワードをそのまま指定してください。

  % ./makepasswd.pl test1 '$1$qwertyui$597J03wRjGwA/PJThslgH0'
  $1$qwertyui$597J03wRjGwA/PJThslgH0

同じ結果が得られれば、正しいことがわかります。
パスワードを間違えると、

  % ./makepasswd.pl USO '$1$qwertyui$597J03wRjGwA/PJThslgH0'
  $1$qwertyui$r2MBc0LpSAyznWRUKaPTI0

$ 以降が、ぜんぜん違う結果になってしまいます。

DES の場合も同様です。

  % ./makepasswd.pl test1 'abzAzwqUcqw62'
  abzAzwqUcqw62
  % ./makepasswd.pl USO 'abzAzwqUcqw62'
  ab7AoTPBqtRwg

crypt 関数が、salt 以外の文字列を無視しますので、 同じスクリプトで確認も行えるのでした。


以上、パスワードのありかや作成方法などについて、ご紹介しました。

わかりにくかったかもしれませんが、passwd コマンドでパスワードを変更したり、 上記スクリプトを実行して比較すると、実感できると思います。

是非、自らの手を動かして、実践してみてください。

宿題の答え

先週の宿題は、

  UDP のポートを使用しているプロセスを調べてみましょう。

でした。

以下では、例として、111番を使っているプロセスを突き止めます。
111 は16進数で 0x6f ですので、grep で抜き出します。

  % grep :006F /proc/net/udp
   111: 00000000:006F 00000000:0000 07 00000000:00000000 00:00000000 \
  00000000     0        0 3390 2 e5a61d60

ソケットのiノード番号は 3390 です。
これを、/proc/数字/fd 以下から探してみましょう。

  # ls -l /proc/[1-9]*/fd/[1-9]* | grep 'socket:\[3390\]'
  lrwx------ 1 root  root 64  7月 5日 23:35 /proc/1669/fd/3 -> \
  socket:[3390]

プロセスID が 1669 のプロセスのようです。
というわけで、111番を使っているのは、

  % ps -p 1669
  PID TTY          TIME CMD
  1669 ?        00:00:00 portmap

NFS などの際に活躍する、portmap さんでした。

しかし、冒頭でお知らせしましたように、netstat -unpl を実行すれば、 一発でわかりますね。さみしいですが。

  # netstat -unpl | grep :111
  udp        0      0 0.0.0.0:111    0.0.0.0:*        1669/portmap

今週の宿題

今週の宿題は、

  /etc/shadow を直接書き換えて、パスワードを変更してみましょう。

です。

ホンモノのサーバで試して、しゃれにならない現象が発生すると大変ですので、 万が一おかしくなっても後悔しないマシン上でお試しください。
それから、書き換える前に、 /etc/shadow のバックアップをとっておくのを忘れないでください。 (いざというとき戻せるようにするためです。)

また、余力があれば、お手持ちの /etc/shadow が MD5 だったら DES を、 DES だったら MD5 を試してみてください。

あとがき

今週は、予習する暇といいますか、心の余裕がないまま、 週末をむかえることになりました。(時間的にも精神的にも多忙でした。)

こんなときは、焦ってもネタが出てきませんので、原点に帰り、 昔のことを思い出して、他のひとから聞かれたり、 自分で悩んだりしたことを振り返ってみることにしました。

わたしが入社してから数年の間は、BSD 系の SunOS4.x と、 SystemV 系の SunOS5.x (Solaris2.x) が混在した環境にいました。
(他にも、SONY NEWS とか NEC EWS4800 とか、いろいろありました。)

学生のころから BSD 系ばかりを触っていましたので、 後者にはいろいろと戸惑った覚えがあります。
特に、パスワードが /etc/passwd ではなく /etc/shadow にあることに、 違和感を感じました。なんでこうなってんだろう? …面倒だなあ、 などと感じたことを思い出して、今回のネタを思いついた次第です。

やはり、読者のかたの状況やレベルなどを想像して、どういうことで悩むのか、 どういうことが役に立ちそうかということを、 自分の経験をもとにしながら考える必要があると思います。

そのことをつい忘れ、ひとりよがりな内容を書いてしまいがちですので、 今後も存分に気をつけないといけない、ということを再認識しました。

とはいえ、今週も、あわてて書いていますので、 いろいろおかしなところがあるかもしれません。
変なところがありましたら、お手数ですが、ご指摘いただけますと、 感謝感激です。存分に精進させていただきます。

 

今週も、ここまで読んでいただき、ありがとうございました。
それでは、また来週に、お会いしましょう!

 

「いますぐ実践! Linux システム管理」の解除は、以下からできます。
http://www.usupi.org/sysad/ (まぐまぐ ID:149633)

バックナンバーは、こちらにほぼ全部そろっています。
http://www.usupi.org/sysad/backno.html

「栗日記」−最近アクセスが増えています。不思議〜。
http://www.usupi.org/kuri/ (まぐまぐ ID:126454)
http://usupi.seesaa.net/ (栗日記ブログ)


[バックナンバーのトップへ] [Linux システム管理のトップへ]

トップ

バックナンバー
    [日付順] [目的別]

プロフィール

▼ リンク

独学Linux
Linuxデスクトップ環境に関する情報が満載です。 メルマガもありますよ。
Server World
CentOS 6をサーバとしたときの設定例が、これでもかというくらいたくさん載っています。 CentOS以外のディストリビューション(Fedora, Ubuntu)も充実しています。
LINUXで自宅サーバーを構築・導入(Fedora9)
Fedora9のインストールの仕方から管理方法まで、詳しく載っています。 SearchManには情報がもりだくさんです。
マロンくん.NET
〜サーバ管理者への道〜
Linuxをサーバとして使用するための、いろいろな設定方法が載っています。 マロンくんもかわいいです。 なんといっても、マロンくんという名前がいいですね!!
日経Linux
今や数少なくなってしまったLinuxの雑誌。ニュースやガイドもあります。
Linux Square − @IT
@ITが提供する、Linux の情報が満載。 載っていない設定方法はないんじゃないでしょうか。
gihyo.jp…技術評論社
Linuxに限らず様々な技術情報が満載のサイト。 SoftwareDesign誌も、 ソフトウェア技術者は必見です。
SourceForge.JP Magazine
Linux に限らず、オープンソース関連の記事が網羅されています。
ITmediaエンタープライズ:Linux Tips 一覧
Tips というより FAQ 集でしょうか。わからないことがあれば覗きましょう。
IBM developerWorks : Linux
開発者向けですが、勉強になりますよ。
Yahoo!ニュース - Linux
Yahoo!のLinuxに関するニュース一覧です。
栗日記
システム管理とかと全然関係ありませんが、毎日栗の絵を描いています。
システム管理につかれちゃったとき、癒されたいときに、ご覧ください。:-)
WEB RANKING - PC関連
ランキングに参加してみました。押してやってください。

▼ 作ってみました

Add to Google

▼ せんでん




▼ 最近読んだ本

▼ 気に入ってる本