Multe sisteme de operare utilizează autentificarea cu numele de utilizator și parola pentru a oferi utilizatorilor acces la sistem, iar Linux nu face excepție.
În acest moment, ia în considerare mecanismul / etc / passwd și tot ce este legat de parole.
Inima securității Linux este fișierul / etc / passwd, care conține detaliile tuturor utilizatorilor înregistrați în sistem. Pentru ca un utilizator să se conecteze, el trebuie să fie înregistrat în acest fișier. Versiunile anterioare ale Linux au folosit următorul format pentru acest fișier (câmpurile sunt separate printr-un colon):
Să examinăm un exemplu tipic al fișierului / etc / passwd:
Dacă utilizatorul se loghează, parola introdusă este criptată (sau hashed) și este comparată cu valoarea celui de-al doilea câmp. Dacă valorile se potrivesc, utilizatorul are acces permis. Dacă există un asterisc în locul parolei, atunci acest utilizator nu va putea să se înregistreze în sistem (când încercați să vă conectați cu acel nume de utilizator, veți primi o parolă de mesaj incorectă).
Totul este bine, dacă fișierul / etc / passwd nu a fost disponibil pentru citirea către orice utilizator. Orice utilizator poate copia acest fișier, iar mai târziu, folosind atac de forță brute (căutarea parolei), "calculează" parolele altor utilizatori. Pentru a face acest lucru, există multe programe, cel mai popular fiind John Ripper, oferind ocazia de câteva zile pentru a sparge parolele tuturor utilizatorilor.
Pentru a rezolva această problemă, versiunile moderne de Linux folosesc parole umbrite. Mecanismul de parole shadow este după cum urmează: fișier / etc / passwd este încă folosit, dar parolele de la ea „mutat“ la fișierul / etc / shadow, care poate fi citit numai la rădăcină de utilizator (și programele care se execută în numele său). În loc de parole și asteriscuri, al doilea câmp din / etc / passwd conține în prezent caracterul x. Să ne uităm la acest fișier / etc / passwd:
Fișierul corespunzător / etc / shadow arată astfel:
rădăcină: $ l $ 9R6CkJpT $ 6mglIAM00eFwYWmJLLuLz /. 12 937. 0. 99999. 7.
Aici, al doilea câmp este parola codată, toate celelalte câmpuri sunt utilizate în următoarele scopuri:
Activați parolele umbrite.
Acum, probabil, nu există sisteme Linux care să nu accepte parole umbrite. Dar este posibil să existe o distribuție în care este disponibil suportul pentru parole umbrite, dar nu este activat implicit. Pentru ao activa, trebuie să utilizați comanda pwconv (de asemenea, faceți comanda grpconv pentru a converti fișierul / etc / grpconv).
Dacă aveți parole umbrite activate, există încă găuri de securitate. Reduceți în mod semnificativ riscul de hacking contul permite normele corecte pentru schimbarea parolelor, adică trebuie să setați valori pentru toate câmpurile din fișierul / etc / shadow. Dar amintirea scopului fiecărui domeniu este dificilă.
Pentru a simplifica această sarcină, puteți utiliza programul de hărți. care face parte din Suite Shadow. Sintaxa sa este următoarea:
chage [-m mindays] [-M maxdays] [-d lastday] [-1 inactiv] [-E expiră] [-W Warndays] utilizator
- -m - perioada minimă de parolă;
- -M - perioada maximă de parolă;
- -W - câte zile înainte de ultima zi pentru a avertiza utilizatorul;
- -E este data de expirare a parolei.
Parola expiră: Niciodată
Parola Inactivă: Niciodată
Contul expiră: Niciodată
Se recomandă setarea unei lungimi minime de 8 caractere și forțarea utilizatorilor să-și schimbe parolele la fiecare 6-7 săptămâni. Control mai complet asupra regulilor de schimbare a parolelor poate fi obținut utilizând fișierul /etc/login.defs.