| Het rootwachtwoord zelf wordt niet opgeslagen in platte tekst of in een gemakkelijk omkeerbaar formaat. In plaats daarvan wordt een cryptografische hash van het wachtwoord opgeslagen. Deze hash wordt gebruikt om het wachtwoord te verifiëren wanneer u zich probeert te verifiëren als root.
Concreet wordt deze hash opgeslagen in het bestand `/etc/shadow`. De toegang tot dit bestand is echter beperkt tot de rootgebruiker.
Laten we uitleggen waarom en hoe:
* `/etc/schaduw`: Dit bestand bevat informatie over gebruikersaccounts, waaronder:
* Gebruikersnaam: De accountnaam.
* Gehasht wachtwoord: Een cryptografische hash van het wachtwoord van de gebruiker. Moderne systemen gebruiken sterke hash-algoritmen zoals SHA-512 of yescrypt.
* Andere accountinformatie: Details over het beleid voor wachtwoordveroudering, het verlopen van accounts en inactiviteitslimieten.
* Waarom hashen? Het opslaan van het wachtwoord in platte tekst zou een groot veiligheidsrisico vormen. Als een aanvaller toegang krijgt tot het `/etc/shadow`-bestand, kan deze onmiddellijk alle gebruikersaccounts in gevaar brengen. Hashing maakt het computationeel onhaalbaar (met de huidige technologie) om het proces om te keren en het originele wachtwoord uit de hash te achterhalen. Zelfs als een aanvaller de hash te pakken krijgt, moet hij deze nog steeds 'kraken', wat een tijdrovend en arbeidsintensief proces is.
* Waarom de toegang tot `/etc/shadow` beperken? Als een gewone gebruiker `/etc/shadow` zou kunnen lezen, zou hij potentieel tools kunnen gebruiken om te proberen de wachtwoord-hashes voor andere accounts, inclusief root, te kraken. Door de toegang te beperken, voorkomt het systeem dat ongeautoriseerde gebruikers de benodigde informatie verkrijgen om te proberen het wachtwoord te kraken.
Belangrijke overwegingen:
* Moderne systemen gebruiken sterke hashing: Oudere systemen gebruikten zwakkere hash-algoritmen zoals MD5, die nu als kwetsbaar worden beschouwd. Ubuntu en de meeste moderne Linux-distributies gebruiken veel sterkere algoritmen zoals SHA-512 of yescrypt.
* Zout: Een "salt" is een willekeurige reeks die aan het wachtwoord wordt toegevoegd voordat het wordt gehasht. Dit helpt voorkomen dat aanvallers vooraf berekende tabellen met algemene wachtwoord-hashes (regenboogtabellen) gebruiken om wachtwoorden te kraken. Elke gebruiker heeft een unieke zoutwaarde. De salt wordt samen met het gehashte wachtwoord opgeslagen in het bestand `/etc/shadow`.
* Rootaccount standaard uitgeschakeld: Op veel moderne Ubuntu-installaties (vooral desktopversies) is het root-account standaard vergrendeld of uitgeschakeld. In plaats daarvan worden administratieve taken uitgevoerd met behulp van `sudo`. Dit maakt het direct inloggen als root moeilijker, waardoor het potentiële aanvalsoppervlak kleiner wordt.
* Alternatieven voor het root-wachtwoord: Het gebruik van `sudo` (of `pkexec` voor grafische toepassingen) is de aanbevolen manier om administratieve taken uit te voeren in Ubuntu. Hierdoor kunt u specifieke rechten verlenen aan specifieke gebruikers zonder dat ze het root-wachtwoord hoeven te kennen.
Samengevat:
Het rootwachtwoord wordt niet rechtstreeks opgeslagen. Een cryptografische hash van het wachtwoord, samen met een unieke salt, wordt opgeslagen in het bestand `/etc/shadow`, dat alleen toegankelijk is voor de rootgebruiker. Dit ontwerp verbetert de beveiliging van het systeem aanzienlijk door ongeautoriseerde toegang tot gevoelige wachtwoordinformatie te voorkomen. |
