10/2/2018 Sobre el archivo /etc/passwd | Emc2Net

(/es)

(/es/sobre-el-archivo-etcpasswd)

Post Category
Administración de sistemas

Sobre El Archivo /Etc/Passwd

30 Ma y 2006 / 0 C omme nts ( /e s /s obre -e l-a rc hivo-e tc pa s s wd/# c omme nts )

El contenido del chero /etc/passwd determina quien puede acceder al sistema de manera legitima y
que se puede hacer una vez dentro del sistema. Este chero es la primera linea de defensa del
sistema contra accesos no deseados. Debe de mantenerse escrupulosamente y libre de errores y
fallos de seguridad. En el tenemos registrados las cuentas de usuarios, asi como las claves de accesos
y privilegios.
Una linea ejemplo en este chero:

usuario1:FXWUuZ.vwXttg:500:501:usuario pepito:/home/usuario1:/bin/bash

Los diferentes campos(7) estan separados por dos puntos (:) y el signi cado de los mismos es el
siguiente:

usuario1: Nombre de la cuenta (Login)

FXWUuZ.vwXttg:   Clave de acceso encriptada (password)

500:   UID de esta cuenta

501:   GID del grupo principal al que pertenece la cuenta

usuario pepito:   Nombre del usuario

/home/usuario1:   Directorio de trabajo de usuario1

/bin/bash:   Interprete de comando (shell) de usuario pepito

https://e-mc2.net/es/sobre-el-archivo-etcpasswd 1/6
10/2/2018 Sobre el archivo /etc/passwd | Emc2Net

Una serie de reglas a tener en cuenta sobre el contenido de este chero:

El UID de cuenta 0, pertenece al administrador (root), por debajo de UID 500 esta reservado para el
sistema y por encima de UID 500 para los usuarios del sistema (Nota: la frontera del 500 puede variar
dependiendo del sistema).
El GID del grupo principal esta de nido en el archivo /etc/group y este sera el grupo por defecto
cuando un usuario crea un chero.
No hace falta decir que solo el administrador del sistema tiene que tener ID's 0 en estos dos campos.
Lo contrario signi caria estar dando permisos de administracion (root) a la cuenta en cuestion.
Lo unico que identi ca a una cuenta root del resto es una identi cacion UID igual a 0. Podemos tener
por ejemplo una cuenta llamada "pepito" pero con UID igual a 0, esta cuenta tendria permisos de
administrador (root) y muchos programas que hacen referencia al nombre de la cuenta (ej: who, w,
etc) no nos darian informacion sobre que la cuenta "pepito" tiene permisos de root.
Esto es lo primero que un hacker suele hacer para instalar una puerta trasera en un sistema. Para
averiguar cuentas con nombre diferente de root, pero permisos de root existen programas, pero a
falta de uno podemos utilizar el siguiente comando:
 

awk -F: '{if ($3==0) print $1}' /etc/passwd

Lo mismo (con un pequeno cambio) se puede utilizar para ver cuentas con GID igual a 0:
 

awk -F: '{if ($4==0) print $1}' /etc/passwd

Es muy importante veri car asiduamente que toda cuenta (login) tiene asignada una clave valida.
Existen programas para comprobar que no existen problemas de seguridad en /etc/passwd, pero a
falta de uno se puede utilizar el siguiente comando para averiguar si existen cuentas sin claves:
 

awk -F: '{if ($2=="") print $1}' /etc/passwd

Nunca dejar una cuenta con el campo de clave vacio, esto signi ca que no es necesario una clave
para entrar en el sistema. Las cuentas de pseudo-usuarios (ej: daemon, lp, etc) y cuentas de usuarios
cerradas temporalmente, tienen que tener un asterisco (*) en el campo de la clave.
 
Otro punto a tener en cuenta es la eleccion de una buena clave. No se deberian utilizar claves que
sean palabras de diccionario, nombres, datos personales, matriculas, etc, existen programas que son
capaces de descifrar este tipo de claves. Utilizar al menos 7 caracteres (8 recomendable) e interpolar
numeros y letras, mayusculas y minusculas. Existen programas que sustituyen el clasico "passwd"
para crear/cambiar claves, que comprueban que la clave es su cientemente buena.
La explicacion de porque no se deberian utilizar palabras de diccionario, nombres, etc como claves de
acceso, es la siguiente:

https://e-mc2.net/es/sobre-el-archivo-etcpasswd 2/6
10/2/2018 Sobre el archivo /etc/passwd | Emc2Net

Cuando una clave es generada, esta, es codi cada con la funcion "crypt", esta funcion se puede
de nir como una funcion "hash" de una sola direccion, esto es, un algoritmo que es facil de computar
en una direccion pero muy di cil de calcular en direccion opuesta. La funcion crypt utiliza un valor
aleatorio llamado "salt" el cual esta formado por una cadena de dos caracteres [a-z A-Z 0-9 ./]. Este
valor aleatorio permite codi car una misma clave de 4096 maneras distintas (Los dos primeros
caracteres de una clave codi cada, son los valores de "salt", el resto hasta un total de 13 caracteres
ASCII es la clave codi cada segun el valor de "salt").
Una vez que sabemos un poco de teoria de como las claves son codi cadas, nos podemos imaginar
como se podria descifrar un clave de cuenta que es un palabra de diccionario, nombre, matricula, etc.
Existen programas que codi can sistematicamente diccionarios de palabras de las 4096 maneras
posibles (segun el valor "salt") y comparan cada codi cacion con los valores encriptados en
/etc/passwd, si algun valor coincide, signi caria que una clave ha sido descifrada. Este es uno de los
metodos utilizados por hackers para descifrar claves y la razon de porque no se deben utilizar claves
que sean palabras de diccionarios, nombres, etc.
 
