htdbm - Manipuler des bases de donnï¿½es DBM de mots de passe

Langues Disponibles: en | fr | tr

htdbm permet de manipuler des fichiers au format DBM ou sont stockï¿½s des nom d'utilisateurs et mots de passe ï¿½ des fins d'authentification de base des utilisateurs HTTP via le module mod_authn_dbm. Voir la documentation de dbmmanage pour plus de dï¿½tails ï¿½ propos de ces fichiers DBM.

Syntaxe
Options
Bugs
Valeur renvoyï¿½e
Exemples
Considï¿½rations ï¿½ propos de sï¿½curitï¿½
Restrictions

Voir aussi

Syntaxe

htdbm [ -TDBTYPE ] [ -i ] [ -c ] [ -m | -B | -d | -s | -p ] [ -C cost ] [ -t ] [ -v ] nom-fichier nom-utilisateur

htdbm -b [ -TDBTYPE ] [ -c ] [ -m | -B | -d | -s | -p ] [ -C cost ] [ -t ] [ -v ] nom-fichier nom-utilisateur mot-de-passe

htdbm -n [ -i ] [ -c ] [ -m | -B | -d | -s | -p ] [ -C cost ] [ -t ] [ -v ] nom-utilisateur

htdbm -nb [ -c ] [ -m | -B | -d | -s | -p ] [ -C cost ] [ -t ] [ -v ] nom-utilisateur mot-de-passe

htdbm -v [ -TDBTYPE ] [ -i ] [ -c ] [ -m | -B | -d | -s | -p ] [ -C cost ] [ -t ] [ -v ] nom-fichier nom-utilisateur

htdbm -vb [ -TDBTYPE ] [ -c ] [ -m | -B | -d | -s | -p ] [ -C cost ] [ -t ] [ -v ] nom-fichier nom-utilisateur mot-de-passe

htdbm -x [ -TDBTYPE ] nom-fichier nom-utilisateur

htdbm -l [ -TDBTYPE ]

