etc shadow file in linux

Von Julia Schmitt technology 9 Min. Lesezeit
etc shadow file in linux

Wer glaubt, dass Passwörter auf einem Server einfach so im Klartext herumliegen, hat die letzten dreißig Jahre IT-Geschichte verschlafen. Wenn du dich per SSH einloggst oder lokal einen neuen Benutzer anlegst, passiert im Hintergrund eine ganze Menge Magie, die am Ende in einer ganz speziellen Datei landet. Die Rede ist von der Etc Shadow File In Linux, dem digitalen Tresor deines Systems. Ohne diese Datei würde das gesamte Berechtigungskonzept moderner Distributionen wie Debian, Ubuntu oder Red Hat wie ein Kartenhaus in sich zusammenbrechen. Ich habe in meiner Zeit als Administrator oft erlebt, wie leichtfertig mit den Rechten für diesen Bereich umgegangen wird, nur weil man mal eben schnell ein Skript testen wollte. Das ist brandgefährlich.

Die Architektur hinter der Etc Shadow File In Linux

Früher war alles anders. In den frühen Tagen von Unix speicherte man die Passwörter direkt in der Datei /etc/passwd. Das Problem dabei war simpel: Jeder Benutzer auf dem System musste diese Datei lesen können, damit Programme die Benutzer-IDs in Namen auflösen konnten. Wenn aber jeder die verschlüsselten Passwörter lesen kann, ist es nur eine Frage der Zeit, bis ein Angreifer mit genug Rechenpower die Hashes knackt. Deshalb wurde das Shadow-Passwort-System eingeführt. Es trennt die öffentlich zugänglichen Benutzerinformationen von den sensiblen Authentifizierungsdaten. Für eine tiefere Analyse zu ähnlichen Themen, lesen Sie: diesen verwandten Artikel.

Der Aufbau einer Zeile im Detail

Jede Zeile in dieser Datei steht für genau einen Benutzeraccount. Die Felder werden durch Doppelpunkte getrennt. Das erste Feld ist immer der Benutzername. Danach folgt das Herzstück: das Passwort-Hash. Wenn du dort ein Dollarzeichen siehst, gefolgt von einer Zahl, weißt du sofort, welcher Algorithmus verwendet wurde. Eine "6" steht zum Beispiel für SHA-512, was heutzutage Standard ist. Früher sah man oft eine "1" für MD5, aber das gilt heute als völlig unsicher und sollte auf keinem modernen System mehr aktiv sein.

Zeitstempel und Ablaufdaten

Hinter dem Hash folgen diverse Zahlen, die für die Passwort-Hygiene zuständig sind. Da gibt es das Datum der letzten Änderung, ausgedrückt in Tagen seit dem 1. Januar 1970. Das ist die Unix-Epoche. Dann kommen Werte für die minimale und maximale Gültigkeit. Ich sehe oft, dass Administratoren hier einfach Nullen oder sehr hohe Werte eintragen, um genervte Nutzeranfragen zu vermeiden. Aber genau hier liegt der Fehler. Ein Passwort, das niemals abläuft, ist ein permanentes Risiko, falls es jemals unbemerkt kompromittiert wurde. Für umfassendere Informationen zu diesem Thema ist eine ausführliche Analyse bei Netzwelt nachzulesen.

Warum die Zugriffsberechtigung alles entscheidet

Wenn du dir die Dateirechte ansiehst, merkst du schnell, dass nur der Root-Nutzer und eventuell die Gruppe "shadow" Zugriff haben. Das hat einen guten Grund. Wer diese Datei lesen kann, hält den Generalschlüssel zum System in der Hand. Zwar sind die Passwörter nicht im Klartext gespeichert, aber mit Werkzeugen wie John the Ripper oder Hashcat lassen sich schwache Passwörter in Sekundenbruchteilen extrahieren.

Gefahren durch Fehlkonfigurationen

Ein klassischer Fehler passiert bei Backups. Man sichert das gesamte Verzeichnis /etc/ auf einen unverschlüsselten Cloud-Speicher oder ein Netzlaufwerk. Plötzlich liegen die Hashes an einem Ort, an dem die strengen Linux-Dateirechte nicht mehr greifen. Ich habe Fälle gesehen, in denen Entwickler die Berechtigungen auf 644 gesetzt haben, weil ein Tool nicht funktionierte. Das ist so, als würde man die Haustür abschließen, aber den Schlüssel direkt daneben an einen Nagel hängen.

Die Rolle von PAM

Das Pluggable Authentication Modules System, kurz PAM, greift ständig auf diese Daten zu. Wenn du dich anmeldest, prüft PAM, ob die Eingabe mit dem gespeicherten Hash übereinstimmt. Das Schöne an Linux ist, dass man dieses Verhalten komplett anpassen kann. Man kann festlegen, dass Passwörter eine bestimmte Komplexität haben müssen oder nach wie vielen Fehlversuchen ein Konto gesperrt wird. Diese Logik wird oft in den Dateien unter /etc/pam.d/ definiert, aber die Basis bleibt das, was in der Schatten-Datei steht.

