උබුන්ටු password එක්ක සෙල්ලම්.
ඔක්තෝබර් 15th, 2009
linux වල users ලා ගැන විස්තර ඇතුලත්ව තියෙන්නේ /etc වල passwd කියන ගොනුව ඇතුලේ. password නෙමෙයි passwd හරිද?.( ඔය file එකේ පෙරනිමියෙන් එන්නේ root write permissions එක්ක අනිත් users ලාට read permissions විතරයි.). මේකෙ අන්තර්ගතය බලන්න ඕන නම් terminal එකක් open කරලා.
cd /etc
cat passwd
ලෙස ලබා දෙන්න. මේ commands දෙකම එකතුකරලා ටයිප් කරන්නත් පුළුවං. ඒත් මේ wordpress වල ලෙඩක් නිසායි මම මේ විදිහට දාන්නේ. එතකොට මෙන්න මේ වගේ දිස්වේවි.
pahan:x:1000:1000:Pahan Sarathchandra,,,:/home/pahan:/bin/bash
ඔතන pahan කියන්නේ මගේ username එක ,ඔය දෙවැනියට තියෙන x එක තමයි password එක. දැන් අහන්නෙපා මගේ ubuntu password එක x ද කියල. password එක මෙහෙම ඕනම user කෙනෙක් බලන්න පුළුවන් විදියට තිබ්බානම් password දාන එකෙන් ඇති වැඩක් නෑනේ. password එක මෙතැන තියාගත්තෙ නැතිඋනාට password එක තියාගන්න වෙන තැනක් තියෙනවා. මොකද කියන්නෙ ඒ file එකත් open කරමුද? ඒක open කරන්න නම් super user privileges ඕන වෙනවා.
උබුන්ටුවල super user log වෙන්නෙ කොහොමද?
sudo su
මේක terminal එකේ ලබාදෙන්න. දැන් ඒකත් හරි. එතකොට super user password එක අහයි. ඒකත් ලබාදෙන්න.
දැන් ආයෙම.
cd /etc
cat shadow
කියල ටයිප් කරන්න. ඔන්න තියෙනවා passwords ටික. හැබැයි අමු අමුවෙ නෙවෙයි හංගලයි තියෙන්නේ.
pahan:$6$yaCvi/5g5ni$rU8tnBRBKFBR9EAwYRbnHCCsehOUUVYj50slqpAV8PBeYmbN0lPF8DW8t
0kokmFBkP8vyxdGU4Xs70bKFsLlF.:14372:0:99999:7:::
මුලින්ම තියෙන්නෙ username එක. දෙවනුව තියෙන්නෙ password එක. නිකං නෙවෙයි encrypt කරපු password එක. මා දන්නා හැටියට ඔය $6$ කියල පටන් අරං $ වෙනකල් තියෙන කොටස MD5 ඇල්ගොරිතමයකින් සාදාගත් එකක්. ඔය වගේ තවත් ඇල්ගොරිතම කිහිපයකට අපේ password එක දාලා encrpt කරපු එක තමයි ඔය තියෙන්නෙ. පොඩ්ඩක් උත්සහකලොත් ඔය ඇල්ගොරිතම සියල්ල අපිට හොයාගන්න පුළුවං. දැං අපි දන්නවා password එක හදාගත්තු හැටිත්. ඒත් ඇල්ගොරිතමය දැනගත්තට වැඩක් නෑ ඇල්ගොරිතමයෙන් ආයෙ password එක හදන්න බෑ. අපි ලොග් වෙන කොට වෙන්නෙ අපි password එකට දීපු එක ඇල්ගොරිතම වලට දාලා අර shadow file එකේ තියෙන hash එකත් එක්ක සංසන්දනය කරන එක.
දැන් කතාවෙ හොඳම හරිය. මම දන්න password එකක් අරගෙන ඔය කියන ඇල්ගොරිතම වලට දාලා shadow file එක edit කරලා මම password එක නොදන්න වෙනත් user කෙනෙක්ගේ password එක විදියට save කලොත් මට එයා විදියට ලොග් වෙන්න පුළුවං වෙයිද? බැරිවෙයිද?
ඒකට ඔයා මුලින් මැෂින එකට super user විහිදට log වෙලා ඉන්න ඕන. ඒහෙම කලොත් අනිවාර්යෙන්ම ඔයාට ඒ account එකෙන් ලොග් වෙන්න පුළුවන්.
[Reply]
ආ මේ මුල් පේලියෙ passwd කියල දාන්න අමතක වෙලා.
[Reply]
පහන් Reply:
ඔක්තෝබර් 15th, 2009 at ප.ව. 11:32
ස්තුතියි. දැන් නිවැරදි කලා.
[Reply]
මම දන්න හැටියට ඔතන තියෙන්න MD5 ඇල්ගොරිතමය නෙමෙයි. අනික MD5 කියන්නෙ තවදුරටත් සුරක්ෂිත ක්රමයක් නෙමෙයි. MD5 decrypt කරන්න ක්රම තියෙනව.
[Reply]
ඔව් එහෙම කරන්න පුලුවන්. ඒත් ඒහෙම කරන්න root විදිහට ලොග් වෙලා ඉන්න එපැයි. root විදිහට ලොග් වුනාම ඔහොම සංකීර්ණ වැඩ නොකර ලේසියෙන්ම වෙන කෙනෙක්ගෙ පාස්වර්ඩ් එක වෙනස් කරන්න පුළුවන්නෙ.
root password එක අමතක වුනාම recover කරගන්න එක ක්රමයක් මේක. Live CD එකකින් boot කරලා rootගේ පාස්වර්ඩ් එකේ hash එක දන්නා hash එකකින් replace කරන්න පුලුවනි (උදා : blank password)
දැනට Linux වල පාස්වර්ඩ් encrypt කරන්න පාවිච්චි කරන්නෙ MD5 නෙවෙයි. 3DES පොඩ්ඩක් වෙනස් කරලා ගත්ත Algorithm එකක්.
[Reply]
පහන් Reply:
ඔක්තෝබර් 16th, 2009 at ප.ව. 12:27
එතකොට account එකේ password එක වෙනස් කලා කියල එයා දැනගන්නවනේ. අපි එයාගෙ කලින් password එක දන්නෙ නැති නිසා ආයෙ ඒකම දාලා මුකුත් නොවුනා වගේ තියන්නත් බෑනේ.
[Reply]
පොඩි නිවැරදි කිරීමක් $6$ එකෙන් කියන්නෙ MD5 නෙවෙයි SHA-512. ඉස්සර MD5 පාවිච්චි කරල තියෙනවා. $1$ තියෙනවා නම් කියවෙන්නෙ MD5 කියල.
http://dietrichschroff.blogspot.com/2009/10/linux-hash-algorithms-for-passwords.html
මෙතැන තියෙන විදියට නම් ඔය කොපි කරල paste කරන වැඩේ හරියන එකක් නෙවෙයිලු. අනිත් එක ඔය hash එක අරගෙන brueteforce කලොත් අපේ අයගේ දුර්වල passwords ලේසියෙන්ම හොයන්නත් පුළුවනි.
[Reply]