Si bien es probable que no tenga sentido cambiar el nombre de los archivos /etc/passwd
y /etc/shadow
, si desea mayor seguridad, es posible que desee ver PAM (módulos de autenticación conectables) y NSS (cambio de servicio de nombres). Como aquí.
PAM se puede utilizar para agregar módulos de autenticación que, en lugar de leer su información de autenticación de los archivos estándar, la leen de otra fuente, como ldap o una base de datos. Usarlo significaría que /etc/shadow
puede eliminarse casi por completo.
NSS complementa PAM al hacer que parte de la resolución de nombres (como a qué grupos pertenece este usuario) sea independiente de los archivos estándar ( /etc/passwd
, /etc/groups
). Usarlo significaría que su archivo passwd solo contendrá una opción alternativa para root, y nada más. El uso de claves SSH para validar el inicio de sesión raíz también eliminaría la necesidad de tener una contraseña raíz dentro del archivo sombra (aunque podría ser deseable si se rompe la conexión SSH).
Alternativamente, si no desea autenticar a sus usuarios a través de una base de datos separada o un host ldap, también puede crear sus propios módulos PAM y NSS, que leen sus datos de un archivo no estándar, aunque no recomendaría esta opción.
Cuando desee tratar de usarlos, nunca olvide mantener algún tipo de respaldo a una capa de autenticación conocida y funcional, de lo contrario, puede bloquearse del sistema, incluso con root.
Tenga en cuenta que no todas las aplicaciones admiten PAM (sin embargo, muchas de ellas lo hacen). Sin embargo, NSS puede usarse para implementar la autenticación para aplicaciones que no son compatibles con PAM, y algunos sitios que he leído sobre NSS realmente sugieren este enfoque. Sin embargo, esto significa que el módulo NSS proporcionará la contraseña (potencialmente) cifrada a cualquiera que pueda acceder a la capa de autenticación NSS, lo cual es casi siempre algo que desea evitar (básicamente es lo mismo que otorgar acceso de lectura no root al archivo shadow) )! Entonces, si sigue este enfoque, asegúrese siempre de que NSS solo se use para proporcionar al usuario los datos básicos (como el contenido de /etc/passwd
), y que PAM se use como la capa de autenticación.