védelme jelszavak
Sok operációs rendszert, hogy a felhasználói hozzáférést a rendszer segítségével a hitelesítés a felhasználó nevét és jelszavát, és a Linux sem kivétel.
Abban a pillanatban, nézzük a mechanizmus a / etc / passwd és az összes társított jelszavakat.
A szív a Linux-biztonság a / etc / passwd, amely adatokat tartalmaz a regisztrált felhasználók a rendszerben. Egy felhasználó lépnie, hogy regisztrálni kell a fájlt. A korai verziók a Linux esetében az alábbi fájl formátumát (mezőket kettősponttal elválasztva):
Nézzünk egy tipikus példája a / etc / passwd:
Ha a felhasználó bejelentkezik, a bevitt kódolt jelszót (vagy szaggatva), és összehasonlítjuk az értéket a második mezőben. Ha az értékek megegyeznek, a felhasználó számára hozzáférést. Ha jelszó helyett egy csillag, akkor a felhasználó nem tud bejelentkezni (ha megpróbál bejelentkezni alatt, hogy a felhasználó nevét, akkor kap jelszó helytelen).
Minden jó, ha a / etc / passwd nem olvasható bármelyik felhasználó. Bárki lehet másolni ezt a fájlt, majd egy brute force támadással (brute force), a „Számítás” jelszavak a többi felhasználó. Ehhez van egy csomó programot, a legnépszerűbb a John Ripper, lehetővé téve, hogy egy pár napig, hogy kiváló a jelszó az összes felhasználó számára.
Hogy oldja meg ezt a problémát, árnyék jelszavakat használnak modern változatát a Linux. A mechanizmus árnyék jelszavak a következők: / etc / passwd még ma is használják, de a jelszavakat belőle „költözött”, hogy a / etc / shadow, ami csak olvasható, hogy a root felhasználó (a programok futnak a nevében). Ahelyett, hogy a jelszavakat és csillagocskák a második mezőben a / etc / passwd jelenleg az X szimbólumot. Nézd meg a / etc / passwd:
A megfelelő / etc / shadow így néz ki:
root: $ l $ 9R6CkJpT $ 6mglIAM00eFwYWmJLLuLz /. 12 937. 0. 99999. 7.
Itt a második mezőben - a titkosított jelszót, a más területeken használják a következő célokra:
Engedélyezése árnyék jelszót.
Most talán nem Linux-alapú rendszerek, amelyek nem támogatják árnyék jelszavakat. De eshet forgalmazása, amelyek árnyék jelszavakat, de alapértelmezés szerint nincs engedélyezve. Annak érdekében, akkor kell használni a parancsot pwconv (szintén ne felejtsük el, hogy grpconv parancs konvertálni a fájlt az / etc / grpconv).
Ha engedélyezi az árnyék jelszavakat, akkor továbbra is a biztonsági réseket. Jelentősen csökkenti a kockázatot a köhögés a fiók jelszavak lehetővé teszik a megfelelő szabály változás, hogy van, akkor be kell állítani értékeket minden területén az / etc / shadow. De ne feledjük, a célból, hogy minden területen nehéz.
Használhatja a chage egyszerűsítését célzó program ezt a feladatot. tartozéka Shadow Suite. Mondattani ez:
chage [-m mindays] [-M maxdays] [-d lastday] [-1 inaktív] [-E expiredate] [-W warndays] Felhasználói
- -m - a jelszó minimális;
- -M - maximális jelszó;
- -W - a napok száma az utolsó napjáig értesíti a felhasználót;
- -E - a dátum a megszűnése jelszavakat.
Jelszó Lejár: Soha
Jelszó Inaktív: Soha
Számla Lejár: Soha
Javasoljuk, hogy hozzanak egy jelszó minimális hossza 8 karakter, és kényszeríti a felhasználókat, hogy változtassák meg a jelszavukat minden 6-7 hétben. További felett jelszóváltoztatásról szabályok állíthatók elő /etc/login.defs fájlt.