秀同安方控利
2.1.3賬戶管理
系統上的賬戶信息可以分開管理。許多UNIX系統的優勢在于可以通過 Network Information UNx對于管理用戶和工作組是自給自足的。也就是說,如果擁有多個UNIX系統,每個
Services(Ns,網絡信息服務)集中管理,如過去著名的 Yellow Pages(YP,黃頁)。NIS是設計用來在多系統之間共享用戶和組信息的簡單數據庫系統。共享NIS信息的
NIS服務器上。當用戶試圖在域范圍內訪問系統時,系統就會與主服務器聯系以確認用戶的 系統選擇集稱為域。為了賦予用戶對域的訪問權,管理員只需要簡單地將用戶賬號添加到主
登錄是否有效。這樣,即使沒有定義本地賬戶,用戶也會獲得對系統的訪問權。
NIS與NT域都不是層次結構,因此它們具有共同的缺點。如果定義某個用戶具有對
NIS域的訪問權,那么這個用戶就被認可對整個域具有訪問權一一包括域中的每個系統。管 理員不能指定某個用戶只能訪問一個或兩個UNIX系統,或者只訪問域的某一部分。如果需
要這種細致的控制能力,就必須建立多個NIS域。1 1.口令文件。所有用戶授權檢查請求都使用名叫 Passwd的口文件進行驗證。
(1)ロ令字段。從 Passwd文件輸出信息中可以看到,各加密口令的密文清晰明了,這是因
全問題:任何能夠合法地訪問到系統的人都可以復制 Passwd文件到另一臺計算機上,并且使 為用戶需要能夠對 Passwd文件具有讀取的能力,以執行授權檢查過程。這也會帶來重要的安
用野蠻破解法對口令進行破解。t
UNX使用了十分強大的加密算法對用戶口令進行加密。這種算法是一種簡化的56位
DES算法,其基礎文本全為0值,加密密鑰是用戶的口令。得到的密文再進行一次加密,使用
用戶的口令作為密鑰。這種加密過程要重復進行25次。
雄”根據使用的時間生成,取值范圍在0-4,095之間。這樣可以保證如果有兩名用戶使用相 為了使最終得到的密文更難于破解,系統又加入第二層密鑰,稱為“再加一粒鹽”。這一粒
的用戶有兩個賺戶,即使這些賬戶使用相同的口令,別人也無法從獲得的密文中看出來。同的口令,得到的密文也不會相同。例如,從 Passwd文件的輸出中可見,一位名叫 Deb Tuttle
用于加密的“鹽”的值是密文的前兩個字符,因此生成Deb的口令時,使用的“鹽”值為gH,
而 Tuttle的口令使用的“鹽”值為zV。當用戶在系統中進行授權檢查時,系統會從密文中提
取“鹽”值,用于加密用戶輸入的口令。如果兩個密文值相同,則該用戶被認為合法,并且允許
訪問系統
工(2)破解UNIXロ令。據稱UNIX系統在生成 Passwd文件密文時使用一次性加密(One
是攻擊者希望閱讀的數據大家都知道結果得到的值是0,對密鑰的態度也是這樣。當然,如 Way Encryption)算法,因為直接對加密25次的文件進行破解是很不現實的,同時,這也不
果想破解密文,就需要有密鑰,但如果有了密鑰,也就有了用戶的口令。
那么人們如何破解UNIX口令呢?方法是使用UNIX對用戶進行授權檢查時相同的辦
法。當 Woolly Attacker想破解口令時,他會從 Passwd文件的密文記錄中提取“鹽”值,然后對
稱地對許多單詞進行加密,試圖得到匹配的密文串。一旦發現匹配情況,Woly就知道他得
到了正確的口令(注:用于破解口令所使用的單詞列表通常都是詞典文件)。、
2章網格安全成劇范
攻擊者無法反向解開密文,但他可以使用野蠻破解的方法猜測出正確的值。這就是不要
使用普通單詞或服務器及用戶名的變形作為口令的原因。這些值通常都是攻擊者首先會使用
的值。示代 (3)影子口令。為了解決用戶可以查看 Passwd文件中的加密口令這個問題,一種辦法是 如當量當,田人婦早最口。(ャ
把密文存放在其它地方,這就是使用影子口令( Shadow Password)所要達到的目的;它使得用
戶可以把口令存放在一個只有超級用戶可以訪問到的地方,從而避免系統中的所有用戶都可
以訪問到這些信息。?
使用影子口令的時候, Passwd文件中的口令字段只有一個字符x。這個值告訴系統需要
到個名叫 Shadow的文件中查找密文口令。 Shadow文件的格式與 Passwd文件相同,也是所
有的字段都以留號(:)分隔。最低情況下, Shadow文件的每一行都包含用戶的登錄名和口令,
用戶還可以選擇加入口令時間信息,如用戶必須修改口令的最短時間和最長時間設置。
警告:如果用戶決定使用影子口令的方法,必須保證其它所有要使用到的系統授權檢査機
制要與 Shadow文件的格式兼容。例如,許多舊版本的NIS都認ロ令會保存在 Passwd文件
中。如果用戶在類似的系統中安裝了影子口令管理組件,NIS會停止工作,用戶也很可能會無
法訪問到該系統
2.Goup文件。在前面內容中已經介紹過, Group文件用于識別各工作組相連的GID和
工作組成員。多數UNIX版本允許用戶加人多個工作組。18 WA RAM bowron lin 當用戶生成一個文件時,系統會為文件的所有者提供對該文件的讀、寫訪問權及所有權
即如果有人生成了一個名叫 Resume.TXT的文件,這個人所在主工作組中的所有用戶都可以 在此文件中寫入值息。這是系統在缺省狀態下設置的一種很松的許可權設置,生成文件的
用戶可能會忘記或者根本不知道要使用 Chmod命令進行修改。是個
為了解決這種文件許可權問題,每個用戶都分配到一個不同的工作組中,即缺省狀態下,
所有其他用戶都會成為“其他組用戶”,只能具有最少的對其他用戶生成的文件的訪問權限(通
常是只讀權限)。如果某個用戶想讓其他用戶具有對該文件更高的訪問權限,可以使用 chgr
命令。這就是說在向某個文件打開更多的訪問權限時,先要考慮到會有什么結果。(o
2.1.4.1P服務管理行
UNIX系統已經發展成為一個具有支持許多IP服務能力的系統。從功能的角度來看,這
太好了,但是對于網絡安全卻不是一件好事。提供服務越多的系統也就更容易受到攻擊,因為
發現系統弱點的機會也增加了。例如,如果某個想要攻擊UNX系統的人可能會發現、雖然
系統的HTTPFTP和SMTP服務都非常嚴密、但是卻在Finger(指名)服務上存在漏洞。許多1P服務都可以在UNX系統上使用。用戶使用的特定UNX系統將決定缺省打開
的服務項目。雖然每個服務的描述都將提示用戶它是否是一般打開的服務、但用戶仍需要查
看機器的特定配置,以確定它們是否是正在使用的服務,哪些不是。1、Boop服務器。 UNIX Bootp服務器為網絡客戶提供Bop和DHCP服務。DHCP和
Bootp客戶可以獨立接受服務或接受混合服務。2章網格安全成劇范
攻擊者無法反向解開密文,但他可以使用野蠻破解的方法猜測出正確的值。這就是不要
使用普通單詞或服務器及用戶名的變形作為口令的原因。這些值通常都是攻擊者首先會使用
的值。示代 (3)影子口令。為了解決用戶可以查看 Passwd文件中的加密口令這個問題,一種辦法是 如當量當,田人婦早最口。(ャ
把密文存放在其它地方,這就是使用影子口令( Shadow Password)所要達到的目的;它使得用
戶可以把口令存放在一個只有超級用戶可以訪問到的地方,從而避免系統中的所有用戶都可
以訪問到這些信息。?
使用影子口令的時候, Passwd文件中的口令字段只有一個字符x。這個值告訴系統需要
到個名叫 Shadow的文件中查找密文口令。 Shadow文件的格式與 Passwd文件相同,也是所
有的字段都以留號(:)分隔。最低情況下, Shadow文件的每一行都包含用戶的登錄名和口令,
用戶還可以選擇加入口令時間信息,如用戶必須修改口令的最短時間和最長時間設置。
警告:如果用戶決定使用影子口令的方法,必須保證其它所有要使用到的系統授權檢査機
制要與 Shadow文件的格式兼容。例如,許多舊版本的NIS都認ロ令會保存在 Passwd文件
中。如果用戶在類似的系統中安裝了影子口令管理組件,NIS會停止工作,用戶也很可能會無
法訪問到該系統
2.Goup文件。在前面內容中已經介紹過, Group文件用于識別各工作組相連的GID和
工作組成員。多數UNIX版本允許用戶加人多個工作組。18 WA RAM bowron lin 當用戶生成一個文件時,系統會為文件的所有者提供對該文件的讀、寫訪問權及所有權
即如果有人生成了一個名叫 Resume.TXT的文件,這個人所在主工作組中的所有用戶都可以 在此文件中寫入值息。這是系統在缺省狀態下設置的一種很松的許可權設置,生成文件的
用戶可能會忘記或者根本不知道要使用 Chmod命令進行修改。是個
為了解決這種文件許可權問題,每個用戶都分配到一個不同的工作組中,即缺省狀態下,
所有其他用戶都會成為“其他組用戶”,只能具有最少的對其他用戶生成的文件的訪問權限(通
常是只讀權限)。如果某個用戶想讓其他用戶具有對該文件更高的訪問權限,可以使用 chgr
命令。這就是說在向某個文件打開更多的訪問權限時,先要考慮到會有什么結果。(o
2.1.4.1P服務管理行
UNIX系統已經發展成為一個具有支持許多IP服務能力的系統。從功能的角度來看,這
太好了,但是對于網絡安全卻不是一件好事。提供服務越多的系統也就更容易受到攻擊,因為
發現系統弱點的機會也增加了。例如,如果某個想要攻擊UNX系統的人可能會發現、雖然
系統的HTTPFTP和SMTP服務都非常嚴密、但是卻在Finger(指名)服務上存在漏洞。許多1P服務都可以在UNX系統上使用。用戶使用的特定UNX系統將決定缺省打開
的服務項目。雖然每個服務的描述都將提示用戶它是否是一般打開的服務、但用戶仍需要查
看機器的特定配置,以確定它們是否是正在使用的服務,哪些不是。1、Boop服務器。 UNIX Bootp服務器為網絡客戶提供Bop和DHCP服務。DHCP和
Bootp客戶可以獨立接受服務或接受混合服務。bop服務允許客戶機動態接收1P地址和子
網掩碼;DHCP支持這些配置設置和其它設置,如缺省路由、域名等等。大多數流行的UNIXbop服務允許客戶機動態接收1P地址和子
網掩碼;DHCP支持這些配置設置和其它設置,如缺省路由、域名等等。大多數流行的UNIX
本文地址:http://m.123beaconmarketing.com//article/3704.html