位置: 编程技术 - 正文

Unix BSD Linux的口令机制初探(linux/unix)

编辑:rootadmin
1.概述   早期UNIX系统把用户口令保存在一个纯文本可读的“口令文件”中,这可能在系统管理员注意不到的情况下被截取并暴露。它也可能在一次偶然事件中泄露。   从AT&T UNIX版本6开始,Thompson 等决定采用一个不同的方式: U N I X口令采用以美国军方M - 2 0 9密码机为模型的基于旋转的算法来进行编码。这种快速算法被证明对穷尽纯文本搜索有弱点并被AT&T UNIX版本7中出现的更先进的crypt ( )库代替。   现在Unix/Linux将口令以不可读的方式保存在机器中。系统使用名为cryptographic hash的算法将口令转换成文本字符串。这个串即称为散列或者散列值。使用的算法可以有多种,但它们都是不可逆的,也就是说不能从散列值中恢复出原始口令。不同的系统,所使用的密码文件以及加密算法都可能不同。管理、维护好这些密码文件是保证系统安全的首要任务。(未特别说明,本文所有命令均在csh下以root身份运行。)   2.加密算法简介   2.1---crypt()简介---key 和 salt   在Unix/Linux下存在多种散列算法。可以通过库函数crypt()调用这些系统支持的算法。crypt()有key和salt两个参数,并返回相应的散列值。salt亦即我们常说的“盐”,它只是简单的字符串,它的长度取决于所使用的算法,不同的散列算法它有不同的取值范围。所以,即使是相同的算法,相同的原始口令,使用不同的salt,也会得到不同的加密口令。salt的目的也就是为了加大口令破解的难度,当我们使用passwd命令来修改密码时,它会随机选择一个salt. s a l t使得使用预编译字典对加密口令进行攻击变得更困难。代替为字典中每个单词做一次单独加密,攻击者现在不得不对字典中每个单词的4 0 9 6种排列进行加密和储存。在2 0年前,s a l t是作为本质上的资源障碍引入的,但现在1 2位s a l t不再被认为是一种有效的防御方法。   crypt()可以在C程序中直接调用,甚至可以用perl直接调用,(详细信息请man 3 crypt),如下例:   %perl -e 'print crypt("mypass","s1"),"n"'   s1tROevFyi.yQ   %perl -e 'print crypt("mypass","s2"),"n"'   s2JQJElCMeU   以上两例中s1、s2分别为salt 值,可以看到,相同的口令(上例中为mypass)使用不同的salt将得到不同的散列值。 以上两例使用的都是DES算法,加密后的散列值将salt值作为其前缀。   2.2DES算法   由美国政府和IBM研制。所有的Linux版本和几乎所有的Unix系统都支持DES.DES实际上为一个加密算法,但是crypt(3)将之做为散列算法。普通的DES算法容许的原始口令长度为8个字符,多余的口令也接受,但是多余部分会被系统自动摒弃。但有些系统(例如HP-UX)使用DES的多次迭代来解决此问题,这样就可以使用任意长度的密码。但是使用DES加密后的口令为个字符长。   2.3MD5算法   它是真正的散列算法。允许无限长的口令。它使用的salt空间也别DES算法大得多,所以两口令相同的可能性更小。它也通过调用crypt(3)函数实现。MD5算法使用的 salt必须以$1$开头,并以$结尾。且salt长度为8个字符。例如要用abcdef为salt 散列mypass,那么如下:   %perl -e 'print crypt("mypass","$1$abcdef$"),"n"'   $1$abcdef$nRHvewzGzJoYskdQAIEQr   注:上例中的"n"均为转义字符。salt值为$1$abcdef$,原始密码为mypass,散列值为:$1$abcdef$nRHvewzGzJoYskdQAIEQr   MD5算法得到的散列值为个字符长,并且都以$1$开头。   2.4其他算法:   BSDI风格的DES和Blowfish使用也比较广泛,本文将在后面会有讨论。   2.5 BSD使用的加密机制:   各种D E S很长一段时间内一直是U N I X口令加密的主要算法,但还有其他算法可以代替D E S。现代B S D系统提供了一些其他算法的应用范例。缺省情况下, FreeBSD默认使用MD5加密机制,因为MD5没有出口限制,同时也更安全于DES。DES仍然可用,只不过DES存在的目的仅仅是为了和其他 UNIX系统所用的密码的向后兼容性。并且使用DES的系统也能鉴别出MD5,因为MD5所用的Hash也在DES中被使用。   O p e n B S D走得更远。其开发小组在加拿大,这样就不受美国的出口限制。O p e n B S D可以被配置成使用传统的UNIX crypt () 、比如“扩充加密”、M D 5或B l o w f i s h。M D 5由Ronald L.Rivest开发,它在RFC 中描述。F r e e B S D和O p e n B S D中基于M D 5的crypt ( ) 产生的口令条目包含版本号、s a l t和哈希口令,彼此之间用“ $”符号分隔。