賬戶管理發(fā)布者：本站     時間：2019-09-03 10:09:49

系統(tǒng)上的賬戶信息可以分開管理。許多UNIX系統(tǒng)的優(yōu)勢在于可以通過 Network Information UNx對于管理用戶和工作組是自給自足的。也就是說，如果擁有多個UNIX系統(tǒng)，每個
Services(Ns，網(wǎng)絡(luò)信息服務(wù))集中管理，如過去著名的 Yellow Pages(YP，黃頁)。NIS是設(shè)計用來在多系統(tǒng)之間共享用戶和組信息的簡單數(shù)據(jù)庫系統(tǒng)。共享NIS信息的
 
NIS服務(wù)器上。當(dāng)用戶試圖在域范圍內(nèi)訪問系統(tǒng)時，系統(tǒng)就會與主服務(wù)器聯(lián)系以確認(rèn)用戶的 系統(tǒng)選擇集稱為域。為了賦予用戶對域的訪問權(quán)，管理員只需要簡單地將用戶賬號添加到主
登錄是否有效。這樣，即使沒有定義本地賬戶，用戶也會獲得對系統(tǒng)的訪問權(quán)。
 
NIS與NT域都不是層次結(jié)構(gòu)，因此它們具有共同的缺點。如果定義某個用戶具有對
NIS域的訪問權(quán)，那么這個用戶就被認(rèn)可對整個域具有訪問權(quán)一一包括域中的每個系統(tǒng)。管 理員不能指定某個用戶只能訪問一個或兩個UNIX系統(tǒng)，或者只訪問域的某一部分。如果需
 
 
要這種細(xì)致的控制能力，就必須建立多個NIS域。1 1.口令文件。所有用戶授權(quán)檢查請求都使用名叫 Passwd的口文件進(jìn)行驗證。
 
(1)ロ令字段。從 Passwd文件輸出信息中可以看到，各加密口令的密文清晰明了，這是因
全問題:任何能夠合法地訪問到系統(tǒng)的人都可以復(fù)制 Passwd文件到另一臺計算機上，并且使 為用戶需要能夠?qū)?Passwd文件具有讀取的能力，以執(zhí)行授權(quán)檢查過程。這也會帶來重要的安
用野蠻破解法對口令進(jìn)行破解。t
 
UNX使用了十分強大的加密算法對用戶口令進(jìn)行加密。這種算法是一種簡化的56位
DES算法，其基礎(chǔ)文本全為0值，加密密鑰是用戶的口令。得到的密文再進(jìn)行一次加密，使用
用戶的口令作為密鑰。這種加密過程要重復(fù)進(jìn)行25次。
 
雄”根據(jù)使用的時間生成，取值范圍在0-4，095之間。這樣可以保證如果有兩名用戶使用相 為了使最終得到的密文更難于破解，系統(tǒng)又加入第二層密鑰，稱為“再加一粒鹽”。這一粒
的用戶有兩個賺戶，即使這些賬戶使用相同的口令，別人也無法從獲得的密文中看出來。同的口令，得到的密文也不會相同。例如，從 Passwd文件的輸出中可見，一位名叫 Deb Tuttle
用于加密的“鹽”的值是密文的前兩個字符，因此生成Deb的口令時，使用的“鹽”值為gH，
而 Tuttle的口令使用的“鹽”值為zV。當(dāng)用戶在系統(tǒng)中進(jìn)行授權(quán)檢查時，系統(tǒng)會從密文中提
取“鹽”值，用于加密用戶輸入的口令。如果兩個密文值相同，則該用戶被認(rèn)為合法，并且允許
訪問系統(tǒng)
 
工(2)破解UNIXロ令。據(jù)稱UNIX系統(tǒng)在生成 Passwd文件密文時使用一次性加密(One
是攻擊者希望閱讀的數(shù)據(jù)大家都知道結(jié)果得到的值是0，對密鑰的態(tài)度也是這樣。當(dāng)然，如 Way Encryption)算法，因為直接對加密25次的文件進(jìn)行破解是很不現(xiàn)實的，同時，這也不
果想破解密文，就需要有密鑰，但如果有了密鑰，也就有了用戶的口令。
 
那么人們?nèi)绾纹平釻NIX口令呢?方法是使用UNIX對用戶進(jìn)行授權(quán)檢查時相同的辦
法。當(dāng) Woolly Attacker想破解口令時，他會從 Passwd文件的密文記錄中提取“鹽”值，然后對
稱地對許多單詞進(jìn)行加密，試圖得到匹配的密文串。一旦發(fā)現(xiàn)匹配情況，Woly就知道他得
到了正確的口令(注:用于破解口令所使用的單詞列表通常都是詞典文件)。、

