自從人類開始使用計算機以來,進入系統主要受到密碼的限制。雖然軟硬件不斷更新,但依靠密碼保護系統的原理不變。選擇密碼看似平常,但用戶的系統安全完全建立在密碼的健壯性上。
壹個簡單易猜的密碼打開了系統的大門——壹旦攻擊者獲得了密碼,他就可以直接開進去。足夠強的密碼需要幾年才能破解,而脆弱的密碼壹分鐘就沒有秘密。以下問題涉及密碼的設置:
是否按照開放標準設置密碼;
●密碼是否加密;●密碼是否使用shaow;
回答以上問題,有助於了解Linux系統的密碼是否安全。
強制密碼設置規範
密碼安全的第壹步是選擇壹個難以猜測的密碼。不幸的是,用戶傾向於選擇容易記住但也容易被黑客破解的密碼。記住密碼當然重要,但更重要的是保證密碼的安全性。所以建議不要選擇孩子的名字,寵物的名字,配偶的生日。用戶需要設置壹個很難被黑客猜到和破解的密碼。
用大小寫字母組成密碼,對提高安全性很有幫助。雖然這不是唯壹提高安全性的方法,但是對付黑客的暴力破解非常有效(黑客經常使用字典破解來窮盡密碼,直到找到匹配的密碼)。筆者也見過隨機生成的密碼,但在很多情況下,最好的密碼應該既強又容易讓用戶記住。本文提供了壹種建立強而易記的密碼的方法。
我上面說的很多看起來都是常識,但難點在於如何讓所有Linux用戶都遵守系統管理員規劃的密碼設置規範。在Linux系統中,大部分版本的Passwd(系統中設置密碼的軟件)都可以配置壹定的規範來定義用戶的密碼,比如要求用戶設置的密碼不少於6個字符,其中也必須包含至少2位數字。筆者推薦在Linux系統中NPasswd完全可以替代Passwd,可以檢查用戶要設置的密碼是否足夠強。建議系統管理員從這裏開始,規定所有用戶的密碼設置規範。
對於當前的密碼數據庫,系統管理員可以使用多種工具來審計密碼的安全性。像快克和開膛手約翰這樣的東西允許妳測試系統密碼。密碼越簡單,上述工具破解速度越快(即猜測)。這個工具試圖破解/ect/passwd/目錄下的密碼文件,並輸出結果。妳猜的密碼越多,妳的組織就有越多的漏洞。系統管理員可以選擇禁止壹些不安全的賬戶,這很簡單,但並不總是可行的。最好的辦法就是給黑客訪問相應的目錄和文件設置障礙,讓黑客無法輕易獲取密碼數據庫文件並破解。
密碼數據庫的保護手段
下壹步是確保密碼被提供給不適當的用戶。安全性基於用戶級別。密碼安全不僅僅是設置壹個安全的密碼,還要防止用戶寫下來放在身邊。不建議將密碼記錄在明文文檔或錢包中的壹張紙上。請盡可能加密存儲和記錄密碼。
另壹種方法是隱藏密碼。影子密碼是根據標準/etc/passwd/目錄中的密碼文件生成的,但它保存在壹個單獨的加密文件中(只有最有特權的根用戶才能讀取)。系統中的程序仍然可以使用/etc/passwd下的密碼文件來訪問用戶ID(UID)和組ID(GID)等信息,但它不是加密的密碼。這為密碼的安全性增加了另壹層保護,這意味著黑客必須獲得Root權限才能訪問加密的密碼庫文件。在Red Hat系統中,pwconv工具可以將非影子密碼轉換為影子密碼格式。請註意,類似的工具在不同版本的Linux系統中使用是不同的。請參考您的文檔來完成上述工作。
摘要系統管理員可以采用各種策略來確保密碼安全。但首先用戶要明白密碼安全的重要性,同時制定密碼政策,強制執行密碼設置規範。這包括確定可接受的密碼設置要求、密碼更換的時間限制、密碼需要包含多少個字符等等。系統管理員還可以運行檢測工具來查找密碼數據庫中的安全漏洞。