一个M D 5口令看起来如下:   $ 1 $ c a e i H Q w X $ h s K q O j r F R R N 6 K 3 2 O W K C B f 1   这里“$ 1”指明M D 5,“c a e i H Q w X”是s a l t。   B l o w f i s h由Bruce Schneier在1 9 9 3年开发,是D E S的一个快速、压缩、简单且免费的替代品]。虽然S c h n e i e r指出B l o w f i s h不适合产生单向哈希,但O p e n B S D就为这个目的使用它。B l o w f i s h版的crypt ( )使用1 2 8位s a l t,足够使最坚定的破坏者泄气。用所有可能的s a l t值进行预编译的字典将十分昂贵。其最大口令长度为7 2个字符。B l o w f i s h算法是一个由p i的十六进制数字组成的固定字符串进行初始化的。初始化的B l o w f i s h状态由s a l t和口令进行扩展,该过程重复一定的次数(该数值也被编入口令串中)。最后的B l o w f i s h口令条目是使用B l o w f i s h状态对字符串“ O r p h e a n B e h o l d e r S c r y D o u b t”加密6 4次而得到的。   加密的口令条目包含B l o w f i s h版本号、算法重复次数以及s a l t和哈希口令的连结—每个之间由“ $”字符隔开。一个编码“ 8”将声明2 5 6次循环。一个有效的B l o w f i s h口令看起来如下:   $2a$$eIAq8PR8sIUnJlHaohxXx9O1m2vkLJ5dsXdmB.eXFqjchC   在这个例子中,初始的扩展进行4 0 9 6次。给出了很大的重复次数和长的口令, B l o w f i s h加密的口令比其他基于传统D E S机制加密的口令更难被攻击。给出由这些算法改进所提供的额外安全措施后,它被应用在其他U N I X系统中只是一个时间问题了。   2.6----如何得知你的系统使用的加密算法   方法可以有很多,本人简单列举几个:   方法(1)你可以通过查看 libcrypt[._*]链接到/usr/lib下的哪些库文件来得知你的系统密码所使用的加密算法。如果链接到libcrypt*库,那么使用的为MD5,如果为libdescrypt*,就应该为DES了。具体操作如下:   %cd /usr/lib   %ls -l libcrypt[._]*   lrwxr-xr-x  1 root  wheel        Jun  9 : /usr/lib/libcrypt.a@ ->   libscrypt.a   lrwxr-xr-x  1 root  wheel        Jun  9 : /usr/lib/libcrypt.so@ ->   libscrypt.so   lrwxr-xr-x  1 root  wheel        Jun  9 : /usr/lib/libcrypt.so.2@ ->   libscrypt.so.2   lrwxr-xr-x  1 root  wheel        Jun  9 : /usr/lib/libcrypt_p.a@ ->   libscrypt_p.a   % FreeBSD4.4中,从FreeBSD 4.4开始就完全由login.conf来控制所使用的加密算法,并且默认已经设置为MD5,要改为DES,只须将其中:password_format段的md5替换成des。任何使修改生效,本文后面有详细的说明。 附:我们强烈建议用户尽可能的使用MD5库而非DES.所以往往也很有必要将一些安装了DES加密算法的系统的DES库转换成MD5库,操作也很简单,只须先删除libcrypt[._*]链接,然后将它们重新链接到相应到md5库。(即以s代替des): Links DES MD5 ----- --- --- libcrypt.a libdescrypt.a libscrypt.a libcrypt.so libdescrypt.so libscrypt.so libcrypt.so.2 libdescrypt.so.2 libscrypt.so.2 libcrypt_p.a libdescrypt_p.a libscrypt_p.a 方法(2)查看/etc/login.conf中的password_format段。其值md5,des,blf分别对应MD5,DES和blowfish. 方法(3)查看密码文件/etc/passwd或者/etc/shadow(BSD 下相应为/etc/master.passwd),根据密码特征得知使用的加密算法。例如以$1$开头的为MD5,以$2$开头的为 blowfish.DES没有明显的特征,但它的密码段相对较短,且均为字母,没有$之类的字符,也很容易辨别! 3.密码文件 3.1概述: 正如大家所熟悉的,Unix下都存在一个/etc/passwd文件以存放用户的密码文件,但是在不同的Unix,Linux,BSD 中它们所起的作用也不尽相同。某些Unix和Linux还使用shadow文件,但FreeBSD中相应的却为/etc/master.passwd文件。下面将对这些文件进行详细说明。 3.2/etc/passwd文件 传统的Unix中均使用该文件来存放用户密码。