Praktische Arbeit mit Benutzerkonten und Sicherheit

Man sollte niemals versuchen, die Datei manuell mit einem Texteditor wie Vi oder Nano zu bearbeiten, wenn man nicht absolut sicher ist, was man tut. Ein einziger Tippfehler beim Trennzeichen kann dazu führen, dass sich niemand mehr einloggen kann. Stattdessen gibt es Werkzeuge wie usermod, passwd oder chage. Diese Programme erledigen die Arbeit sauber und sperren die Datei während des Schreibvorgangs, um Korruption zu vermeiden.

Passwörter sicher ändern und verwalten

Mit dem Befehl chage -l benutzername kannst du dir anzeigen lassen, wann ein Passwort abläuft. Das ist viel sicherer, als direkt in den Rohdaten zu wühlen. Ich empfehle jedem Admin, regelmäßig Audits durchzuführen. Gibt es Konten ohne Passwort? Sind die Hashes veraltet? Ein kurzer Blick auf die offizielle Dokumentation von Debian hilft dabei, die Standards für die Systemsicherheit besser zu verstehen.

Den Hashing-Algorithmus prüfen

Heutzutage ist SHA-512 das Minimum. Wer noch alte DES-Hashes oder MD5 in seiner Datei findet, sollte schleunigst handeln. Man kann in der Datei /etc/login.defs festlegen, welcher Algorithmus standardmäßig für neue Passwörter verwendet wird. Suche dort nach der Variable ENCRYPT_METHOD. Wenn dort nicht SHA512 steht, ist das System veraltet. Es ist auch ratsam, die Anzahl der "Rounds" zu erhöhen. Je mehr Rechenzeit für das Erstellen eines Hashes benötigt wird, desto schwieriger haben es Angreifer bei Brute-Force-Attacken.

Die Struktur der Felder verstehen

Gehen wir die neun Felder einer typischen Zeile durch. Das ist kein unnützes Wissen, sondern hilft massiv bei der Fehlersuche.

  1. Benutzername: Der Login-Name.
  2. Passwort-Hash: Beginnt meist mit $ID$Salt$Hash.
  3. Letzte Änderung: Tage seit dem 1.1.1970.
  4. Mindestalter: Wie viele Tage müssen vergehen, bis der User das Passwort wieder ändern darf?
  5. Maximalalter: Nach wie vielen Tagen MUSS das Passwort geändert werden?
  6. Warnzeitraum: Tage vor Ablauf, an denen der User gewarnt wird.
  7. Inaktivitätszeitraum: Tage nach Ablauf, nach denen das Konto komplett gesperrt wird.
  8. Ablaufdatum: Ein fixes Datum, an dem der Account stirbt.
  9. Reserviert: Für zukünftige Nutzung.

Wenn du im zweiten Feld ein Ausrufezeichen oder ein Sternchen siehst, ist der Account gesperrt. Das ist eine sehr effektive Methode, um System-User wie "bin" oder "daemon" abzusichern. Diese brauchen keine Login-Berechtigung und sollten niemals einen gültigen Hash besitzen.

Sicherheitsaudits und Best Practices

Ein guter Administrator verlässt sich nicht darauf, dass die Dateirechte schon passen werden. Man nutzt Tools wie pwck, um die Integrität der Passwortdateien zu prüfen. Dieser Befehl schaut nach, ob alle Einträge das richtige Format haben und ob die Benutzer auch in der /etc/passwd existieren. Inkonsistenzen hier sind oft ein Zeichen für ein kompromittiertes System oder misslungene manuelle Eingriffe.

Automatisierung von Passwort-Richtlinien

Es macht Sinn, die Richtlinien zentral zu steuern. Wer viele Server verwaltet, nutzt dafür meist LDAP oder FreeIPA. Aber selbst dann bleibt die lokale Etc Shadow File In Linux als Fallback wichtig, falls das Netzwerk mal weg ist. Man sollte daher sicherstellen, dass auch die lokalen Admin-Accounts den gleichen strengen Regeln unterworfen sind wie die Netzwerk-User.

Schutz vor physischem Zugriff

Wenn jemand physischen Zugriff auf die Hardware hat, kann er den Server mit einer Live-CD booten und die Festplatte mounten. In diesem Moment sind die Dateirechte wertlos. Der Angreifer kann die Hashes einfach kopieren oder sogar überschreiben. Dagegen hilft nur eine Vollverschlüsselung der Festplatte mit LUKS. Wer seine Daten ernst nimmt, kommt um Verschlüsselung auf Blockebene nicht herum. Informationen dazu finden sich ausführlich im Arch Linux Wiki, das für seine exzellenten technischen Erklärungen bekannt ist.

