秀同安方控利
2.1.3賬戶管理
系統(tǒng)上的賬戶信息可以分開管理。許多UNIX系統(tǒng)的優(yōu)勢(shì)在于可以通過 Network Information UNx對(duì)于管理用戶和工作組是自給自足的。也就是說(shuō),如果擁有多個(gè)UNIX系統(tǒng),每個(gè)
Services(Ns,網(wǎng)絡(luò)信息服務(wù))集中管理,如過去著名的 Yellow Pages(YP,黃頁(yè))。NIS是設(shè)計(jì)用來(lái)在多系統(tǒng)之間共享用戶和組信息的簡(jiǎn)單數(shù)據(jù)庫(kù)系統(tǒng)。共享NIS信息的
NIS服務(wù)器上。當(dāng)用戶試圖在域范圍內(nèi)訪問系統(tǒng)時(shí),系統(tǒng)就會(huì)與主服務(wù)器聯(lián)系以確認(rèn)用戶的 系統(tǒng)選擇集稱為域。為了賦予用戶對(duì)域的訪問權(quán),管理員只需要簡(jiǎn)單地將用戶賬號(hào)添加到主
登錄是否有效。這樣,即使沒有定義本地賬戶,用戶也會(huì)獲得對(duì)系統(tǒng)的訪問權(quán)。
NIS與NT域都不是層次結(jié)構(gòu),因此它們具有共同的缺點(diǎn)。如果定義某個(gè)用戶具有對(duì)
NIS域的訪問權(quán),那么這個(gè)用戶就被認(rèn)可對(duì)整個(gè)域具有訪問權(quán)一一包括域中的每個(gè)系統(tǒng)。管 理員不能指定某個(gè)用戶只能訪問一個(gè)或兩個(gè)UNIX系統(tǒng),或者只訪問域的某一部分。如果需
要這種細(xì)致的控制能力,就必須建立多個(gè)NIS域。1 1.口令文件。所有用戶授權(quán)檢查請(qǐng)求都使用名叫 Passwd的口文件進(jìn)行驗(yàn)證。
(1)ロ令字段。從 Passwd文件輸出信息中可以看到,各加密口令的密文清晰明了,這是因
全問題:任何能夠合法地訪問到系統(tǒng)的人都可以復(fù)制 Passwd文件到另一臺(tái)計(jì)算機(jī)上,并且使 為用戶需要能夠?qū)?Passwd文件具有讀取的能力,以執(zhí)行授權(quán)檢查過程。這也會(huì)帶來(lái)重要的安
用野蠻破解法對(duì)口令進(jìn)行破解。t
UNX使用了十分強(qiáng)大的加密算法對(duì)用戶口令進(jìn)行加密。這種算法是一種簡(jiǎn)化的56位
DES算法,其基礎(chǔ)文本全為0值,加密密鑰是用戶的口令。得到的密文再進(jìn)行一次加密,使用
用戶的口令作為密鑰。這種加密過程要重復(fù)進(jìn)行25次。
雄”根據(jù)使用的時(shí)間生成,取值范圍在0-4,095之間。這樣可以保證如果有兩名用戶使用相 為了使最終得到的密文更難于破解,系統(tǒng)又加入第二層密鑰,稱為“再加一粒鹽”。這一粒
的用戶有兩個(gè)賺戶,即使這些賬戶使用相同的口令,別人也無(wú)法從獲得的密文中看出來(lái)。同的口令,得到的密文也不會(huì)相同。例如,從 Passwd文件的輸出中可見,一位名叫 Deb Tuttle
用于加密的“鹽”的值是密文的前兩個(gè)字符,因此生成Deb的口令時(shí),使用的“鹽”值為gH,
而 Tuttle的口令使用的“鹽”值為zV。當(dāng)用戶在系統(tǒng)中進(jìn)行授權(quán)檢查時(shí),系統(tǒng)會(huì)從密文中提
取“鹽”值,用于加密用戶輸入的口令。如果兩個(gè)密文值相同,則該用戶被認(rèn)為合法,并且允許
訪問系統(tǒng)
工(2)破解UNIXロ令。據(jù)稱UNIX系統(tǒng)在生成 Passwd文件密文時(shí)使用一次性加密(One
是攻擊者希望閱讀的數(shù)據(jù)大家都知道結(jié)果得到的值是0,對(duì)密鑰的態(tài)度也是這樣。當(dāng)然,如 Way Encryption)算法,因?yàn)橹苯訉?duì)加密25次的文件進(jìn)行破解是很不現(xiàn)實(shí)的,同時(shí),這也不
果想破解密文,就需要有密鑰,但如果有了密鑰,也就有了用戶的口令。
那么人們?nèi)绾纹平釻NIX口令呢?方法是使用UNIX對(duì)用戶進(jìn)行授權(quán)檢查時(shí)相同的辦
法。當(dāng) Woolly Attacker想破解口令時(shí),他會(huì)從 Passwd文件的密文記錄中提取“鹽”值,然后對(duì)
稱地對(duì)許多單詞進(jìn)行加密,試圖得到匹配的密文串。一旦發(fā)現(xiàn)匹配情況,Woly就知道他得
到了正確的口令(注:用于破解口令所使用的單詞列表通常都是詞典文件)。、
2章網(wǎng)格安全成劇范
攻擊者無(wú)法反向解開密文,但他可以使用野蠻破解的方法猜測(cè)出正確的值。這就是不要
使用普通單詞或服務(wù)器及用戶名的變形作為口令的原因。這些值通常都是攻擊者首先會(huì)使用
的值。示代 (3)影子口令。為了解決用戶可以查看 Passwd文件中的加密口令這個(gè)問題,一種辦法是 如當(dāng)量當(dāng),田人婦早最口。(ャ
把密文存放在其它地方,這就是使用影子口令( Shadow Password)所要達(dá)到的目的;它使得用
戶可以把口令存放在一個(gè)只有超級(jí)用戶可以訪問到的地方,從而避免系統(tǒng)中的所有用戶都可
以訪問到這些信息。?