该文件以加密的方式保存口令,其中的口令必须通过passwd口令来生成(如果使用NIS,相应的为ypasswd),或者从另一账号中复制过来。 P a s s w d文件中的每个条目看起来如下: n a m e : c o d e d - p a s s w d : U I D : G I D : u s e r - i n f o : h o m e - d i r e c t o r y : s h e l l 7个域中的每一个由冒号隔开。空格是不允许的,除非在u s e r- i n f o域中使用。下面总结了 每个域的含义: ①name—给用户分配的用户名,这不是私有信息。 ② c o d e d - p a s s w d—经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录,则经常用一个星号( : * :)代替。该域通常不手工编辑。用户应该使用p a s s w d命令修改他们的口令。值得注意的一点是许多最近的U N I X 产品依赖“影子口令” — 不在/ e t c / p a s s w d中保存的口令。 ③ UID—用户的唯一标识号。习惯上,小于1 0 0的U I D是为系统帐号保留的。 ④ G I D—用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。在Red Hat L i n u x中,每个用户帐号被缺省赋予一个唯一分组。 ⑤ u s e r- i n f o—习惯上它包括用户的全名。邮件系统和f i n g e r这样的工具习惯使用该域中的信息。该域也被称作G E C O S域。 ⑥ home-directory—该域指明用户的起始目录,它是用户登录进入后的初始工作目录。 ⑦ s h e l l—该域指明用户登录进入后执行的命令解释器所在的路径。有好几种流行的S h e l l,包括Bourne Shell (/bin/sh),C Shell (/bin/csh),Korn Shell (/bin/ksh)和Bash Shell( / b i n / b a s h )。注意可以为用户在该域中赋一个/ b i n / f a l s e值,这将阻止用户登录。 注意:当编辑/etc/passwd文件来建立一个新账号时,应在密码字段放一个"*",(一些伪用户,例如daemon也如此)以避免用户未经权而使用该账号。直到你为此新建账号设置了真实密码。 3.2/etc/shadow文件 传统上,/ e t c / p a s s w d文件在很大范围内是可读的,因为许多程序需要用它来把U I D转换为用户名。例如,如果不能访问/ e t c / p a s s w d,那么ls -l命令将显示数字U I D而不是用户名。不幸的是,使用口令猜测程序,具有加密口令的可读/ e t c / p a s s w d文件表现出巨大的安全危险。多数近来的U N I X产品支持一个变通方法:影子口令文件。影子口令系统把口令文件分成两部分: / e t c / p a s s w d和影子口令文件。影子口令文件保存加密的口令;/ e t c / p a s s w d中的c o d e d - p a s s w o r d域都被置为“X”或其他替代符号。影子口令文件只能被r o o t或像p a s s w d这样的s e t _ u i d程序在需要合法访问时读取,其他所有非授权用户都被拒绝访问。习惯上,影子口令文件保存在/ e t c / s h a d o w中,尽管有些系统使用可选的路径和文件名。例如B S D系统把加密的口令保存在/ e t c / m a s t e r. p a s s w d。 /etc/shadow剖析 / e t c / s h a d o w文件包含用户名和加密口令以及下面一些域: (1) 上一次修改口令的日期,以从1 9 7 0年1月1日开始的天数表示。 (2) 口令在两次修改间的最小天数。口令在建立后必须更改的天数。 (3)口令更改之前向用户发出警告的天数。 (4)口令终止后帐号被禁用的天数。 (5)自从1 9 7 0年1月1日起帐号被禁用的天数。 (6)保留域。 下面是一个Red Hat Linux系统中/ e t c / s h a d o w文件的例子: root:mGqwuvdFbc::0::7::: bin:*::0::7::: daemon*::0::7::: adm:*::0::7::: lp*::0::7::: sync:*::0::7::: shutdown:*::0::7::: halt:*::0::7::: mail:*::0::7::: news:*::0::7::: uucp:*::0::7::: operator:*::0::7::: freebird:sdfaBhZiQn1llfa::0::7::: 缺省情况下,口令更新并不开启。于是没有口令更改前的最小天数,也没有口令必须更改的日期。口令在 天内必须更换的声明几乎无用,因为从现在起几乎还有2 5 0年。在口令终止前7天警告用户的声明也没用,除非选择使用口令更新。在本例中没有声明,还可以在口令终止和帐号禁用之间设置一个时间段。 在可选影子口令功能的系统中,用一条相对简单的命令设置并更新影子口令文件:p w c o n v。