Linux Shadow-Password-HOWTO - 2. 为何shadow你的pa

2016-01-29 19:29 6 1 收藏

Linux Shadow-Password-HOWTO - 2. 为何shadow你的pa,Linux Shadow-Password-HOWTO - 2. 为何shadow你的pa

【 tulaoshi.com - Linux 】

  大部分目前 Linux 发行版本预设值并未包含Shadow Suite 安装。这些版本包括 Slackware 2.3, Slackware 3.0 和其他受欢迎的发行版本。主要原因之一是在原始Shadow Suite版权声明中并未很清楚的描述该软体是否需使用者付费。 Linux 使用 GNU 版权通常允续使用者可免费且任意使用相关套件。 


Shadow Suite现在维护人员 Marek Michalkiewicz  已经可以从在 BSD 样式允需再使用版权之原始作者那接收原始码。 目前版权发行已解决,因此可以预期在未来版本之预设值将包括 password shadowing。 即使如此,你仍需要自行安装。 


如果你的版本是从 CD-ROM 安装。你可能发现即使目前版本并未有Shadow Suite 安装,但你仍然可以在该片 CD-ROM 找到你需要安装的Shadow Suite。 


然而,所有Shadow Suite 3.3.1, 3.3.1-2 版本和 shadow-mk 伴随签入(login)程式和其他suid root程式均有安全上问题,因此不应该使用太久。 


所有必要档案均可以透过匿名 FTP 站或网站找到。 

在没有安装Shadow Suite的 Linux 系统,包括密码的帐号使用者资讯通常储存在 /etc/passwd 档。储存的密码为 加密(encrypted)格式。 然而,如果你问一个密码专家,他/她将告诉你真正的密码档只是编码(encoded)而不是加密格式,因为当使用 crypt(3) 时,文字档倍设为 null 且密码是键值(key)。 因此,接下来我将在这篇文件中使用 编码。 


使用在密码栏位编码的演算法於技术上是使用one way hash function。这是一个在单一方向计算简单但逆向计算非常困难的演算法。关於这正确的演算法可以在 2.4 节或於 crypt(3) 操作手册找到。 


当使用者挑选或指定一个密码,系统将随机产生一个值,叫做salt,将密码进行编码。 这表示任何特定的密码可以 4096 中不同方法储存。 salt 值将储存被编码的密码 。 

当使用者签入或提供一个密码, salt 首先接收欲储存编码密码。然後这提供密码会和 salt 值一起编码,且比较已经编码密码。如果有 match ,该使用者通过权限检查。 


随机编码和复原原始密码是有计算复杂度的(但不是不可能的)。然而,在某些系统很多使用者的密码都设为一般文字(或是一般文字的简单变化) 


系统骇客知道这件事,且将简单的加密文字和一般使用4096 salt 值密码之目录。然後他们将比较在资料库之 /etc/passwd 档之编码密码,只要他们找到一个比对,他们可以找到一个帐号之密码。这和dictionary attack有关,且用於未经许可存取系统取得和展开常用的方法之一。 


如果你想过一个 8 码的密码编码成 4096 * 13 码的字串,那麽一个用在描述 400,000 一般文字、名字、密码和简单变化的字典将需要 4GB 硬碟存取空间。 骇客需要做的只是分类字串跟检查比对结果。 自从 4GB 硬碟可以以美金 1000.00 以下买到後,对大多数系统骇客的意义可想而知 。 

如果骇客首先发现你的 /etc/passwd 档,他们只需要将真正包含在 /etc/passwd 档 salt 值的字典编码,这方法可由拥有486级电脑或几个有几百 MB 硬碟空间的十来岁的小孩适用。 


即使没有很大的磁碟空间,像 crack(1) 的工具程式通常可以在足够使用者系统中至少破解一对密码(假设系统使用者倍允许挑选他们想要的密码)。 


/etc/passwd 档也包括一些相关资讯,像使用者 ID 和群组 ID所使用的系统程式;因此 /etc/passwd 档 必须 保持全世界可读性. 如果你改变 /etc/passwd 档以致於没有人可以读取,你将发现的第一件事是 ls -l 命令将取代名称而显示使用者 ID 。 

Shadow Suite 透过将密码存至另一个档(通常是 /etc/shadow 档)来解决该问题。 /etc/shadow 档对任何人设定可读档,只有 root 权限可以读写 /etc/shadow 档。某些程式(像 xlock)不需要改变密码,只需要确认密码即可。这些程式可以以 suid root 执行或者你可以设定一个群组 shadow 用来唯读 /etc/shadow 档,然後这些程式可以执行 sgid shadow。 

透过移动密码至 /etc/shado

来源:http://www.tulaoshi.com/n/20160129/1509510.html

延伸阅读
作者: Michael H. Jackson, mhjack@tscnet.com 译者: Sung Min-Ju, songmj@ms1.hinet.net v1.3, 3 April 1996 翻译日期: 15 MAY 2000 -------------------------------------------------------------------------------- 这份文件主要描述如何取得,安装和设定 Shadow Suite 密码。它也描述取得和安装需要存取使用者密码之其他软体和...
标签: 布艺diy 布艺
完成尺寸:8英寸 3月23日之幸运图谱——阳光和阴影。这个图谱没什么复杂的,只不过这么多的弧线,而且图案较小,按部就班使用机缝的方法有一定的难度,而手缝又相当的费时。从上图不难看出,每一个正方形中的扇形部分正好是一个1/4圆,在这里我们先制作完整的圆形,然后在进行切割,这种方法相对比较便...
  2.1 Jaz 磁碟机  Jaz 磁碟机是一种使用 SCSI 接口的装置。外挂式的 Jaz 磁碟机使用 50-针 SCSI-2 型接口。内置式 Jaz 磁碟机使用 3-1/2 □ 50-针的接口。  内置式和外挂式两种 Jaz 磁碟机还分别有两种机型,分别使用容量为 1G...
4.1 解压缩 在接收套件後第一个步骤就是 unpacking。该套件是 tar 档案格式使用 gzip 压缩,所以首先将该档案移到 /usr/src ,然後输入: tar -xzvf shadow-current.tar.gz 这将会 unpack 到一个目录:/usr/src/shadow-YYMMDD 4.2 设定 config.h 档 第一件事是你需要复制 Makefile 和 config.h 档: cd /usr/src/shadow-YYMMDD c...
  本节说明在 Linux 环境中如何打印文件、检查列印队列、从列印队列删除打印任务、打印前文档排版和设置打印环境等。  2.1 Linux 打印系统的演变  Linux 打印系统 - lp 系统 - 是将加利福尼亚大学校方为 UNIX 操作系统的 BSD 版编写的源代码改编...

经验教程

144

收藏

46
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部