2章網(wǎng)格安全成劇范
 
攻擊者無法反向解開密文，但他可以使用野蠻破解的方法猜測出正確的值。這就是不要
使用普通單詞或服務(wù)器及用戶名的變形作為口令的原因。這些值通常都是攻擊者首先會使用
 
 
的值。示代 (3)影子口令。為了解決用戶可以查看 Passwd文件中的加密口令這個問題，一種辦法是 如當(dāng)量當(dāng)，田人婦早最口。(ャ
 
 
 
把密文存放在其它地方，這就是使用影子口令( Shadow Password)所要達(dá)到的目的；它使得用
戶可以把口令存放在一個只有超級用戶可以訪問到的地方，從而避免系統(tǒng)中的所有用戶都可
以訪問到這些信息。?
 
使用影子口令的時候， Passwd文件中的口令字段只有一個字符x。這個值告訴系統(tǒng)需要
到個名叫 Shadow的文件中查找密文口令。 Shadow文件的格式與 Passwd文件相同，也是所
有的字段都以留號(:)分隔。最低情況下， Shadow文件的每一行都包含用戶的登錄名和口令，
用戶還可以選擇加入口令時間信息，如用戶必須修改口令的最短時間和最長時間設(shè)置。
警告:如果用戶決定使用影子口令的方法，必須保證其它所有要使用到的系統(tǒng)授權(quán)檢査機
制要與 Shadow文件的格式兼容。例如，許多舊版本的NIS都認(rèn)ロ令會保存在 Passwd文件
中。如果用戶在類似的系統(tǒng)中安裝了影子口令管理組件，NIS會停止工作，用戶也很可能會無
法訪問到該系統(tǒng)
 
2.Goup文件。在前面內(nèi)容中已經(jīng)介紹過， Group文件用于識別各工作組相連的GID和
工作組成員。多數(shù)UNIX版本允許用戶加人多個工作組。18 WA RAM bowron lin 當(dāng)用戶生成一個文件時，系統(tǒng)會為文件的所有者提供對該文件的讀、寫訪問權(quán)及所有權(quán)
 
即如果有人生成了一個名叫 Resume.TXT的文件，這個人所在主工作組中的所有用戶都可以 在此文件中寫入值息。這是系統(tǒng)在缺省狀態(tài)下設(shè)置的一種很松的許可權(quán)設(shè)置，生成文件的
用戶可能會忘記或者根本不知道要使用 Chmod命令進(jìn)行修改。是個
 
為了解決這種文件許可權(quán)問題，每個用戶都分配到一個不同的工作組中，即缺省狀態(tài)下，
所有其他用戶都會成為“其他組用戶”，只能具有最少的對其他用戶生成的文件的訪問權(quán)限(通
 
 
常是只讀權(quán)限)。如果某個用戶想讓其他用戶具有對該文件更高的訪問權(quán)限，可以使用 chgr
命令。這就是說在向某個文件打開更多的訪問權(quán)限時，先要考慮到會有什么結(jié)果。(o
 
 
2.1.4.1P服務(wù)管理行
 
UNIX系統(tǒng)已經(jīng)發(fā)展成為一個具有支持許多IP服務(wù)能力的系統(tǒng)。從功能的角度來看，這
太好了，但是對于網(wǎng)絡(luò)安全卻不是一件好事。提供服務(wù)越多的系統(tǒng)也就更容易受到攻擊，因為
發(fā)現(xiàn)系統(tǒng)弱點的機會也增加了。例如，如果某個想要攻擊UNX系統(tǒng)的人可能會發(fā)現(xiàn)、雖然
系統(tǒng)的HTTPFTP和SMTP服務(wù)都非常嚴(yán)密、但是卻在Finger(指名)服務(wù)上存在漏洞。許多1P服務(wù)都可以在UNX系統(tǒng)上使用。用戶使用的特定UNX系統(tǒng)將決定缺省打開
 
 
的服務(wù)項目。雖然每個服務(wù)的描述都將提示用戶它是否是一般打開的服務(wù)、但用戶仍需要查
看機器的特定配置，以確定它們是否是正在使用的服務(wù)，哪些不是。1、Boop服務(wù)器。 UNIX Bootp服務(wù)器為網(wǎng)絡(luò)客戶提供Bop和DHCP服務(wù)。DHCP和
 
Bootp客戶可以獨立接受服務(wù)或接受混合服務(wù)。2章網(wǎng)格安全成劇范
 
攻擊者無法反向解開密文，但他可以使用野蠻破解的方法猜測出正確的值。這就是不要
使用普通單詞或服務(wù)器及用戶名的變形作為口令的原因。這些值通常都是攻擊者首先會使用
 
 
的值。示代 (3)影子口令。為了解決用戶可以查看 Passwd文件中的加密口令這個問題，一種辦法是 如當(dāng)量當(dāng)，田人婦早最口。(ャ
 
 
 
把密文存放在其它地方，這就是使用影子口令( Shadow Password)所要達(dá)到的目的；它使得用
戶可以把口令存放在一個只有超級用戶可以訪問到的地方，從而避免系統(tǒng)中的所有用戶都可
以訪問到這些信息。?
 