该命令在影子口令文件不存在的情况下创建一个新的。如果已存在一个影子文件,p w c o n v把/ e t c / p a s s w d中的新用户添加到/ e t c / s h a d o w中,把/ e t c / p a s s w d中没有的用户从影子文件中删去,并把口令从/ e t c / p a s s w d移到影子文件中。在Red Hat Linux中,p w c o n v把新的/ e t c / p a s s w d文件写到一个名为n p a s s w d的文件中,把新影子文件写到n s h a d o w中。这些新文件需要手工进行重命名或拷贝。用户可以用p w u n c o n v命令返回到不使用影子文件的情况下,它把影子文件中的信息合并回传统的口令文件中。 提示:早期的L i n u x不支持影子口令。 注意:在solaris下,必须使用隐蔽口令文件,在Linux下,如果用户安装了shadow软件也可以使用。 3.2/etc/master.passwd 在BSD下,实际的口令文件是/etc/master.passwd.,这里的密码都是简单的文本数据库,每个用户占一行,行中字段用":"隔开。 /etc/master.passwd权限为,而/etc/passwd为,这就意味着任何人都人存取/etc/passwd.但只有 root才能读取/etc/master.passwd. 在BSD中,/etc/master.passwd是/etc/passwd的超集,它直接生成/etc/passwd文件。所以在BSD中 /etc/passwd文件总是不需要直接进行编辑。一旦运行vipw,passwd,chfn,chsh或者chpass这些命令,也是对 /etc/master.passwd进行修改。并且修改后会自动生成/etc/passwd.(一同生成的还有由pwd_mkdb工具生成的 /etc/master.passwd的散列表形式。) 平面文件数据库(/etc/passwd,/etc/master.passwd)都只对少量用户合适,用户一多,查找速度就慢。因此在BSD 下相应的还有两个数据库格式的散列表/etc/pwd.db和/etc/spwd.db,其权限也和上面两文件对应。每次运行chfn,passwd等命令后,pwd_mkdb都会自动修改这两个文件。 提示:若希望根据另一个FreeBSD重新构件用户列表或者从另一个FreeBSD机器移植一个用户列表,只须简单的把新的master.passwd(比如master.passwd.new)文件置于/etc/下(或/ 下),然后运行如下命令(注意先备份): %cp /etc/master.passwd /etc/master.passwd.bak %pwd_mkdb -p /etc/master.passwd.new 这样/etc/master.passwd文件将被覆盖,其他三个文件也得以重建。(-p即为生成新的/etc/passwd) 注意:/etc/master.passw文件和shadow文件形式和功能都相同,但是和/etc/master.passwd不同的是,Linux下(或其他系统)使用的/etc/shadow文件并非/etc/passwd文件的超集。/etc/passwd文件也并非由/etc/shadow文件产生,需要手工维护这两个文件。 4.BSD下使用“密码过期机制” “密码过期”意即超过规定的时间密码无效,用户必须在此之前修改密码。要实现此功能,需要修改/etc/login.conf文件,在default段中加入passwordtime=d(或者2y,6w,h之类的)如: default:     :password_format=md5:     :copyright=/etc/COPYRIGHT:     :welcome=/etc/motd:     :passwordtime=h: 因为/etc/login.conf数据库必须编译成一个散列表,所以必须运行cap_mkdb程序,以生成此散列表,然后才能使修改生效。如下操作: %cap_mkdb /etc/login.conf 这样,若小时内未修改密码,登陆时将提示输入新的密码。 注意:在设置passwordtime属性时,passwd会在/etc/master.passwd的第六字段写入最后一次修改密码的时间。 /etc/login.conf在密码及其他设置方面还有很多值得使用的地方,不妨man 看看。 后记 本文只简要的说明了一下Unix/Linux特别是BSD的口令机制,要也因本人水平,不能在此文深入的论述此问题。关于密码的安全性,以及密码破解和任何使用更安全的加密机制等问题,本人会在以后撰文论述。 参考资料: man 5 passwd man 3 crypt man md5 man des man login.conf DES-to-MD5-(mini)HOWTO 《Hacking Linux Exposed》 《Unix System Administrator Handbook》 作者简介: Freebird,姓名:匡萃彪。CNFUG核心成员。Unix 的狂热追随者,熟悉BSD,Linux, Solaris,C,Shell。主要研究方向:各种服务器架设、系统和网络安全、内核源码分析以及英文文档翻译。欢迎您通过 freebird@cnfug.org与本人联系。

