Linux用户管理安全宝典:密码防破解与帐号文件保护[Linux安全]

Linux用户管理主要分为两方面:密码管理,以及用户与用户组的管理.下面将对这两方面辨别举行阐述.

1. 密码管理

密码是用户登录Linux系统的钥匙,假如没有钥匙老是要费一番力气后,才能登录到目标操作系统.无论入侵者采取何种远程攻击,假如无法得到管理员或超级管理员的用户密码,就无法完好掌握整个系统.若想拜候系统,最简单也是必要的办法就是盗取用户的密码.因此,对系统管理员账户来说,最需求保护的就是密码,假如密码被盗,也就意味着灾难的到临.

入侵者大多是通过各种系统和设置漏洞,得到管理员密码来得到管理员权限的,然后,再实现对系统的恶意攻击.账号的弱密码设置会使入侵者易于破解而得以拜候计算机和网络,而强密码则难以破解,即便是密码破解软件也难以在短时间内办到.密码破解软件普通利用3种办法举行破解:字典猜解、组合猜解和暴力猜解.毫无疑问,破解强密码远比破解弱密码艰可贵多.因此,系统管理员账户必须利用强密码.

据统计,大约80%的安全隐患是由于密码设置不当惹起的.因此,密码的设置无疑是非常讲究本领的.在设置密码时,请服从密码安全设置原则,该原则实用于任何利用密码的场所,既包含Windows操作系统,也包含UNIX/Linux操作系统.

John the Ripper是一个工具软件,用于在已知密文的情形下尝试破解出明文的破解密码软件.目前的最新版本是JOHN1.7版,主要支持对DES、MD5两种加密方法的密文举行破解工作.它可以工作于多中差别的机型以及多种差别的操作系统之下,目前已经测试过可以正常运行的操作系统有:Linux x86、freeBSD、x86、Solaris、SPARC、OSF/1 Alpha、DOS、WinNT/WinXP系列等.

John the Ripper官网:http://www.openwall.com/john/

John the Ripper 1.7是目前对比好的破解密码工具,在解密历程中会自动按时存盘,用户可以逼迫中止解密历程（利用ctrl+c组合键）,下次还可以从中止的地方持续举行下去（john-restore号令）.任什么时刻候敲击键盘,用户都可以看到整个解密的举行情形,全部已经被破解的密码会被保存在当前目录下的JOHN.POT文件中,SHADOW中全部密文相同的用户会被归成一类,这样JOHN就不会举行无谓的反复劳动了.在程序的计划中,关键的密码生成的条件被放在JOHN.INI文件中,用户可以自行改正设置,不但支持单词范例的改变,并且支持自己编写C的小程序限制密码的取值方法.

在利用该软件前,我们可以从网上下载其最新版本john-1.7.3.4 for Linux版本,它包含DOC、SRC和RUN三个目录,在SRC目录下,在机械上履行以下号令便可:

#make
#make clean linux-x86-any

安装好后,可以切换到RUN目录下,举行测试,以下所示:

#cd ../run
#./john –test

John the ripper供应了以下多达10余种的号令,供用户挑选利用:

1. pwfile:<file>[,..]:用于指定存放密文所在的文件名,(可以输入多个,文件名一我“,”脱离,也可以利用*大概 这两个通配符引用一批文件).也可以不利用此参数,将文件名放在号令行的最后便可.
2. wordfile:<字典文件名>-stdin:指定的用于解密用的字典文件名.也可以利用STDIO来输入,就是在键盘中输入.
3. rules:在解密历程中利用单词法则改变功效.如将尝试cool单词的其他大概,如COOLER、Cool等,具体法则可以在JOHN.INI文件中的[List.Rules:Wordlist]部份查到.
4. incremental[:<情势名称>]:利用遍历情势,就是组合密码的全部大概情形,一样可以在JOHN.INI文件中的[Incremental:*****]部份查到.
5. single:利用单一情势举行解密,主如果按照用户名产生改变来猜想解密,可以清除对比初级的用户.其组合理则可以在JOHN.INI文件中的[List.Rules:Single]部份查到,我们在下面具体注释.
6. external:<情势名称>:利用自定义的扩大解密情势,用户可以在john.ini中定义自己需求的密码组合方法.JOHN也在INI文件中给出了几个示例,在INI文件的[List.External:******]中所定义的自订破解功效.
7. restore[:<文件名>]:持续上次的破解工作,JOHN被中止后,当前的解密进度情形被存放在RESTORE文件中,用户可以拷贝这个文件到一个新的文件中.假如参数后不带文件名,JOHN默许利用RESTORE文件.
8. makechars:<文件名>:制作一个字符表,用户所指定的文件假如存在,则将会被覆盖.JOHN尝试利用内涵法则在呼应密钥空间中生成一个最有大概击中的密码组合,它会参考在JOHN.POT文件中已经存在的密钥.
9. show:显示已经破解出的密码,因为JOHN.POT文件中并不包含用户名,同时用户应当输入呼应的包含密码的文件名,JOHN会输出已经被解密的用户连同密码的具体表格.
10. test:测试当前机械运行JOHN的解密速度,需求1分钟,它会得出在当前的情形下解密的各种大概情形下呼应的解密速度,好像时解密100个用户时的平均速度,利用 遍历法解密情势时解密的速度.salts指用户个数,假如给出的关于100个用户解密的平均速度为18000次/秒,那么表明同时对100个用户解密,解 密的速度为每个180次/秒.因为绝大大都的时间被用于密钥对比历程中了.所以应当对用户举行挑选.
11. users:<login|uid>[,..]:只破解某范例的用户大概属于某个组的用户.假如得到的PASSWD文件没有包含密文,那么在得到SHADOW后应当举行组合,JOHN的附带程序 UNSHADOW.EXE可以完成这一历程,当然了,用户也可以手工做.普通的可以进入CSH的用户都是解密的首选对象.也可以要UID=0的ROOT级别 的用户.
12. shells:[!]<shell>[,..]:和上面的参数一样,这一选项可以挑选对全部可以利用shell的用户举行解密,对其他用户不予答理.“!”就是表示不要某些范例的用户.比方:“-shells:csh”.
13. salts:[!]<count>:只挑选解密用户大于<count>的帐号,可以利用户得到挑选的权利,尽快的得到所需求的用户的PASS.
14. lamesalts:指定用户中密码所利用的cleartext.(我不大清楚此功效的作用).
15. timeout:<几分钟>:指定解密持续的时间是几分钟,到时间JOHN自动终止运行.
16. list:在解密历程中在屏幕上列出全部正在尝试利用的密码,倡议不要利用,它会将大部份时间浪费在显示上,极大地拖慢解密速度.普通只是实用于重定向输出到文件后,查验用户所设定的某些情势能否正常.
17. beep-quiet:当解密出密码时能否要让PC喇叭叫一下,以提醒用户.
18. noname-nohash:不利用内存来保存“用户名”等内容.
19. des-md5:指定利用的解密方法是解DES还是MD5,关于解密DES密码不用理睬这一选项.

