自從人類開始使用電腦以來,主要是靠密碼來限制對系統的訪問。雖然軟硬件的更新換代不斷,但依靠密碼來保護系統這一原則仍然沒有改變。選擇密碼似乎是很平常的是,但用戶的系統安全完全基於密碼的強壯性。
一個簡單、容易猜出的密碼等於敞開了系統的大門-攻擊者一旦獲取密碼就可以長驅直入。一個足夠強度的密碼需要幾年的時間去破解,而一個脆弱的密碼在一分鐘內就沒有任何秘密可言。以下幾個問題涉及密碼的設置:
● 是否按照公開的標准來設置密碼;
● 密碼是否加密; ● 密碼是否使用shaow;
● 回答上述問題將有助於了解Linux系統密碼是否安全。
強制密碼設置規范
密碼安全的第一步是選擇難於猜測的密碼。不幸的是,用戶傾向於選擇容易記憶的密碼-但同時也容易被黑客破解。記住密碼當然重要,但更重要的是確保密碼的安全,因此建議不要選擇小孩的名字、寵物名字或是配偶的生日,用戶需要設置黑客難於猜測、破解的密碼。
采用大小寫字符組成密碼對提高安全度很有幫助,盡管這並非是唯一提升安全強度的方法,但對付黑客的暴力破解很有效(黑客往往使用字典破解法對密碼進行窮舉,直到找到匹配密碼為止)。作者也見過采用隨機生成的密碼,但在很多情況下,最好的密碼既要有強壯性,又要讓用戶容易記住。本文提供一種方法建立既強壯又便於記憶的密碼。
上面談到的很多都似乎是常識,但困難在於如何讓所有的Linux用戶遵循系統管理員規劃好的密碼設置規范。在Linux系統中,大多數版本的Passwd(系統中進行密碼設置的軟件)可以配置一定的規范來定義用戶的密碼,例如要求用戶設置的密碼不得少於6個字符,其中必須還要包括至少2個數字。筆者推薦Npasswd這個軟件可以完全替代Linux系統中的Passwd,該軟件可以檢查用戶所要設置的密碼是否足夠強壯。建議系統管理員最先從這裡入手,為所有的用戶規定密碼設置規范。
針對目前的密碼數據庫,系統管理員可以使用多種工具來審核密碼安全。類似Crack 和John the Ripper可以讓你對系統密碼進行測試。越簡單的密碼,上述工具破解(也就是猜到)的就越快。這種工具嘗試破解/ect/passwd/目錄下面的密碼文件並輸出結果。猜出的密碼越多說明貴單位的漏洞也就越多。系統管理員可以選擇禁止某些不安全帳戶,雖然方法簡單但並非一直可以這樣做。最好的辦法是給黑客訪問相應目錄和文件設置障礙,讓黑客無法輕易獲取密碼數據庫文件並進行破解。
密碼數據庫的保護手段
下一步要確定密碼交給不妥當的用戶。安全是基於用戶級的,密碼安全不僅僅是設置安全的密碼,還要防止用戶把密碼記下來並隨手亂放。把密碼記錄在明文文檔內或是錢包的紙片中,都不是可取的方式。請盡可能的以加密手段來存儲和記錄密碼。
另有一個可選的方式是給密碼做shadow。shadow passwords根據標准的/etc/passwd/目錄下的密碼文件生成,但它保存在獨立的加密文件中(只能被權限最高的Root用戶讀取)。系統中的程序仍然可以使用/etc/passwd下的密碼文件,訪問類似用戶ID(UID)以及組ID(GID)等信息,但不是加密的密碼。這給密碼的安全程度又增加了一層保障,這意味著黑客必須獲得Root權限後才能訪問加密的密碼庫文件。在Red Hat系統中,pwconv工具能夠把非shadow 密碼轉換成shadow密碼格式。請注意,各個版本的Linux系統的類似工具在使用中各有不同,請參照您的文檔來完成上述工作。
總結
系統管理員可以采取各種策略來確保密碼安全。但首先要讓用戶們明白密碼安全的重要性,同時制定密碼策略來強制密碼設置規范。這包括確定可接受的密碼設置要求、更換密碼的時限、密碼需要包含多少字符等等。系統管理員還可以運行檢測工具來查找密碼數據庫的安全漏洞。此外別忘了shadow password-它可以立即為您的系統增加安全防護強度。
