NMCLI работает в скрипте, когда я запускаю его напрямую, но не при запуске в CRON
На самом деле, была создана / etc / shadow, чтобы можно было отказаться от общедоступного списка имен пользователей и паролей.
Повесьте туда, это будет немного урок истории, прежде чем мы получите фактический ответ. Если вы не заботитесь об истории, просто прокрутите вниз.
В старые времена Unix-подобные ОС, включая Linux, как правило, сохраняли пароли в / etc / passwd. Этот файл был доступен для чтения и по-прежнему доступен, поскольку он содержит информацию, позволяющую сопоставлять, например, числовые идентификаторы пользователей и имена пользователей. Эта информация очень полезна даже для обычных пользователей в совершенно законных целях, поэтому наличие читаемого файла было очень полезным для удобства использования.
Даже тогда люди поняли, что наличие паролей в текстовом виде в файле в известном месте, где любой, кто мог бы войти в систему, мог свободно читать, это была плохая идея. Поэтому пароли были хэшированы, в некотором смысле. Это старый механизм шифрования паролей «crypt», который почти никогда не используется в современных системах, но часто поддерживается для устаревших целей.
Взгляните на / etc / passwd в вашей системе. См. Это второе поле, в котором говорится x повсюду? Он использовал хэшированный пароль для рассматриваемой учетной записи.
Проблема заключалась в том, что люди могли загружать / etc / passwd или даже не загружать их, а также работать над взломом паролей. Это была не большая проблема, в то время как компьютеры не были особенно мощными (Clifford Stoll, в вдали от , дает, насколько я помню, время для хэширования одного пароля в системе класса IBM PC в середине -1980s примерно через секунду), но это стало проблемой по мере увеличения вычислительной мощности. В какой-то момент, с приличным списком слов, взломать эти пароли стало слишком легко. По техническим причинам эта схема также не могла поддерживать пароли длиной более восьми байтов.
Для решения этой проблемы были выполнены две вещи:
Переход к более сильным хеш-функциям. Старый crypt () изжил свою полезную жизнь, и были разработаны более современные схемы, которые были бы как в будущем, так и в вычислительной степени более сильными. Переместите хешированные пароли в файл, который не был доступен для чтения кем угодно. Таким образом, даже если функция хэша паролей оказалась слабее, чем ожидалось, или если у кого-то был слабый пароль для начала, было другое препятствие для злоумышленника получить доступ к значениям хэша для начала. Он больше не был свободен для всех.Этот файл является /etc/shadow.
Программное обеспечение, которое работает с / etc / shadow, как правило, очень мало, сильно сфокусировано и, как правило, получает некоторые дополнительные проверки в обзорах из-за потенциал для проблем. Он также работает со специальными разрешениями, что позволяет читать и изменять / etc / shadow, не позволяя обычным пользователям не смотреть на этот файл.
Итак, у вас есть: Разрешения на / etc / shadow являются ограничивающими (хотя, как уже указывалось, не столь ограничительными, как вы заявляете), поскольку вся цель этого файла заключается в ограничении доступа к конфиденциальным данным.
Предполагается, что хеш-пароль должен быть сильным, но если ваш пароль находится на , в то время как обычные пользователи не могут просмотреть этот файл. Списки , любой, у кого есть доступ к хэшу, все равно сможет быстро найти пароль. Защита хеша предотвращает эту простую атаку и повышает планку успешной атаки от простого подглядывания, требуя, чтобы один из них либо был системным администратором на хосте, либо сначала прошел эскалацию привилегий. Особенно в правильно управляемой многопользовательской системе, обе из них значительно сложнее, чем просто смотреть на читаемый мир файл.