Typische Probleme im Alltag

Manchmal wundert man sich, warum ein Benutzer sein Passwort nicht ändern kann. Oft liegt es am Feld "Mindestalter". Wenn das auf einen Wert größer als Null gesetzt ist und der User versucht, ein gerade erst gesetztes Passwort sofort wieder zu ändern, blockt das System ab. Das soll verhindern, dass Nutzer einfach zehnmal ihr Passwort ändern, um die Passwort-Historie zu überlisten und am Ende wieder bei ihrem alten Lieblingspasswort zu landen.

Wenn der Root-Account gesperrt ist

Es passiert öfter als man denkt: Man hat sich ausgesperrt. Wenn man keinen Zugriff mehr auf den Root-Account hat, aber sudo-Rechte besitzt, kann man mit sudo passwd root ein neues Passwort setzen. Wenn beides nicht geht, hilft meist nur noch der Single-User-Mode beim Booten. Dort kann man die Partition mit Schreibrechten neu mounten und die Datei reparieren. Aber Vorsicht: Wer hier einen Fehler macht, zerschießt sich unter Umständen das Dateisystem.

Monitoring von Änderungen

Es ist klug, Änderungen an sensiblen Dateien zu überwachen. Tools wie AIDE oder Tripwire erstellen einen Fingerabdruck der Datei. Wenn sich etwas ändert, schlagen sie Alarm. Da sich diese Datei jedes Mal ändert, wenn ein User sein Passwort anpasst, gibt das natürlich viele Meldungen. Aber genau das will man auf einem hochsicheren System wissen. Wer hat wann sein Passwort geändert? War das autorisiert?

🔗 Weiterlesen: hard disk wd elements 1tb

Strategien für maximale Server-Sicherheit

Sicherheit ist kein Zustand, sondern ein Prozess. Man kann nicht einmal alles einstellen und dann vergessen. Ich empfehle, regelmäßig die Liste der Benutzer durchzugehen. Oft bleiben Konten von ehemaligen Mitarbeitern oder Test-Installationen monatelang aktiv. Jedes dieser Konten ist ein potenzielles Einfallstor.

  1. Regelmäßige Kontrolle: Nutze lastlog, um zu sehen, wer sich wann eingeloggt hat.
  2. Starke Hashes: Erzwinge SHA-512 über die Systemkonfiguration.
  3. Keine ungenutzten Konten: Sperre Accounts sofort, wenn sie nicht mehr gebraucht werden.
  4. Minimalprinzip: Gib nur denjenigen Zugriff auf sudo, die es wirklich für ihre Arbeit brauchen.

Linux bietet alle Werkzeuge, um eine extrem sichere Umgebung zu schaffen. Man muss sie nur benutzen. Die Schatten-Datei ist dabei kein Mysterium, sondern ein logisch aufgebautes Werkzeug. Wer versteht, wie die Zeitstempel und Hashes funktionieren, hat die volle Kontrolle über die Authentifizierung auf seinem Server. Letztlich ist das Verständnis dieser Mechanismen das, was einen echten Profi von einem Gelegenheitsnutzer unterscheidet. Es geht darum, die Kontrolle zu behalten und Angreifern keine unnötigen Angriffsflächen zu bieten.

Nächste Schritte für dein System

Damit du das Gelernte direkt anwenden kannst, solltest du jetzt folgende Punkte an deinem Server prüfen:

  1. Prüfe die Berechtigungen der Datei mit ls -l /etc/shadow. Es sollte -rw-r----- angezeigt werden, wobei Root der Besitzer ist.
  2. Lasse den Befehl pwck laufen, um sicherzustellen, dass keine Formatfehler oder verwaisten Einträge vorhanden sind.
  3. Kontrolliere mit chage -l [dein_benutzername], ob deine Passworteinstellungen den Sicherheitsrichtlinien deines Unternehmens oder deines eigenen Anspruchs entsprechen.
  4. Überprüfe in /etc/login.defs, ob die Variable ENCRYPT_METHOD auf SHA512 steht.
  5. Sperre alle System-Accounts, die keinen Shell-Zugriff benötigen, indem du deren Shell in /etc/passwd auf /sbin/nologin oder /usr/bin/false setzt.

Durch diese Handgriffe erhöhst du das Sicherheitsniveau deines Systems sofort und sorgst dafür, dass die sensiblen Hashes dort bleiben, wo sie hingehören: sicher verwahrt im Schatten des Systems.

JS

Julia Schmitt

Im Fokus von Julia Schmitt stehen verlässliche Quellen, nachvollziehbare Daten und eine ausgewogene Darstellung.

Ähnliche Artikel

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen
Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält

Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält
Das Flüstern der fernen Giganten oder was A39 uns verschweigt

Das Flüstern der fernen Giganten oder was A39 uns verschweigt
Das Flüstern der unsichtbaren Netze von Sap

Das Flüstern der unsichtbaren Netze von Sap