文章內(nèi)容

Linux用戶管理安全寶典：密碼防破解與帳號(hào)文件保護(hù) (2)

發(fā)布時(shí)間: 2012/8/6 19:31:21

數(shù)站點(diǎn)都從/home開始安排用戶登錄子目錄，并把每個(gè)用戶的子目錄命名為其上機(jī)使用的登錄名。
　　當(dāng)用戶登錄進(jìn)入系統(tǒng)時(shí)，都有一個(gè)屬于自己的操作環(huán)境。用戶遇到的第一個(gè)程序叫做shell。在Linux系統(tǒng)里，大多數(shù)shell都是基于文本的。Linux操作系統(tǒng)帶有好幾種shell供用戶選用。用戶可以在/etc/shells文件中看到它們中的絕大多數(shù)。用戶可以根據(jù)自己的喜好來(lái)選用不同的shell進(jìn)行操作。按照最嚴(yán)格的定義，在上面所介紹的/etc/passwd文件中，每個(gè)用戶的口令數(shù)據(jù)項(xiàng)中并沒有定義需要運(yùn)行某個(gè)特定的shell，其中列出的是這個(gè)用戶上機(jī)后第一個(gè)運(yùn)行的程序是哪個(gè)。綜上所述，通過(guò)使用cat命令查看/etc/passwd文件（#cat /etc/passwd）。
　　(2) 用戶影子文件——shadow
　　Linux使用不可逆的加密算法如DES來(lái)加密口令，由于加密算法是不可逆的，所以黑客從密文是得不到明文的。但/etc/passwd文件是全局可讀的，加密的算法是公開的，惡意用戶取得了/etc/passwd文件，便極有可能破解口令。而且，在計(jì)算機(jī)性能日益提高的今天，對(duì)賬號(hào)文件進(jìn)行字典攻擊的成功率會(huì)越來(lái)越高，速度越來(lái)越快。因此，針對(duì)這種安全問題，Linux/UNIX廣泛采用了“shadow（影子）文件”機(jī)制，將加密的口令轉(zhuǎn)移到/etc/shadow文件里，該文件只為root超級(jí)用戶可讀，而同時(shí)/etc/passwd文件的密文域顯示為一個(gè)x，從而最大限度地減少了密文泄露的機(jī)會(huì)。
　　/etc/shadow文件的每行是8個(gè)冒號(hào)分割的9個(gè)域，格式如下：
　　username: passwd: lastchg: min: max: warn: inactive: expire: flag
　　如下所示的是一個(gè)系統(tǒng)中實(shí)際影子文件的例子：
　　liyang:$1$ciY58zQZ$iKVHLSVZZgM75.lGp5Rmv.:14633:0:99999:7:::
　　我們對(duì)最后一個(gè)用戶的信息進(jìn)行解釋，該信息表明了如下含義：
　　用戶登錄名：liyang
　　用戶加密的口令：liyang后緊跟的一段亂碼信息$1$ciY58zQZ$iKVHLSVZZgM75.lGp5Rmv.
　　從1970年1月1日起到上次修改口令所經(jīng)過(guò)的天數(shù)天數(shù)為：14633天
　　需要多少天才能修改這個(gè)命令：0天
　　該口令永不過(guò)期：采用99999表示
　　要在口令失效前7天通知用戶，發(fā)出警告
　　禁止登錄前用戶名還有效的天數(shù)未定義，以“:”表示
　　用戶被禁止登錄的時(shí)間未定義，以“:”表示
　　保留域，未使用，以“:”表示
　　(3) 組賬號(hào)文件——group
　　/etc/passwd文件中包含著每個(gè)用戶默認(rèn)的分組ID（GID）。在/etc/group文件中，這個(gè)GID被映射到該用戶分組的名稱以及同一分組中的其他成員去。
　　/etc/group文件含有關(guān)于小組的信息，/etc/passwd中的每個(gè)GID在文件中應(yīng)當(dāng)有相應(yīng)的入口項(xiàng)，入口項(xiàng)中列出了小組名和小組中的用戶，這樣可方便地了解每個(gè)小組的用戶，否則必須根據(jù)GID在/etc/passwd文件中從頭至尾地尋找同組用戶，這提供了一個(gè)比較快捷的尋找途徑。/etc/group文件對(duì)小組的許可權(quán)限的控制并不是必要的，因?yàn)橄到y(tǒng)用來(lái)自于/etc/passwd文件的UID、GID來(lái)決定文件存取權(quán)限，即使/etc/group文件不存在于系統(tǒng)中，具有相同的GID用戶也可以小組的存取許可權(quán)限共享文件。小組就像登錄用戶一樣可以有口令。如果/etc/group文件入口項(xiàng)的第二個(gè)域?yàn)榉强眨ㄍǔＳ脁表示），則將被認(rèn)為是加密口令。/etc/group文件中每一行的內(nèi)容如下所示：
　　用戶分組名
　　加過(guò)密的用戶分組口令
　　用戶分組ID號(hào)（GID）
　　以逗號(hào)分隔的成員用戶清單
　　如下是系統(tǒng)中一個(gè)具體的/etc/group文件中記錄的例子：
　　adm:x:4:root,adm,daemon
　　以上面文件第四行為例子，它說(shuō)明在系統(tǒng)存在一個(gè)adm的用戶組，它的信息如下：
　　用戶分組名為adm
　　用戶組口令已經(jīng)加密，用“x”表示
　　GID為4
　　同組的成員用戶有：root，adm，daemon
　　(4) 組賬號(hào)文件——gshadow
　　如同用戶賬號(hào)文件的作用一樣，組賬號(hào)文件也是為了加強(qiáng)組口令的安全性，防止黑客對(duì)其實(shí)行的暴力攻擊，而采用的一種將組口令與組的其他信息相分離的安全機(jī)制。其格式如下所示內(nèi)容：
　　用戶組名
　　加密的組口令
　　組成員列表
　　下面是系統(tǒng)中一個(gè)具體的/etc/gshadow文件的例子：
　　mail:::mail,postfix,exim
　　以組mail為例，其加密后的組口令被隱藏，其組成員包括mail、postfix和exim。其他的以“::”結(jié)尾的組表明沒有組成員，但是用戶可以自行添加。
　　總結(jié)
　　對(duì)于Linux系統(tǒng)的全方位保護(hù)，我們已經(jīng)介紹了文件系統(tǒng)保護(hù)、進(jìn)程管理、以及本文的用戶管理。除了已經(jīng)介紹過(guò)的這三項(xiàng)，Linux日志管理也是必不可缺的一環(huán)，這將在下篇文章中進(jìn)行介紹。