Lệnh pwunconv trong Linux

Giới thiệu

Trong lab này, chúng ta sẽ khám phá lệnh pwunconv trong Linux, được sử dụng để bảo mật mật khẩu người dùng bằng cách di chuyển chúng từ tệp shadow sang tệp password. Chúng ta sẽ đề cập đến phần giới thiệu về lệnh pwunconv, quy trình bảo mật mật khẩu người dùng bằng lệnh này và các tình huống thực tế để sử dụng lệnh này. Lệnh pwunconv là một phần của shadow password suite, một tập hợp các công cụ được sử dụng để quản lý mật khẩu người dùng và thông tin tài khoản trong Linux.

Sau khi giới thiệu lệnh pwunconv và mục đích của nó, lab sẽ hướng dẫn bạn các bước di chuyển mật khẩu từ tệp /etc/shadow sang tệp /etc/passwd, và sau đó vô hiệu hóa hệ thống shadow password để tăng cường bảo mật mật khẩu người dùng trên hệ thống Linux của bạn.

Giới thiệu về lệnh pwunconv

Trong bước này, chúng ta sẽ khám phá lệnh pwunconv trong Linux, được sử dụng để bảo mật mật khẩu người dùng bằng cách di chuyển chúng từ tệp shadow sang tệp password.

Lệnh pwunconv là một phần của shadow password suite, một tập hợp các công cụ được sử dụng để quản lý mật khẩu người dùng và thông tin tài khoản trong Linux. Theo mặc định, mật khẩu người dùng được lưu trữ trong tệp /etc/shadow, tệp này chỉ có thể đọc được bởi người dùng root. Lệnh pwunconv di chuyển mật khẩu từ tệp /etc/shadow sang tệp /etc/passwd, tệp này có thể đọc được bởi tất cả người dùng.

Hãy bắt đầu bằng cách kiểm tra trạng thái hiện tại của bộ nhớ mật khẩu người dùng:

sudo cat /etc/shadow

Ví dụ đầu ra:

root:$6$rounds=1000000$....:18533:0:99999:7:::
labex:$6$rounds=1000000$....:18533:0:99999:7:::

Như bạn có thể thấy, mật khẩu người dùng được lưu trữ trong tệp /etc/shadow.

Bây giờ, hãy sử dụng lệnh pwunconv để di chuyển mật khẩu sang tệp /etc/passwd:

sudo pwunconv

Ví dụ đầu ra:

Passwords moved to /etc/passwd.
Shadow passwords now disabled.

Sau khi chạy lệnh pwunconv, hãy xác minh các thay đổi:

sudo cat /etc/passwd

Ví dụ đầu ra:

root:x:0:0:root:/root:/bin/bash
labex:x:1000:1000:labex:/home/labex:/bin/bash

Bạn có thể thấy rằng các hash mật khẩu hiện có trong tệp /etc/passwd và tệp /etc/shadow trống.

Bảo mật mật khẩu người dùng bằng pwunconv

Trong bước này, chúng ta sẽ khám phá cách lệnh pwunconv có thể được sử dụng để tăng cường bảo mật mật khẩu người dùng trong hệ thống Linux của bạn.

Sau khi di chuyển mật khẩu từ tệp /etc/shadow sang tệp /etc/passwd trong bước trước, bước tiếp theo là bảo mật mật khẩu người dùng bằng cách vô hiệu hóa hệ thống shadow password.

Chạy lệnh sau để vô hiệu hóa hệ thống shadow password:

sudo pwconv

Ví dụ đầu ra:

Shadow passwords now enabled.
Passwords moved to /etc/shadow.

Như bạn có thể thấy, lệnh pwconv di chuyển mật khẩu trở lại tệp /etc/shadow, nơi chúng chỉ có thể truy cập được đối với người dùng root.

Hãy xác minh các thay đổi:

sudo cat /etc/shadow

Ví dụ đầu ra:

root:$6$rounds=1000000$....:18533:0:99999:7:::
labex:$6$rounds=1000000$....:18533:0:99999:7:::

Mật khẩu người dùng hiện được lưu trữ an toàn trong tệp /etc/shadow, tệp này chỉ có thể đọc được bởi người dùng root.