除了口令破解程序之外,在这个软件包中,还包含了其他几个实用工具,它们关于实现口令破解都有一定的帮忙,这些工具都安排在run目录下,下面辨别予以扼要介绍.

（1）unshadow PASSWORD-FILE SHADOW-FILE

unshadow号令将passwd文件和shadow文件组合在一同,后来果用于John破解程序.普通应当利用重定向办法将这个程序的后果保存在文件中,之后将文件传送给John破解程序.

（2）unafs DATABASE-FILE CELL-NAME

unafs从二进制AFS数据库中提取口令散列值,并生成John可用的输出,普通应当把这个输出重定向到文件中.

（3）unique OUTPUT-FILE

删除字典表中的反复词汇,但不改变字典表中各词条项的次序.

安装好后,我们可以机动利用以下几种方法来对自己的账户密码举行测试:

普通情形下,很多用户的密码命名方法非常简单,比方foo、hello、world等等,大概很多都是与用户名相同的密码口令,那么我们普通可以先采取简单解密方法来对系统中的密码举行简单的初步摸索,假如发现可以成功破解,那么就需求对这些密码口令的强度举行加强,以下所示:

#./john –single “/etc/shadow”
Loaded 2 password hashes with 3 different salts (FreeBSD MD5 [32/32])
liyang             (liyang)
guesses: 1  time: 0:00:00:00 100%  c/s: 6975  trying: 999991900

在上述号令中,我们发现系统存在一个liyang用户,其用户名和密码均为liyang,因而通过最简单的方法便能将其发现和操纵,假如为黑客破解则将造成不可假想的后果,因而我们的用户应当当即按照此种情形举行口令加强.

其次,用户可以利用字典文件来对系统用户的恶密码强度举行摸索和测试.人们常用hello、superman、cooler、asdfgh、123456等作为自己的密码.而-rules参数则在此底子上再加上些改变,如字典中有单词cool,则JOHN还会尝试利用cooler、CoOl、Cool等单词改变举行解密.普通视SHADOW中的用户多少及用户的字典大小、用户的机械速度,解密时间从几小时到几天不等.下面给出利用该方法举行解密的例子,假定我们已经生成了一个password.lst文件,此中包含了常用的以字典单词为根据的密码,那么我们对系统中的用户密码利用该方法举行摸索破解,由于字典中保存了young这样一个单词,因而用户谷歌的密码所以也被摸索出来,网络管理员一样需求对该密码举行加固,比方增添得当的后缀、字母和数字等:

# ./john --wordlist=password.lst "/etc/shadow"
Loaded 2 password hashes with 2 different salts (FreeBSD MD5 [32/32])
young            (谷歌)
guesses: 1  time: 0:00:00:01 100%  c/s: 3571  trying: zhongguo

			    　　以上是“Linux用户管理安全宝典:密码防破解与帐号文件保护[Linux安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：

windows下的近似linux下的grep号令－－findstr
linux下mysql链接被防火墙禁止的办理办法
Linux下mysql新建账号及权限设置办法
SUSE Linux下搭建Web服务器
Windows/Linux MySQL忘掉密码重置密码教程
Linux下Apache自动监测重启脚本（智能化程度较高）
linux备份 linux克隆 linux clone
<b>为什么 Linux不需求碎片整理</b>
CentOS6 yum搭建Linux+Nginx+PHP+MYSQL(LNMP)
Linux系统有效防备ARP攻击
Linux下 Memcache的安装和简单管理
笔记本预装linux重装成windows系统