系統管理員的職責
系統管理員和系統中的每個用戶必須共同承擔保護密碼安全的責任。系統管理員執行以下安全任務:
確保所有用戶都有自己的密碼。
對所有系統文件應用適當的權限,包括標準密碼文件和組文件,即/etc/passwd和/etc/group。
對於無權訪問系統的用戶,其用戶ID和密碼應被刪除或作廢。
驗證所有應用程序密碼都已加密。
驗證為/var/adm/btmp和/var/adm/wtmp設置的權限是否正確。
為每次訪客訪問使用壹次性密碼。
告知用戶他們在密碼安全方面的責任。
利用密碼的時間限制強制用戶定期更改密碼。
防止重復使用最近的密碼。
在/etc/default/security文件中配置系統範圍的安全屬性。有關更多信息,請參見定義系統安全屬性並參考安全性(4)。
將系統切換為使用影子密碼。詳見“/etc/shadow密碼文件”和shadow(4)和pwconv(1M)。
用戶責任
每個用戶都必須遵守以下規則:
記住密碼,並始終保密。
立即更改初始密碼,並堅持更改密碼。
報告任何狀態變化和任何可疑的安全違規行為。
確保輸入密碼時沒有人在旁邊看著。
好密碼的標準
選擇密碼時應遵守以下準則,並告知用戶:
所選密碼應至少包含6個字符,最多包含80個字符。特殊字符可以包括控制字符和符號,如星號和斜線。在標準模式下,只使用前8個字符。
不要選擇任何語言的詞典裏都能找到的單詞,哪怕是倒著拼的。有軟件程序可以找到並匹配妳使用的單詞。
不要選擇容易與用戶產生關聯的密碼,比如家人或寵物的名字,或者某個愛好。
不要使用簡單的鍵盤序列(如asdfghjkl)或重復的登錄名(例如,如果登錄名是ann,annann就不是壹個好的密碼)。
考慮使用拼寫錯誤的單詞或兩個不相關單詞的音節組合來構成合適的密碼。另壹種常見的方法是使用您最喜歡的標題或短語的前幾個字符作為您的密碼。
您可以考慮使用密碼生成器來組合音節,以生成可發音的易混淆單詞。
不要與其他用戶共享密碼。經理必須禁止* * *共享密碼。
請始終使用密碼。不要清除/etc/passwd文件中的密碼字段。
更改/etc/passwd密碼文件
標準系統維護壹個密碼文件:/etc/passwd。
所有密碼壹經輸入就被加密,並存儲在密碼文件/etc/passwd中。比較過程中只使用加密的密碼。
如果您需要更改密碼文件,請遵循以下準則:
不允許空密碼字段;否則,它就是違反安全的。空密碼字段允許任何用戶為帳戶設置密碼。
不要直接編輯密碼文件。您應該使用HP SMH或useradd、userdel或usermod命令來修改密碼文件條目。如果必須直接編輯密碼文件,請使用vipw命令和pwck命令進行檢查。詳見vipw(1M)和pwck(1M)。
Passwd命令示例
以下是壹些有用的passwd命令示例:
要重置用戶密碼:
#密碼用戶1
下次登錄時強制更改密碼:
# passwd -f用戶1
鎖定或禁用帳戶:
# passwd -l用戶2
啟用密碼及時性:
#密碼-n 7 -x 28用戶1
要查看特定用戶的密碼到期狀態:
#密碼用戶
查看所有用戶的密碼限時狀態:
#密碼-sa
/etc/passwd文件格式
/etc/passwd文件用於在用戶登錄時驗證他們的身份。該文件包含惠普-UX系統中每個賬戶的條目。每個條目由七個用冒號分隔的字段組成。典型的/etc/passwd條目應如下所示:
羅賓:z . yxgasvxgg:102:99:羅賓漢,Rm 3,x9876,408-555-1234:/home/Robin:/usr/bin/sh
該字段包含以下信息(按順序列出),用冒號分隔:
robin-用戶名(登錄名),最多由8個字符組成。
z . yxgasvxgg-加密的密碼字段
102-用戶ID是壹個從0到MAXINT-1的整數(等於2,147,483,646或231 -2)。
99-組ID,來自/etc/group,是壹個從0到MAXINT-1(含)的整數。
羅賓漢,RM 3,x9876,408-555-1234-評論字段,用於識別用戶全名、位置、電話等信息。由於歷史原因,該油田也被稱為gecos油田。
/home/robin-home目錄,用戶的初始登錄目錄。
/usr/bin/sh-登錄shell路徑名,在用戶登錄時執行。
用戶可以通過分別調用passwd、chfn和chsh來更改密碼、註釋字段(第五個字段)和登錄程序路徑名(第七個字段)。其余字段由系統管理員設置。用戶ID必須唯壹。詳見chfn(1),chsh(1),passwd(1),passwd(4)。
/etc/shadow影子密碼文件
隨著惡意密碼解密器可用計算能力的不斷提高,/etc/passwd文件中的非隱藏密碼很容易被解密。
影子密碼將加密後的密碼隱藏在影子密碼文件中,從而增強了系統的安全性。您可以將先前存儲在公共可讀文件/etc/passwd中的加密密碼移動到文件/etc/shadow中,只有具有適當權限的用戶才能訪問該文件。
使用以下命令啟用、驗證和禁用影子密碼:
pwconv命令創建壹個影子密碼文件,並將加密的密碼從/etc/passwd文件復制到/etc/shadow文件。
pwck命令檢查/etc/passwd和/etc/shadow文件中的不壹致性。
Pwunconv命令將/etc/shadow文件中的加密密碼和限時信息復制到/etc/passwd文件中,然後刪除/etc/shadow文件。
有關更多信息,請參見pwconv(1M)、pwck(1M)、PWCONV (1m)和shadow(4)。
