Christian Schult wrote:
* Bernd Brodesser schrieb:
* Christian Schult schrieb am 28.Sep.2001:
was ist der Unterschied, wenn im Passwortfeld von /etc/shadow ein "*" oder ein "!" stehen? Der Befehl "passwd -S <name>" zeigt in beiden Fällen L für "locked" an.
Womit er Recht hat. `passwd -l <name>` benutzt zum Sperren ein '!', das vor das verschlüsselte Paßwort gesetzt wird. (So ist mit -u ein Entsperren durch entfernen des '!' möglich.) Für die Wirkung kommt es aber nicht auf dieses spezielle Zeichen an.
Es gibt keinen Unterschied. Beide Zeichenfolgen sind als verschlüsselte Paßwörter nicht möglich.
D.h, da könnte auch ";" oder "?" stehen, die ja ebenfalls in crypt-Passwörtern nicht vorkommen?
Ja, oder auch ein anderer String, der kein gültiges crypt-Paßwort sein kann. Die Wirkung ist die gleiche: Paßwortbasierte Logins auf den jeweiligen Account sind nicht möglich. Diese Freiheit kann manchmal ganz praktisch sein: Wenn man einen Account sperrt, kann man das tun, indem man einfach einen Kommentar vor das crypt-Paßwort setzt. So kann jeder Admin sofort sehen, weshalb die Sperrung erfolgte, und der Account läßt sich durch entfernen des Kommentars unter Beibehaltung des alten Paßworts wieder freischalten.
Gibt es dazu irgendwo Quellen (ausser man 1 shadow und man {1,5} passwd)?
Unter Linux sagt mir `man 5 shadow` nur, daß das Feld etwas enthalten muß, und `man 5 passwd` dürfte im Paßwort-Feld nur ein verschlüsseltes Paßwort oder ein '*' (als Verweis auf /etc/shadow) stehen. Unter Solaris erlaubt mir `man -s 4 shadow im Paßwort-Feld ein verschlüsseltes Paßwort, einen "lock string" (nicht näher spezifiziert; verhindert Logins) oder keinen String (kein Paßwort nötig), und `man -s 4 passwd` sagt dort password is an empty field. The encrypted password for the user is in the corresponding entry in the /etc/shadow file. pwconv(1M) relies on a special value of 'x' in the password field of /etc/passwd. [...] Irgendwie deckt sich das alles nur teilweise mit beobachteter Praxis. Die Solaris-Variante der Doku kommt der (von mir) beobachteten Praxis näher, während die Linux-Version der man-Pages nicht ganz zu dem allgemein üblichen Vorgehen (insbesondere 'x' in /etc/passwd) paßt. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/