The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск shadow-utils 4.19 с признанием устаревшим механизма ограничения времени действия паролей

01.01.2026 11:49

Доступен выпуск инструментария shadow-utils 4.19.0, включающего утилиты для управления учётными данными пользователей и групп, а также хранения паролей в отдельном файле /etc/shadow, доступном только пользователю root и группе shadow. В состав входят такие утилиты, как useradd, userdel, usermod, pwconv, groupadd, groupdel, groupmod, pwunconv, pwck, lastlog, su и login. Код инструментария написан на Си и распространяется под лицензией BSD.

Новая версия примечательна объявлением устаревшей функциональности, принуждающей пользователей менять пароль после истечения определённого времени. Современные исследования показали, что прирост безопасности от периодической смены паролей незначителен, а принуждение к смене паролей приводит к использованию пользователями предсказуемых шаблонов. В утверждённом в 2025 году стандарте NIST SP 800-63B-4 не рекомендовано ограничивать время жизни пароля. В число устаревших переведены опции "-k" (--keep-tokens), "-n" (--mindays), "-x" (--maxdays), "-i" (--inactive) и "-w" (--warndays), а также флаги PASS_MIN_DAYS, PASS_MAX_DAYS, PASS_WARN_AGE, INACTIVE, sp_lstchg, sp_min, sp_max, sp_warn и sp_inact. Планов по удалению данных опций и флагов пока нет, речь только о пометке их устаревшими.

Из других значительных изменений в новой версии:

  • Запрещено использование в файлах конфигурации экранированных символов перевода строки.
  • Объявлена устаревшей поддержка хэшей SHA-1, в следующем выпуске опция '--with-sha-crypt' будет удалена.
  • В категорию устаревших и запланированных к удалению в будущих выпусках переведены утилиты groupmems и logoutd.
  • Реализовано блокирование использования некоторых опасных имён пользователей и групп, независимо от состояния опции "--badname". Например, имена, начинающиеся на "-" или содержащие служебные символы, такие как "#:;,/" и разные формы кавычек.


  1. Главная ссылка к новости (https://github.com/shadow-main...)
  2. OpenNews: Спорная ошибка в systemd, позволяющая повысить привилегии, закрыта без исправления
  3. OpenNews: Анонсирован Openwall GNU/*/Linux 3.1-stable
  4. OpenNews: В OpenSSH добавлена встроенная защита от атак по подбору паролей
  5. OpenNews: Уязвимости в apport и systemd-coredump, позволяющие извлечь хэши паролей пользователей системы
  6. OpenNews: Представлен Proton Authenticator, генератор одноразовых паролей для двухфакторной аутентификации
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64541-shadow
Ключевые слова: shadow, password
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, anonymous (??), 12:07, 01/01/2026 [ответить]  
    		• +1 +/
    Менять пароли - это всё ещё безопасно. Но только если пользователи действительно хотят менять пароли. А если не хотят, а их заставляют - то начинается итальянская забастовка. Когда пароли вроде бы меняются, а лучше бы не менялись.
     
     
  • 2.3, онанист (?), 12:24, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Менять пароли - это всё ещё безопасно.

    примерно так же, как ключи к замку.

     
  • 2.4, Аноним (4), 12:39, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Смысл менять пароли был только если один пароль используется в нескольких местах, если пароль уникален и надежен то смена на безопасность не влияет.
     
     
  • 3.7, Аноним (7), 12:52, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > если пароль уникален и надежен то смена на безопасность не влияет.

    Влияет, вот я запустил условный брутфорс и мой пароль начинается там на символ "k", а тем временем атакующий еще только брутфорсит символ "g", вот взял сменил пароль и он начинается уже на символ "a", то есть атакующий уже проверял данный пароль, в таком случае пробрутфорсит до "конца" и не наткнется на пароль :)

     
     
  • 4.9, penetrator (?), 13:53, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    если пароль уникальный и случайный длиной около 20 символов (например c1PuKrnmBYsfievymPx - энтропия 113 бит), то перебирать ты его будешь даже имея все мощности планеты больше чем текущий возраст Вселенной

    а если пароль у тебя linuxforever то конечно смысла в таком паароле нет вообще

     
  • 2.5, Аноним (5), 12:49, 01/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > итальянская забастовка

    [T]OTP как терминальная стадия

     

  • 1.6, нах. (?), 12:51, 01/01/2026 [ответить]  
    		• +1 +/
    Ух ты, хоть где-то еще не окончательно победила идиотия!

     
  • 1.8, Аноним (8), 12:58, 01/01/2026 [ответить]  
    		• +/
    > Код инструментария написан на Си

    Годно! Отличный язык. Чтобы на нём писать, нужно обладать высокой квалификацией, следовательно эти утилиты не дураки писали.

     
  • 1.10, Аноним (10), 13:54, 01/01/2026 [ответить]  
    		• +/
    Да да. Я когда на старой работе работал, там была периодическая смена пароля. Каждый день вбивал на автомате. Но когда выходил из отпуска, несколько минут сидел в ступоре, т.к. с трудом вспоминал этот пароль.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру