账户管理

发布日期：2023-04-04浏览量：83

秀同安方控利

2.1.3账户管理

零碎上的账户信息可以分开管理。许多unix零碎的劣势在于可以经由过程 network information unx对付管理用户和事情组是自给自足的。也就是说，若是领有多个unix零碎，每一个

services(ns，网络信息服务)集中管理，如已往闻名的 yellow pages(yp，黄页)。nis是设计用来在多零碎之间同享受户和组信息的简略数据库零碎。同享nis信息的

nis服务器上。当用户试图在域范畴内访问零碎时，零碎就会与主服务器接洽以确认用户的零碎选择集称为域。为了付与用户对域的访问权，管理员只需求简略地将用户账号增加到主

登陆是否有用。如许，即便没有界说当地账户，用户也会获得对零碎的访问权。

nis与nt域都不是条理结构，因而它们具备独特的缺陷。若是界说某个用户具备对

nis域的访问权，那末这个用户就被承认对整个域具备访问权逐个包括域中的每一个零碎。管理员不克不及指定某个用户只能访问一个或两个unix零碎，或者只访问域的某一部分。若是需

要这类粗疏的控制威力，就必需建立多个nis域。1 1.口令文件。一切用户受权检查要求都运用名叫 passwd的口文件进行验证。

(1)ロ令字段。从 passwd文件输出信息中可以看到，各加密口令的密文化晰清楚明了，这是因

全问题:任何能够正当地访问到零碎的人均可以复制 passwd文件到另外一台计较机上，而且使为用户需求能够对 passwd文件具备读取的威力，以执行受权检查过程。这也会带来首要的安

用横蛮破解法对口令进行破解。t

unx运用了十分壮大的加密算法对用户口令进行加密。这类算法是一种简化的56位

des算法，其根蒂根基文本全为0值，加密密钥是用户的口令。获得的密文再进行一次加密，运用

用户的口令作为密钥。这类加密过程要反复进行25次。

雄”按照运用的时间生成，取值范畴在0-4，095之间。如许可以包管若是有两名用户运用相为了使终极获得的密文更难于破解，零碎又插手只知其一，不知其二层密钥，称为“再加一粒盐”。这一粒

的用户有两个赚户，即便这些账户运用沟通的口令，他人也没法从获得的密文中看出来。同的口令，获得的密文也不会沟通。比方，从 passwd文件的输出中可见，一名名叫 deb tuttle

用于加密的“盐”的值是密文的前两个字符，因今生成deb的口令时，运用的“盐”值为gh，

而 tuttle的口令运用的“盐”值为zv。当用户在零碎中进行受权检查时，零碎会从密文中提

取“盐”值，用于加密用户输入的口令。若是两个密文值沟通，则该用户被以为正当，而且容许

访问零碎

工(2)破解unixロ令。据称unix零碎在生成 passwd文件密文时运用一次性加密(one

是进犯者但愿浏览的数据各人都知道后果获得的值是0，对密钥的立场也是如许。当然，如 way encryption)算法，由于直接对加密25次的文件进行破解是很不现实的，同时，这也不

果想破解密文，就需求有密钥，但如果是有了密钥，也就有了用户的口令。

那末人们怎样破解unix口令呢?要领是运用unix对用户进行受权检查时沟通的办

法。当 woolly attacker想破解口令时，他会从 passwd文件的密文记载中提取“盐”值，而后对

称地对许多单词进行加密，试图获得婚配的密文串。一旦发现婚配情况，woly就知道他得

到了正确的口令(注:用于破解口令所运用的单词列表常规都是词典文件)。、

2章网格安全成剧范

进犯者没法反向解开密文，但他可以运用横蛮破解的要领推测出正确的值。这就是不要

运用一般单词或服务器及用户名的变形作为口令的起因。这些值常规都是进犯者起首会运用

的值。示代 (3)影子口令。为理解决用户可以查看 passwd文件中的加密口令这个问题，一种法子是如当量当，田人妇早最口。(ャ

把密文寄存在其它处所，这就是运用影子口令( shadow password)所要到达的目的；它使得用

户可以把口令寄存在一个只要超等用户可以访问到的处所，从而制止零碎中的一切用户均可

以访问到这些信息。?

运用影子口令的时辰， passwd文件中的口令字段只要一个字符x。这个值通知零碎需求

到个名叫 shadow的文件中查找密文口令。 shadow文件的格局与 passwd文件沟通，也是所

有的字段都以留号(:)分开。最低情况下， shadow文件的每回行都包罗用户的登陆名和口令，

用户还可以选择插手口令时间信息，如用户必需修改口令的最短期和最永劫间设置。

告诫:若是用户决议运用影子口令的要领，必需包管其它一切要运用到的零碎受权检査机

制要与 shadow文件的格局兼容。比方，许多旧版本的nis都认ロ令会保留在 passwd文件

中。若是用户在雷同的零碎中装置了影子口令管理组件，nis会遏制事情，用户也很能够会无

法访问到该零碎

2.goup文件。在前面内容中曾经引见过， group文件用于辨认各事情组相连的gid和

事情构成员。大都unix版本容许用户加人多个事情组。18 wa ram bowron lin 当用户生成一个文件时，零碎会为文件的一切者提供对该文件的读、写访问权及一切权

即若是有人生成为了一个名叫 resume.txt的文件，这个人地点主事情组中的一切用户均可以在此文件中写入值息。这是零碎在缺省状况下设置的一种很松的许可权设置，生成文件的

用户能够会健忘或者基本不知道要运用 chmod号令进行修改。是个

为理解决这类文件许可权问题，每一个用户都分配到一个差别的事情组中，即缺省状况下，

一切其余用户城市成为“其余组用户”，只能具备起码的对其余用户生成的文件的访问权限(通

常是只读权限)。若是某个用户想让其余用户具备对该文件更高的访问权限，可以运用 chgr

号令。这就是说在向某个文件翻开更多的访问权限时，先要思索到会有甚么后果。(o

2.1.4.1p服务管理行

unix零碎曾经发展成为一个具备支持许多ip服务威力的零碎。从功用的角度来看，这

太好了，可是对付网络安全却不是一件功德。提供服务越多的零碎也就更易遭到进犯，由于

发现零碎弱点的时机也增加了。比方，若是某个想要进犯unx零碎的人能够会发现、尽管

零碎的httpftp和smtp服务都十分紧密、可是却在finger(指名)服务上存在缝隙。许多1p服务均可以在unx零碎上运用。用户运用的特定unx零碎将决议缺省翻开

的服务项目。尽管每一个服务的形容都将提示用户它是不是一般翻开的服务、但用户仍需求查

看机械的特定设置，以确定它们是不是正在运用的服务，哪些不是。一、boop服务器。 unix bootp服务器为网络客户提供bop和dhcp服务。dhcp和

bootp客户可以自力承受服务或承受混淆服务。2章网格安全成剧范