Options

-b: Utilise le mode batch ; en d'autres termes, le mot de passe est extrait de la ligne de commande au lieu d'ï¿½tre demandï¿½ ï¿½ l'opï¿½rateur. Cette option doit ï¿½tre utilisï¿½e avec la plus grande prudence, car le mot de passe est visible en clair dans la ligne de commande. Pour utiliser un script, voir l'option -i.
-i: Lit le mot de passe depuis stdin sans vï¿½rification (ï¿½ utiliser dans le cadre d'un script).
-c: Crï¿½e le fichier-mots-de-passe. Si fichier-mots-de-passe existe dï¿½jï¿½, il est rï¿½ï¿½crit et tronquï¿½. Cette option ne peut pas ï¿½tre combinï¿½e avec l'option -n.
-n: Affiche les rï¿½sultats sur la sortie standard et ne met pas ï¿½ jour la base de donnï¿½es. Cette option modifie la syntaxe de la ligne de commande, car l'argument fichier-mots-de-passe (en gï¿½nï¿½ral le premier) est omis. Elle ne peut pas ï¿½tre combinï¿½e avec l'option -c.
-m: Utilise un chiffrement MD5 pour les mots de passe. Sous Windows et Netware, c'est l'option par dï¿½faut..
-B: Utilise l'algorythme de chiffrement bcrypt pour les mots de passe. C'est un algorythme actuellement considï¿½rï¿½ comme sï¿½r.
-C: Ce drapeau n'est autorisï¿½ qu'en conjonction avec le drapeau -B (chiffrement bcrypt). Il permet de dï¿½finir la durï¿½e de traitement pour l'algorythme de chiffrement bcrypt (plus elle est longue, plus la sï¿½curitï¿½ est ï¿½levï¿½e, mais la rapiditï¿½ est diminuï¿½e d'autant) ; la valeur par dï¿½faut est 5, les valeurs valides vont de 4 ï¿½ 31.
-d: Utilise un chiffrement crypt() pour les mots de passe. C'est l'option par dï¿½faut sur toutes les plates-formes, sauf Windows et Netware. Bien que htdbm supporte ce chiffrement sur toutes les plates-formes, il n'est pas supportï¿½ par le serveur httpd sous Windows et Netware. Cet algorythme est considï¿½rï¿½ comme non sï¿½r selon les standards actuels.
-s: Utilise le chiffrement SHA pour les mots de passe. Facilite la migration vers/depuis les serveurs Netscape qui utilisent le format LDAP Directory Interchange (ldif). Cet algorythme est considï¿½rï¿½ comme non sï¿½r selon les standards actuels.
-p: Utilise des mots de passe au format texte en clair. Bien que htdbm supporte ce format sur toutes les plates-formes, le dï¿½mon httpd n'accepte les mots de passe au format texte en clair que sous Windows et Netware.
-l: Affiche chaque nom d'utilisateur de la base de donnï¿½es accompagnï¿½ de son commentaire sur la sortie standard.
-v: Vï¿½rifie une association nom d'utilisateur/mot de passe. Le programme affichera un message indiquant si le mot de passe fourni est valide. Si le mot de passe n'est pas valide, le programme s'arrï¿½te et renvoie un code d'erreur 3.
-x: Supprime l'utilisateur. Si le nom d'utilisateur existe dans le fichier DBM spï¿½cifiï¿½, il sera supprimï¿½.
-t: Interprï¿½te le dernier paramï¿½tre en tant que commentaire. Avec cette option, il est possible d'ajouter une chaï¿½ne supplï¿½mentaire ï¿½ la fin de la ligne de commande ; le contenu de cette chaï¿½ne sera stockï¿½ dans la base de donnï¿½es dans le champ "Comment" associï¿½ au nom d'utilisateur spï¿½cifiï¿½.
nom-fichier: Le nom du fichier au format DBM en gï¿½nï¿½ral sans l'extension .db, .pag, ou .dir. Avec l'option -c, le fichier DBM est mis ï¿½ jour s'il existe ou crï¿½ï¿½ dans le cas contraire.
nom-utilisateur: Le nom d'utilisateur ï¿½ crï¿½er ou mettre ï¿½ jour dans le fichier-mots-de-passe. Si nom-utilisateur n'existe pas dans ce fichier, une entrï¿½e est ajoutï¿½e. S'il existe, son mot de passe est modifiï¿½.
mot-de-passe: Le mot de passe en clair destinï¿½ ï¿½ ï¿½tre chiffrï¿½ et stockï¿½ dans le fichier DBM. Ne s'utilise qu'avec l'option -b.
-TDBTYPE: Type de fichier DBM (SDBM, GDBM, DB, ou "default").

Bugs

Vous devez garder ï¿½ l'esprit qu'il existe de nombreux formats de fichiers DBM diffï¿½rents, et que selon toute vraisemblance, des bibliothï¿½ques pour plus d'un format sont prï¿½sentes sur votre systï¿½me. Les trois exemples de base sont SDBM, NDBM, le projet GNU GDBM, et Berkeley/Sleepycat DB 2/3/4. Malheureusement, toutes ces bibliothï¿½ques utilisent des formats de fichiers diffï¿½rents, et vous devez vous assurer que le format de fichier utilisï¿½ par nom-fichier correspond au format attendu par htdbm. Actuellement, htdbm n'a aucun moyen de savoir ï¿½ quel type de fichier DBM il a ï¿½ faire. S'il est utilisï¿½ avec un format inappropriï¿½, il ne renverra rien, ou pourra crï¿½er un fichier DBM diffï¿½rent avec un nom diffï¿½rent, ou au pire, va corrompre le fichier DBM si vous avez tentï¿½ de le modifier.

Vous pouvez utiliser le programme file fourni par la plupart des systï¿½mes Unix pour dï¿½terminer le format d'un fichier DBM.

