Спустя 10 лет вышел tcb 1.2

11 января 2020 года вышел tcb 1.2 — менеджер управления теневыми паролями. Это альтернатива стандартному для Linux /etc/shadow. Предыдущий релиз был больше 10 лет назад. Код tcb распространяется под лицензией BSD.

Чем tcb отличается от /etc/shadow? Он не использует единый файл для хранения хэшей паролей, а распределяет их по отдельным каталогам и файлам. В такой конфигурации работать с паролями можно без повышения прав пользователя, а процесс обработки учётных данных происходит внутри единой учётной записи. 

/etc/shadow получает доступ сразу ко всем хэшам паролей, а это значит, что уязвимость утилиты passwrd даст поменять любой пароль. Файлы tcb содержат хэши одного пользователя и находятся в его персональном каталоге. В этом случае passwrd не просит повысить привилегии.

Пакет включает в себя PAM-модуль pam_tcb, NSS модуль libnss_tcb и общую для данных модулей библиотеку libtcb. Замены модулей PAM и NSS достаточно для работы со схемой штатных утилит. Применяемый в tcb механизм хэшировния паролей crypt_blowfish поддерживается в библиотеке libxcrypt, которая поставляется по умолчанию в Fedora Linux вместо libcrypt. Это даёт использовать вместе с tcb штатную системную библиотеку Glibc без применения дополнительных патчей.

Из улучшений: поддержка libxcrypt и новых версий Glibc, поддержка интернационализации в pam_tcb (i18n) и прекращение поддержки устаревшего механизма NIS/NIS+.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *