秀同安方控利
2.1.3账户管理
系统上的账户信息可以分开管理。许多UNIX系统的优势在于可以通过 Network Information UNx对于管理用户和工作组是自给自足的。也就是说,如果拥有多个UNIX系统,每个
Services(Ns,网络信息服务)集中管理,如过去著名的 Yellow Pages(YP,黄页)。NIS是设计用来在多系统之间共享用户和组信息的简单数据库系统。共享NIS信息的
NIS服务器上。当用户试图在域范围内访问系统时,系统就会与主服务器联系以确认用户的 系统选择集称为域。为了赋予用户对域的访问权,管理员只需要简单地将用户账号添加到主
登录是否有效。这样,即使没有定义本地账户,用户也会获得对系统的访问权。
NIS与NT域都不是层次结构,因此它们具有共同的缺点。如果定义某个用户具有对
NIS域的访问权,那么这个用户就被认可对整个域具有访问权一一包括域中的每个系统。管 理员不能指定某个用户只能访问一个或两个UNIX系统,或者只访问域的某一部分。如果需
要这种细致的控制能力,就必须建立多个NIS域。1 1.口令文件。所有用户授权检查请求都使用名叫 Passwd的口文件进行验证。
(1)ロ令字段。从 Passwd文件输出信息中可以看到,各加密口令的密文清晰明了,这是因
全问题:任何能够合法地访问到系统的人都可以复制 Passwd文件到另一台计算机上,并且使 为用户需要能够对 Passwd文件具有读取的能力,以执行授权检查过程。这也会带来重要的安
用野蛮破解法对口令进行破解。t
UNX使用了十分强大的加密算法对用户口令进行加密。这种算法是一种简化的56位
DES算法,其基础文本全为0值,加密密钥是用户的口令。得到的密文再进行一次加密,使用
用户的口令作为密钥。这种加密过程要重复进行25次。
雄”根据使用的时间生成,取值范围在0-4,095之间。这样可以保证如果有两名用户使用相 为了使最终得到的密文更难于破解,系统又加入第二层密钥,称为“再加一粒盐”。这一粒
的用户有两个赚户,即使这些账户使用相同的口令,别人也无法从获得的密文中看出来。同的口令,得到的密文也不会相同。例如,从 Passwd文件的输出中可见,一位名叫 Deb Tuttle
用于加密的“盐”的值是密文的前两个字符,因此生成Deb的口令时,使用的“盐”值为gH,
而 Tuttle的口令使用的“盐”值为zV。当用户在系统中进行授权检查时,系统会从密文中提
取“盐”值,用于加密用户输入的口令。如果两个密文值相同,则该用户被认为合法,并且允许
访问系统
工(2)破解UNIXロ令。据称UNIX系统在生成 Passwd文件密文时使用一次性加密(One
是攻击者希望阅读的数据大家都知道结果得到的值是0,对密钥的态度也是这样。当然,如 Way Encryption)算法,因为直接对加密25次的文件进行破解是很不现实的,同时,这也不
果想破解密文,就需要有密钥,但如果有了密钥,也就有了用户的口令。
那么人们如何破解UNIX口令呢?方法是使用UNIX对用户进行授权检查时相同的办
法。当 Woolly Attacker想破解口令时,他会从 Passwd文件的密文记录中提取“盐”值,然后对
称地对许多单词进行加密,试图得到匹配的密文串。一旦发现匹配情况,Woly就知道他得
到了正确的口令(注:用于破解口令所使用的单词列表通常都是词典文件)。、
2章网格安全成剧范
攻击者无法反向解开密文,但他可以使用野蛮破解的方法猜测出正确的值。这就是不要
使用普通单词或服务器及用户名的变形作为口令的原因。这些值通常都是攻击者首先会使用
的值。示代 (3)影子口令。为了解决用户可以查看 Passwd文件中的加密口令这个问题,一种办法是 如当量当,田人妇早最口。(ャ
把密文存放在其它地方,这就是使用影子口令( Shadow Password)所要达到的目的;它使得用
户可以把口令存放在一个只有超级用户可以访问到的地方,从而避免系统中的所有用户都可
以访问到这些信息。?
使用影子口令的时候, Passwd文件中的口令字段只有一个字符x。这个值告诉系统需要
到个名叫 Shadow的文件中查找密文口令。 Shadow文件的格式与 Passwd文件相同,也是所
有的字段都以留号(:)分隔。最低情况下, Shadow文件的每一行都包含用户的登录名和口令,
用户还可以选择加入口令时间信息,如用户必须修改口令的最短时间和最长时间设置。
警告:如果用户决定使用影子口令的方法,必须保证其它所有要使用到的系统授权检査机
制要与 Shadow文件的格式兼容。例如,许多旧版本的NIS都认ロ令会保存在 Passwd文件
中。如果用户在类似的系统中安装了影子口令管理组件,NIS会停止工作,用户也很可能会无
法访问到该系统
2.Goup文件。在前面内容中已经介绍过, Group文件用于识别各工作组相连的GID和
工作组成员。多数UNIX版本允许用户加人多个工作组。18 WA RAM bowron lin 当用户生成一个文件时,系统会为文件的所有者提供对该文件的读、写访问权及所有权
即如果有人生成了一个名叫 Resume.TXT的文件,这个人所在主工作组中的所有用户都可以 在此文件中写入值息。这是系统在缺省状态下设置的一种很松的许可权设置,生成文件的
用户可能会忘记或者根本不知道要使用 Chmod命令进行修改。是个
为了解决这种文件许可权问题,每个用户都分配到一个不同的工作组中,即缺省状态下,
所有其他用户都会成为“其他组用户”,只能具有最少的对其他用户生成的文件的访问权限(通
常是只读权限)。如果某个用户想让其他用户具有对该文件更高的访问权限,可以使用 chgr
命令。这就是说在向某个文件打开更多的访问权限时,先要考虑到会有什么结果。(o
2.1.4.1P服务管理行
UNIX系统已经发展成为一个具有支持许多IP服务能力的系统。从功能的角度来看,这
太好了,但是对于网络安全却不是一件好事。提供服务越多的系统也就更容易受到攻击,因为
发现系统弱点的机会也增加了。例如,如果某个想要攻击UNX系统的人可能会发现、虽然
系统的HTTPFTP和SMTP服务都非常严密、但是却在Finger(指名)服务上存在漏洞。许多1P服务都可以在UNX系统上使用。用户使用的特定UNX系统将决定缺省打开
的服务项目。虽然每个服务的描述都将提示用户它是否是一般打开的服务、但用户仍需要查
看机器的特定配置,以确定它们是否是正在使用的服务,哪些不是。1、Boop服务器。 UNIX Bootp服务器为网络客户提供Bop和DHCP服务。DHCP和
Bootp客户可以独立接受服务或接受混合服务。2章网格安全成剧范
攻击者无法反向解开密文,但他可以使用野蛮破解的方法猜测出正确的值。这就是不要
使用普通单词或服务器及用户名的变形作为口令的原因。这些值通常都是攻击者首先会使用
的值。示代 (3)影子口令。为了解决用户可以查看 Passwd文件中的加密口令这个问题,一种办法是 如当量当,田人妇早最口。(ャ
把密文存放在其它地方,这就是使用影子口令( Shadow Password)所要达到的目的;它使得用
户可以把口令存放在一个只有超级用户可以访问到的地方,从而避免系统中的所有用户都可
以访问到这些信息。?
使用影子口令的时候, Passwd文件中的口令字段只有一个字符x。这个值告诉系统需要
到个名叫 Shadow的文件中查找密文口令。 Shadow文件的格式与 Passwd文件相同,也是所
有的字段都以留号(:)分隔。最低情况下, Shadow文件的每一行都包含用户的登录名和口令,
用户还可以选择加入口令时间信息,如用户必须修改口令的最短时间和最长时间设置。
警告:如果用户决定使用影子口令的方法,必须保证其它所有要使用到的系统授权检査机
制要与 Shadow文件的格式兼容。例如,许多旧版本的NIS都认ロ令会保存在 Passwd文件
中。如果用户在类似的系统中安装了影子口令管理组件,NIS会停止工作,用户也很可能会无
法访问到该系统
2.Goup文件。在前面内容中已经介绍过, Group文件用于识别各工作组相连的GID和
工作组成员。多数UNIX版本允许用户加人多个工作组。18 WA RAM bowron lin 当用户生成一个文件时,系统会为文件的所有者提供对该文件的读、写访问权及所有权
即如果有人生成了一个名叫 Resume.TXT的文件,这个人所在主工作组中的所有用户都可以 在此文件中写入值息。这是系统在缺省状态下设置的一种很松的许可权设置,生成文件的
用户可能会忘记或者根本不知道要使用 Chmod命令进行修改。是个
为了解决这种文件许可权问题,每个用户都分配到一个不同的工作组中,即缺省状态下,
所有其他用户都会成为“其他组用户”,只能具有最少的对其他用户生成的文件的访问权限(通
常是只读权限)。如果某个用户想让其他用户具有对该文件更高的访问权限,可以使用 chgr
命令。这就是说在向某个文件打开更多的访问权限时,先要考虑到会有什么结果。(o
2.1.4.1P服务管理行
UNIX系统已经发展成为一个具有支持许多IP服务能力的系统。从功能的角度来看,这
太好了,但是对于网络安全却不是一件好事。提供服务越多的系统也就更容易受到攻击,因为
发现系统弱点的机会也增加了。例如,如果某个想要攻击UNX系统的人可能会发现、虽然
系统的HTTPFTP和SMTP服务都非常严密、但是却在Finger(指名)服务上存在漏洞。许多1P服务都可以在UNX系统上使用。用户使用的特定UNX系统将决定缺省打开
的服务项目。虽然每个服务的描述都将提示用户它是否是一般打开的服务、但用户仍需要查
看机器的特定配置,以确定它们是否是正在使用的服务,哪些不是。1、Boop服务器。 UNIX Bootp服务器为网络客户提供Bop和DHCP服务。DHCP和
Bootp客户可以独立接受服务或接受混合服务。bop服务允许客户机动态接收1P地址和子
网掩码;DHCP支持这些配置设置和其它设置,如缺省路由、域名等等。大多数流行的UNIXbop服务允许客户机动态接收1P地址和子
网掩码;DHCP支持这些配置设置和其它设置,如缺省路由、域名等等。大多数流行的UNIX
本文地址://www.xrqsnxx.com//article/3704.html