使用影子口令的時候， Passwd文件中的口令字段只有一個字符x。這個值告訴系統(tǒng)需要
到個名叫 Shadow的文件中查找密文口令。 Shadow文件的格式與 Passwd文件相同，也是所
有的字段都以留號(:)分隔。最低情況下， Shadow文件的每一行都包含用戶的登錄名和口令，
用戶還可以選擇加入口令時間信息，如用戶必須修改口令的最短時間和最長時間設(shè)置。
警告:如果用戶決定使用影子口令的方法，必須保證其它所有要使用到的系統(tǒng)授權(quán)檢査機
制要與 Shadow文件的格式兼容。例如，許多舊版本的NIS都認(rèn)ロ令會保存在 Passwd文件
中。如果用戶在類似的系統(tǒng)中安裝了影子口令管理組件，NIS會停止工作，用戶也很可能會無
法訪問到該系統(tǒng)
 
2.Goup文件。在前面內(nèi)容中已經(jīng)介紹過， Group文件用于識別各工作組相連的GID和
工作組成員。多數(shù)UNIX版本允許用戶加人多個工作組。18 WA RAM bowron lin 當(dāng)用戶生成一個文件時，系統(tǒng)會為文件的所有者提供對該文件的讀、寫訪問權(quán)及所有權(quán)
 
即如果有人生成了一個名叫 Resume.TXT的文件，這個人所在主工作組中的所有用戶都可以 在此文件中寫入值息。這是系統(tǒng)在缺省狀態(tài)下設(shè)置的一種很松的許可權(quán)設(shè)置，生成文件的
用戶可能會忘記或者根本不知道要使用 Chmod命令進(jìn)行修改。是個
 
為了解決這種文件許可權(quán)問題，每個用戶都分配到一個不同的工作組中，即缺省狀態(tài)下，
所有其他用戶都會成為“其他組用戶”，只能具有最少的對其他用戶生成的文件的訪問權(quán)限(通
 
 
常是只讀權(quán)限)。如果某個用戶想讓其他用戶具有對該文件更高的訪問權(quán)限，可以使用 chgr
命令。這就是說在向某個文件打開更多的訪問權(quán)限時，先要考慮到會有什么結(jié)果。(o
 
 
2.1.4.1P服務(wù)管理行
 
UNIX系統(tǒng)已經(jīng)發(fā)展成為一個具有支持許多IP服務(wù)能力的系統(tǒng)。從功能的角度來看，這
太好了，但是對于網(wǎng)絡(luò)安全卻不是一件好事。提供服務(wù)越多的系統(tǒng)也就更容易受到攻擊，因為
發(fā)現(xiàn)系統(tǒng)弱點的機會也增加了。例如，如果某個想要攻擊UNX系統(tǒng)的人可能會發(fā)現(xiàn)、雖然
系統(tǒng)的HTTPFTP和SMTP服務(wù)都非常嚴(yán)密、但是卻在Finger(指名)服務(wù)上存在漏洞。許多1P服務(wù)都可以在UNX系統(tǒng)上使用。用戶使用的特定UNX系統(tǒng)將決定缺省打開
 
 
的服務(wù)項目。雖然每個服務(wù)的描述都將提示用戶它是否是一般打開的服務(wù)、但用戶仍需要查
看機器的特定配置，以確定它們是否是正在使用的服務(wù)，哪些不是。1、Boop服務(wù)器。 UNIX Bootp服務(wù)器為網(wǎng)絡(luò)客戶提供Bop和DHCP服務(wù)。DHCP和
 
Bootp客戶可以獨立接受服務(wù)或接受混合服務(wù)。bop服務(wù)允許客戶機動態(tài)接收1P地址和子
網(wǎng)掩碼；DHCP支持這些配置設(shè)置和其它設(shè)置，如缺省路由、域名等等。大多數(shù)流行的UNIXbop服務(wù)允許客戶機動態(tài)接收1P地址和子
網(wǎng)掩碼；DHCP支持這些配置設(shè)置和其它設(shè)置，如缺省路由、域名等等。