Nunca usar scripts/programas como interprete de comandos en cuentas sin clave. Un ejemplo que lei
una vez en un grupo de noticias, hablaba sobre como apagar el ordenador sin necesidad de ser root.
Una de las soluciones que daban era el tener la siguiente linea en el chero /etc/passwd:
 

shutdown::0:0:shutdown:/sbin:/sbin/shutdown

Podeis ver que el campo de clave esta vacio, con esta linea en tu /etc/passwd cualquier usuario, local
o no local, puede apagar tu ordenador haciendo un simple telnet a la maquina en cuestion y
escribiendo shutdown como login. No hace falta explicar las consecuencias que esto puede tener
para tu sistema. ;-)
 
Los cheros /etc/passwd y /etc/group deben tener permisos de lectura para todos para que muchos
programas puedan funcionar y permisos de escritura solo para root.

-rw-r--r-- 1 root root 11594 Nov 9 12:53 /etc/passwd -rw-r--r-- 1 root root 1024 Nov 9 12:53 /et

Con estos permisos, cualquiera que tenga acceso al sistema puede leer el contenido de estos cheros
e intentar descifrar la clave encriptada de las cuentas. En pequenos sistemas, donde todos los
usuarios se conocen y existe con anza entre ellos, esto no es un gran problema, pero en sistemas con
un gran numero de usuarios, no es recomendable tener el sistema con gurado de esta manera.
Para evitar esto se puede instalar "Shadow passwords". Con shadow passwords el chero /etc/passwd
puede ser leido por cualquier usuario con acceso, pero la informacion con las claves del sistema
queda guardada en un chero que solo puede ser leido por el administrador (root). Mas informacion
sobre Shadow Password en el Howto correspondiente Shadow password HOWTO.

https://e-mc2.net/es/sobre-el-archivo-etcpasswd 3/6
10/2/2018 Sobre el archivo /etc/passwd | Emc2Net

Añadir Nuevo Comentario

SU NOMBRE

IDIOMA

Español

Código de idioma del comentario.

SUBJECT

COMENTARIO

No se permiten etiquetas HTML. Acerca de formatos de texto (/es/

Saltos automáticos de líneas y de párrafos.
Las direcciones de correos electrónicos y páginas web se convierten en enlaces automáticamente.

No soy un robot
reCAPTCHA
Privacidad - Condiciones

Guardar PREVISUALIZAR

C O M PA R T I R E N

(/#twitter) (/#reddit) (/#hacker_news)

(/#facebook) (/#google_plus)

https://e-mc2.net/es/sobre-el-archivo-etcpasswd 4/6
10/2/2018 Sobre el archivo /etc/passwd | Emc2Net

(https://www.addtoany.com/share#url=https
mc2.net%2Fes%2Fsobre-el-archivo-
etcpasswd&title=Sobre%20el%20archivo%20%2

MOUNTAINBIKE CENTUR ION BACKFIR E. . .

WSV-SALE: Reduktionen bis -85%

TA G S

Z ABBIX-CLI (/ES/Z ABBIX-CLI-POSTS) ANALISIS D E DATOS (/ES/ANALISIS-D E-DATOS-POSTS)

M ONITORIZ ACIÓN (/ES/M ONITORIZ ACION-POSTS) PG BACK M AN (/ES/PG BACK M AN-POSTS)

AD M INISTRACIÓN D E SISTEM AS (/ES/AD M INISTRACION-D E-SISTEM AS-POSTS)

TEND ENCIAS (/ES/TEND ENCIAS-POSTS)

Fo l l ow

 (/es/rss.xml) RSS (/es/rss.xml)

 (https://www.twitter.com/rafaelma_) Twitter (https://www.twitter.com/rafaelma_)

 (https://github.com/rafaelma) GitHub (https://github.com/rafaelma)

Co n t ac t o

 (+47) 99 25 69 07

 rafael@e-mc2.net (mailto:rafael@e-mc2.net)
 GitHub: rafaelma (https://github.com/rafaelma)
 Twitter: rafaelma_ (https://twitter.com/rafaelma_)

 Flickr: rafaelma (https://www. ickr.com/photos/rafaelma/)

 Linkedin: rmguerrero (https://no.linkedin.com/in/rmguerrero)
https://e-mc2.net/es/sobre-el-archivo-etcpasswd 5/6
10/2/2018 Sobre el archivo /etc/passwd | Emc2Net

(http://creativecommons.org/licenses/by-nc-sa/4.0/)

Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual

4.0 Internacional (http://creativecommons.org/licenses/by-nc-sa/4.0/).
© Copyright 2016-2017 Emc2Net - Rafael Martinez Guerrero.

https://e-mc2.net/es/sobre-el-archivo-etcpasswd 6/6