Valeur renvoyï¿½e

htdbm renvoie 0 ("true") si les nom d'utilisateur et mot de passe ont ï¿½tï¿½ crï¿½ï¿½s ou mis ï¿½ jour avec succï¿½s dans le fichier DBM. htdbm renvoie 1 s'il a rencontrï¿½ un problï¿½me d'accï¿½s aux fichiers, 2 si la ligne de commande comportait une erreur de syntaxe, 3 si le mot de passe a ï¿½tï¿½ fourni interactivement et s'il est invalide pour l'entrï¿½e considï¿½rï¿½e, 4 si l'opï¿½ration a ï¿½tï¿½ interrompue, 5 si une valeur est trop longue (nom utilisateur, nom fichier, mot de passe, ou l'enregistrement aprï¿½s son ï¿½laboration), 6 si le nom d'utilisateur contient des caractï¿½res illï¿½gaux (voir la section Restrictions), et 7 si le fichier n'est pas un fichier de mots de passe DBM valide.

Exemples

htdbm /usr/local/etc/apache/.utilisateurs-htdbm jsmith

Ajoute ou modifie le mot de passe de l'utilisateur jsmith. Le mot de passe est demandï¿½ ï¿½ l'opï¿½rateur. Sous Windows, le mot de passe sera chiffrï¿½ en utilisant l'algorithme MD5 Apache modifiï¿½ ; dans les autres cas, c'est la routine crypt() du systï¿½me qui sera utilisï¿½e. Si le fichier n'existe pas, htdbm s'arrï¿½tera et renverra une erreur.

htdbm -c /home/doe/public_html/.htdbm jane

Crï¿½e un nouveau fichier et y enregistre une entrï¿½e pour l'utilisateur jane. Le mot de passe est demandï¿½ ï¿½ l'opï¿½rateur. Si le fichier existe et ne peut pas ï¿½tre lu, ou ne peut pas ï¿½tre ï¿½crit, il ne sera pas modifiï¿½ et htdbm affichera un message et renverra un code d'erreur.

htdbm -mb /usr/web/.htdbm-tous jones Pwd4Steve

Chiffre le mot de passe entrï¿½ avec la ligne de commande (Pwd4Steve) ï¿½ l'aide de l'algorithme MD5, et l'enregistre dans le fichier spï¿½cifiï¿½.

Considï¿½rations ï¿½ propos de sï¿½curitï¿½

Les fichiers de mots de passe Web tels que ceux que gï¿½re htdbm ne doivent pas ï¿½tre stockï¿½s dans l'espace d'URI du serveur Web -- en d'autres termes, il ne doit pas ï¿½tre possible d'y accï¿½der ï¿½ l'aide d'un navigateur.

L'utilisation de l'option -b est dï¿½conseillï¿½e, car lorsqu'il est utilisï¿½, le mot de passe apparaï¿½t en clair dans la ligne de commande.

Notez que lorsque vous utilisez l'algorythme crypt(), seuls les 8 premiers caractï¿½res du mot de passe sont pris en compte. Si le mot de passe fourni est plus long, les caractï¿½res supplï¿½mentaires seront ignorï¿½s sans avertissement.

L'algorythme SHA ne permet pas de spï¿½cifier une valeur d'initialisation pour la gï¿½nï¿½ration de nombres alï¿½atoires (salting) : un mot de passe donnï¿½ ne possï¿½de ainsi qu'une rï¿½prï¿½sentation chiffrï¿½e. Les algorythmes crypt() et MD5 permettent quant ï¿½ eux des reprï¿½sentations chiffrï¿½es multiples en acceptant comme paramï¿½tre une chaï¿½ne d'initialisation (salt), rendant les attaques ï¿½ base de dictionnaires contre les mots de passe plus difficiles.

Les algorythmes SHA et crypt() sont considï¿½rï¿½s comme non sï¿½rs selon les standards actuels.

Restrictions

Sur la plate-forme Windows, les mots de passe chiffrï¿½s avec htdbm ont une taille limitï¿½e ï¿½ 255 caractï¿½res. Si le mot de passe fourni est plus long, il sera tronquï¿½ ï¿½ 255 caractï¿½res.

L'algorithme MD5 utilisï¿½ par htdbm est spï¿½cifique ï¿½ Apache ; les mots de passe chiffrï¿½s en utilisant cet algorithme seront inutilisables sur d'autres serveurs Web.

Les noms d'utilisateurs ont une taille limitï¿½e ï¿½ 255 octets et ne doivent pas contenir de caractï¿½re :.