Linux用戶管理安全寶典：密碼防破解與帳號文件保護(hù) (2)

數(shù)站點(diǎn)都從/home開始安排用戶登錄子目錄，并把每個用戶的子目錄命名為其上機(jī)使用的登錄名。
　　當(dāng)用戶登錄進(jìn)入系統(tǒng)時，都有一個屬于自己的操作環(huán)境。用戶遇到的第一個程序叫做shell。在Linux系統(tǒng)里，大多數(shù)shell都是基于文本的。Linux操作系統(tǒng)帶有好幾種shell供用戶選用。用戶可以在/etc/shells文件中看到它們中的絕大多數(shù)。用戶可以根據(jù)自己的喜好來選用不同的shell進(jìn)行操作。按照最嚴(yán)格的定義，在上面所介紹的/etc/passwd文件中，每個用戶的口令數(shù)據(jù)項中并沒有定義需要運(yùn)行某個特定的shell，其中列出的是這個用戶上機(jī)后第一個運(yùn)行的程序是哪個。綜上所述，通過使用cat命令查看/etc/passwd文件（#cat /etc/passwd）。
　　(2) 用戶影子文件——shadow
　　Linux使用不可逆的加密算法如DES來加密口令，由于加密算法是不可逆的，所以黑客從密文是得不到明文的。但/etc/passwd文件是全局可讀的，加密的算法是公開的，惡意用戶取得了/etc/passwd文件，便極有可能破解口令。而且，在計算機(jī)性能日益提高的今天，對賬號文件進(jìn)行字典攻擊的成功率會越來越高，速度越來越快。因此，針對這種安全問題，Linux/UNIX廣泛采用了“shadow（影子）文件”機(jī)制，將加密的口令轉(zhuǎn)移到/etc/shadow文件里，該文件只為root超級用戶可讀，而同時/etc/passwd文件的密文域顯示為一個x，從而最大限度地減少了密文泄露的機(jī)會。
　　/etc/shadow文件的每行是8個冒號分割的9個域，格式如下：
　　username: passwd: lastchg: min: max: warn: inactive: expire: flag
　　如下所示的是一個系統(tǒng)中實(shí)際影子文件的例子：
　　liyang:$1$ciY58zQZ$iKVHLSVZZgM75.lGp5Rmv.:14633:0:99999:7:::
　　我們對最后一個用戶的信息進(jìn)行解釋，該信息表明了如下含義：
　　用戶登錄名：liyang
　　用戶加密的口令：liyang后緊跟的一段亂碼信息$1$ciY58zQZ$iKVHLSVZZgM75.lGp5Rmv.
　　從1970年1月1日起到上次修改口令所經(jīng)過的天數(shù)天數(shù)為：14633天
　　需要多少天才能修改這個命令：0天
　　該口令永不過期：采用99999表示
　　要在口令失效前7天通知用戶，發(fā)出警告
　　禁止登錄前用戶名還有效的天數(shù)未定義，以“:”表示
　　用戶被禁止登錄的時間未定義，以“:”表示
　　保留域，未使用，以“:”表示
　　(3) 組賬號文件——group
　　/etc/passwd文件中包含著每個用戶默認(rèn)的分組ID（GID）。在/etc/group文件中，這個GID被映射到該用戶分組的名稱以及同一分組中的其他成員去。
　　/etc/group文件含有關(guān)于小組的信息，/etc/passwd中的每個GID在文件中應(yīng)當(dāng)有相應(yīng)的入口項，入口項中列出了小組名和小組中的用戶，這樣可方便地了解每個小組的用戶，否則必須根據(jù)GID在/etc/passwd文件中從頭至尾地尋找同組用戶，這提供了一個比較快捷的尋找途徑。/etc/group文件對小組的許可權(quán)限的控制并不是必要的，因?yàn)橄到y(tǒng)用來自于/etc/passwd文件的UID、GID來決定文件存取權(quán)限，即使/etc/group文件不存在于系統(tǒng)中，具有相同的GID用戶也可以小組的存取許可權(quán)限共享文件。小組就像登錄用戶一樣可以有口令。如果/etc/group文件入口項的第二個域?yàn)榉强眨ㄍǔＳ脁表示），則將被認(rèn)為是加密口令。/etc/group文件中每一行的內(nèi)容如下所示：
　　用戶分組名
　　加過密的用戶分組口令
　　用戶分組ID號（GID）
　　以逗號分隔的成員用戶清單
　　如下是系統(tǒng)中一個具體的/etc/group文件中記錄的例子：
　　adm:x:4:root,adm,daemon
　　以上面文件第四行為例子，它說明在系統(tǒng)存在一個adm的用戶組，它的信息如下：
　　用戶分組名為adm
　　用戶組口令已經(jīng)加密，用“x”表示
　　GID為4
　　同組的成員用戶有：root，adm，daemon
　　(4) 組賬號文件——gshadow
　　如同用戶賬號文件的作用一樣，組賬號文件也是為了加強(qiáng)組口令的安全性，防止黑客對其實(shí)行的暴力攻擊，而采用的一種將組口令與組的其他信息相分離的安全機(jī)制。其格式如下所示內(nèi)容：
　　用戶組名
　　加密的組口令
　　組成員列表
　　下面是系統(tǒng)中一個具體的/etc/gshadow文件的例子：
　　mail:::mail,postfix,exim
　　以組mail為例，其加密后的組口令被隱藏，其組成員包括mail、postfix和exim。其他的以“::”結(jié)尾的組表明沒有組成員，但是用戶可以自行添加。
　　總結(jié)
　　對于Linux系統(tǒng)的全方位保護(hù)，我們已經(jīng)介紹了文件系統(tǒng)保護(hù)、進(jìn)程管理、以及本文的用戶管理。除了已經(jīng)介紹過的這三項，Linux日志管理也是必不可缺的一環(huán)，這將在下篇文章中進(jìn)行介紹。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]