關於影子密碼功能,請註意以下幾點。
啟用影子密碼功能後,如果應用程序直接訪問/etc/passwd文件的密碼字段以獲取密碼和限時信息,將會受到影響。這個字段現在將包含壹個X,表示這個信息在/etc/shadow中。
使用PAM接口進行身份驗證的應用程序不會受到影響。
要以編程方式訪問/etc/shadow文件,請使用getspent()調用。這些調用類似於/etc/passwd的getpwent()調用。有關更多信息,請參見get spend(3C)和getpwent(3C)。
在/etc/nsswitch.conf文件中,文件、NIS和LDAP名稱服務支持影子密碼,但其他名稱服務器轉換後端可能不支持影子密碼。要將系統配置為僅使用文件、NIS和/或LDAP,請確保/etc/nsswitch.conf中的passwd行僅包含文件、NIS和/或LDAP。如果/etc/nsswitch.conf不存在,或者其中沒有passwd行,則默認值僅為files。詳情見nsswitch.conf(4)。
影子密碼基於其他UNIX系統中提供的事實上的標準。
/etc/default/security中定義的下列屬性適用於影子密碼。有關更多信息,請參考“定義系統安全屬性”和security(4)聯機幫助頁。
INACTIVITY _ MAXDAYS-壹個帳戶在到期前可以處於非活動狀態的天數。
PASSWORD _ min days-密碼可以更改的最小天數。
PASSWORD _ MAXDAYS-密碼有效的最大天數。
PASSWORD _ warn days-警告用戶密碼過期之前的天數。
以下產品支持影子密碼:
輕型目錄訪問協議(LDAP)
Ignite-UXht目錄訪問協議(LDAP)
Serviceguard
以下軟件不支持影子密碼:
流程資源經理(PRM)
預期密碼存儲在/etc/passwd中的應用程序。
有關更多信息,請參考以下聯機幫助頁:
passwd(1)、pwck(1M)、pwconv(1M)、pwunconv(1M)、get spend(3C)、put spend(3C)、nsswitch.conf(4)、passwd(4)、security(4)、shadow(4)
消除/etc/passwd中的假賬戶,保護關鍵子系統。
傳統的/etc/passwd文件包含了大量的“偽賬號”,即與每個用戶無關的條目,沒有真正的交互登錄外殼。
其中壹些條目(如日期、誰、同步和tty)是為了方便用戶而形成的,它們提供了無需登錄即可執行的命令。為了加強安全性,它已從/etc/passwd的發行版中刪除,這樣這些程序只能由登錄用戶運行。
其他類似的條目保存在/etc/passwd中,因為它們是該文件的所有者。有所有者的程序(比如adm、bin、daemon、hpdb、lp和uucp)可以用於整個子系統,代表壹個特例。因為它們授予對它們保護或使用的文件的訪問權限,所以相應的條目必須在/etc/passwd中列出,以允許這些程序作為假帳戶運行。傳統假賬戶和特殊賬戶如例3-1“假賬戶和特殊系統賬戶”所示。
示例3-1偽賬戶和特殊系統賬戶
root::0:3::/:/sbin/sh
守護進程:*:1:5::/:/sbin/sh
bin:*:2:2::/usr/bin:/sbin/sh
系統:*:3:3::/:
adm:*:4:4::/var/adm:/sbin/sh
uucp:*:5:3::/var/spool/uucp public:/usr/lbin/uucp/uu cico
LP:*:9:7::/var/spool/LP:/sbin/sh
nuucp:*:11:11::/var/spool/uucp public:/usr/lbin/uucp/uu cico
hpdb:*:27:1:all base:/:/sbin/sh
沒人:*:-2:-2::/:
這些子系統的特權狀態的關鍵是能夠授予對其管轄下的程序的訪問權限,而不授予超級用戶訪問權限(uid 0)。相反,它們設置可執行文件的setuid位,使進程的有效用戶對應可執行文件的所有者。例如,cancel命令是lp子系統的壹部分,因此它作為有效的用戶lp運行。
設置setuid後,這個子系統的安全中介機制會強制將所有程序的安全性限制在子系統的範圍內,而不是整個系統。因此,子系統中對安全有害的弱點僅限於這些子系統中的文件。違規不會影響其他子系統下的程序。例如,lp下的程序不會影響daemon下的程序。
使用惠普-UX安全外殼實現安全登錄。
惠普-UX安全外殼提供安全的遠程登錄、文件傳輸和遠程命令執行。客戶端和服務器之間的所有通信都是加密的。通過網絡傳輸的密碼不再以明文形式發送。有關詳細信息,請參閱ssh(1)和使用HP-UX安全Shell (SSH)保護遠程會話。
保護存儲在NIS的密碼。
網絡信息服務(NIS)是網絡文件系統(NFS)的壹部分。NIS支持從壹個中心位置(即主服務器)對多臺主機進行配置管理。信息被集成到壹個中心位置,而不是將主機配置存儲在各個主機上。/etc/password文件是存儲在NIS服務器上的幾個配置文件之壹。
NIS不支持/etc/shadow shadow密碼文件。
有關NIS的信息,請參見《NFS服務管理員指南》。
保護存儲在LDAP目錄服務器中的密碼。
LDAP-UX客戶端服務與PAM交互,以驗證存儲在LDAP目錄服務器上的密碼。PAM_LDAP庫提供認證服務。