Bằng cách sử dụng các lệnh pwunconv và pwconv, bạn có thể quản lý hiệu quả tính bảo mật của mật khẩu người dùng trong hệ thống Linux của mình. Lệnh pwunconv cho phép bạn tạm thời di chuyển mật khẩu sang tệp /etc/passwd cho mục đích bảo trì hoặc khắc phục sự cố, trong khi lệnh pwconv đảm bảo rằng mật khẩu được lưu trữ an toàn trong tệp /etc/shadow.

Các tình huống thực tế để sử dụng pwunconv

Trong bước cuối cùng này, chúng ta sẽ khám phá một số tình huống thực tế mà lệnh pwunconv có thể hữu ích.

Tình huống 1: Khắc phục sự cố về mật khẩu

Hãy tưởng tượng một tình huống mà người dùng không thể đăng nhập vào hệ thống do sự cố liên quan đến mật khẩu. Bạn có thể sử dụng lệnh pwunconv để tạm thời di chuyển mật khẩu sang tệp /etc/passwd, điều này sẽ cho phép bạn đặt lại mật khẩu của người dùng hoặc điều tra thêm về sự cố.

Đầu tiên, hãy chạy lệnh pwunconv để di chuyển mật khẩu sang tệp /etc/passwd:

sudo pwunconv

Bây giờ, bạn có thể sử dụng lệnh passwd để đặt lại mật khẩu của người dùng:

sudo passwd labex

Sau khi giải quyết sự cố, bạn có thể sử dụng lệnh pwconv để di chuyển mật khẩu trở lại tệp /etc/shadow và kích hoạt lại hệ thống shadow password.

sudo pwconv

Tình huống 2: Di chuyển sang hệ thống lưu trữ mật khẩu mới

Nếu bạn cần di chuyển hệ thống của mình sang một hệ thống lưu trữ mật khẩu mới, chẳng hạn như từ các tệp /etc/passwd và /etc/shadow truyền thống sang một hệ thống xác thực tập trung như LDAP hoặc Active Directory, bạn có thể sử dụng lệnh pwunconv để tạm thời di chuyển mật khẩu sang tệp /etc/passwd, giúp quá trình di chuyển dễ dàng hơn.

Sau khi quá trình di chuyển hoàn tất, bạn có thể sử dụng lệnh pwconv để di chuyển mật khẩu trở lại tệp /etc/shadow và kích hoạt lại hệ thống shadow password.

Hãy nhớ rằng, các lệnh pwunconv và pwconv nên được sử dụng một cách thận trọng, vì chúng có thể có tác động đáng kể đến tính bảo mật của hệ thống và quy trình xác thực người dùng của bạn. Luôn đảm bảo rằng bạn có bản sao lưu vững chắc và hiểu rõ các tác động trước khi thực hiện bất kỳ thay đổi nào.

Tóm tắt

Trong lab này, chúng ta đã khám phá lệnh pwunconv trong Linux, được sử dụng để bảo mật mật khẩu người dùng bằng cách di chuyển chúng từ tệp shadow sang tệp password. Chúng ta bắt đầu bằng cách kiểm tra trạng thái hiện tại của bộ nhớ mật khẩu người dùng và sau đó sử dụng lệnh pwunconv để di chuyển mật khẩu sang tệp /etc/passwd. Chúng ta cũng đã học cách bảo mật mật khẩu người dùng bằng cách vô hiệu hóa hệ thống shadow password bằng lệnh pwconv.

Tác giả

Tôi là một chuyên gia System Administrator (SysAdmin) & DevOps Engineer với hơn 10 năm kinh nghiệm trong lĩnh vực quản trị hệ thống, bảo mật mạng, và tối ưu hạ tầng Cloud. Tôi đã từng làm việc tại các tập đoàn công nghệ lớn và tham gia triển khai nhiều hệ thống High Availability (HA), Load Balancing, Database, container và CI/CD giúp doanh nghiệp hoạt động ổn định với hiệu suất cao. Bài này tôi viết với thời gian đọc khoảng 9 phút. Tôi có viết phiên bản Tiếng Anh.