推荐整理分享Unix BSD Linux的口令机制初探(linux/unix),希望有所帮助,仅作参考,欢迎阅读内容。

Unix BSD Linux的口令机制初探(linux/unix)

文章相关热门搜索词:unix bash,unix接口,linux/unix,unixbench,linux unix dos,unix bash,unix ll,unixbench,内容如对您有帮助,希望把文章链接给更多的朋友!

Unix操作系统命令和配置文件的保护知识分享 Unix操作系统有很多值得学习的地方,这里我们主要介绍Unix操作系统中的保护知识。我们要保护下面的Unix操作系统命令和Unix操作系统配置文件以防止入

unix下的常用命令详解 一、注意事项命令和参数之间必需用空格隔开,参数和参数之间也必需用空格隔开。一行不能超过个字符;大小写有区分。二、特殊字符含义文件名

UNIX文件系统的分析和比较深入认识 小生想从源码的角度解释一下Unix的文件系统。(前天因为不能发在首页所以重发,为什么有3天的限制呢,真是的哦)首先一个文件在没有被打开的情况

标签: linux/unix

本文链接地址:https://www.jiuchutong.com/biancheng/354016.html 转载请保留说明!

上一篇:OPENBSD上的ADSL和防火墙设置配置(open bsd)

下一篇:Unix操作系统命令和配置文件的保护知识分享(unix操作系统命令)

  • 无偿使用房产需要交哪些税
  • 无票收入怎么做账,要交税吗,填入增值税申报表
  • 研发支出指的是什么
  • 进项税额转出忘记填在申报表里
  • 纳税人识别号的组成
  • 信息技术服务企业研发费用加计扣除
  • 全面解析是什么意思
  • 企业所得税调增项目有哪些
  • 劳务外包用工单位可以抵扣进项税吗
  • 没有计提坏账准备的应收帐款坏帐帐务处理
  • 开发票时税点开里怎么算?
  • 车辆维修费
  • 混业经营如何缴税?
  • 购买理财产品会损失本金吗
  • 收回固定资产残值
  • 收到股东交的多余的股金怎么做账务处理
  • 公司员工驻外补贴政策
  • 汇算清缴税务审计报告
  • 电费预付之后又退回来了
  • dir852迅雷路由器
  • 销售差异计算公式
  • 会计的运费怎么写分录
  • php文件类型码
  • php 多维数组转换成字符串
  • ajax请求php接口
  • 域名停靠是病毒吗
  • 误删开始菜单
  • php如何编程
  • 核定征收怎么申报个人经营所得
  • php \t
  • vue3中使用require
  • 电梯的维护保养应当由谁负责
  • PHP:mcrypt_module_is_block_mode()的用法_Mcrypt函数
  • 出口退税的申报期限是多久
  • 本地部署stable diffusion需要什么显卡
  • 固定资产备案有什么用
  • axios.defaults.baseURL的三种配置方法
  • 元的解释是什么?
  • 固定资产毁损应该填制什么凭证
  • 帝国最新版本
  • 银行同业利率
  • 开具劳务发票需要提供什么资料?
  • 增值税加计扣除计入什么科目
  • win7系统安装教程不用u盘
  • 个人所得税申报教程
  • 交强险必须要买嘛
  • 个人所得税手续费比例
  • 国有划拔土地房整体可以买卖吗
  • 收到银行存款利息
  • 进项税额可以抵扣会计分录
  • 新办企业在建期间账务处理
  • 储备基金是什么
  • 出口退税进项税都抵扣了怎么办
  • 银行存款利息收入要交增值税吗
  • 制造费用会计科目
  • 公司建账初期做账怎么做
  • 工会经费是什么凭证
  • 怎么做好出纳帐
  • 断电恢复
  • Win2008 Server Core如何操作?5个步骤学会Win2008 Server Core操作
  • ubuntu笔记软件
  • mac os图片
  • linux的ntp服务
  • win8创建系统映像
  • mac怎么安装字体到ai
  • linux安装atop
  • svaplayer.exe - svaplayer是什么进程 有何作用
  • win7系统本身会占用多少空间
  • win8如何更新驱动
  • 如何将win7系统装进移动硬盘
  • win7开机显示一堆英文
  • unity shader
  • python线程池最大数量
  • 安装两个linux
  • python如何判断一个变量的类型
  • 工资6200要交多少个人所得税
  • 深圳市保安证办理流程
  • 12333热线时间
  • 税务局签合同
  • 省国税局领导由谁任命
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设