使用影子口令的時(shí)候, Passwd文件中的口令字段只有一個(gè)字符x。這個(gè)值告訴系統(tǒng)需要
到個(gè)名叫 Shadow的文件中查找密文口令。 Shadow文件的格式與 Passwd文件相同,也是所
有的字段都以留號(hào)(:)分隔。最低情況下, Shadow文件的每一行都包含用戶的登錄名和口令,
用戶還可以選擇加入口令時(shí)間信息,如用戶必須修改口令的最短時(shí)間和最長(zhǎng)時(shí)間設(shè)置。
警告:如果用戶決定使用影子口令的方法,必須保證其它所有要使用到的系統(tǒng)授權(quán)檢査機(jī)
制要與 Shadow文件的格式兼容。例如,許多舊版本的NIS都認(rèn)ロ令會(huì)保存在 Passwd文件
中。如果用戶在類似的系統(tǒng)中安裝了影子口令管理組件,NIS會(huì)停止工作,用戶也很可能會(huì)無(wú)
法訪問到該系統(tǒng)
2.Goup文件。在前面內(nèi)容中已經(jīng)介紹過, Group文件用于識(shí)別各工作組相連的GID和
工作組成員。多數(shù)UNIX版本允許用戶加人多個(gè)工作組。18 WA RAM bowron lin 當(dāng)用戶生成一個(gè)文件時(shí),系統(tǒng)會(huì)為文件的所有者提供對(duì)該文件的讀、寫訪問權(quán)及所有權(quán)
即如果有人生成了一個(gè)名叫 Resume.TXT的文件,這個(gè)人所在主工作組中的所有用戶都可以 在此文件中寫入值息。這是系統(tǒng)在缺省狀態(tài)下設(shè)置的一種很松的許可權(quán)設(shè)置,生成文件的
用戶可能會(huì)忘記或者根本不知道要使用 Chmod命令進(jìn)行修改。是個(gè)
為了解決這種文件許可權(quán)問題,每個(gè)用戶都分配到一個(gè)不同的工作組中,即缺省狀態(tài)下,
所有其他用戶都會(huì)成為“其他組用戶”,只能具有最少的對(duì)其他用戶生成的文件的訪問權(quán)限(通
常是只讀權(quán)限)。如果某個(gè)用戶想讓其他用戶具有對(duì)該文件更高的訪問權(quán)限,可以使用 chgr
命令。這就是說(shuō)在向某個(gè)文件打開更多的訪問權(quán)限時(shí),先要考慮到會(huì)有什么結(jié)果。(o
2.1.4.1P服務(wù)管理行
UNIX系統(tǒng)已經(jīng)發(fā)展成為一個(gè)具有支持許多IP服務(wù)能力的系統(tǒng)。從功能的角度來(lái)看,這
太好了,但是對(duì)于網(wǎng)絡(luò)安全卻不是一件好事。提供服務(wù)越多的系統(tǒng)也就更容易受到攻擊,因?yàn)?/div>
發(fā)現(xiàn)系統(tǒng)弱點(diǎn)的機(jī)會(huì)也增加了。例如,如果某個(gè)想要攻擊UNX系統(tǒng)的人可能會(huì)發(fā)現(xiàn)、雖然
系統(tǒng)的HTTPFTP和SMTP服務(wù)都非常嚴(yán)密、但是卻在Finger(指名)服務(wù)上存在漏洞。許多1P服務(wù)都可以在UNX系統(tǒng)上使用。用戶使用的特定UNX系統(tǒng)將決定缺省打開
的服務(wù)項(xiàng)目。雖然每個(gè)服務(wù)的描述都將提示用戶它是否是一般打開的服務(wù)、但用戶仍需要查
看機(jī)器的特定配置,以確定它們是否是正在使用的服務(wù),哪些不是。1、Boop服務(wù)器。 UNIX Bootp服務(wù)器為網(wǎng)絡(luò)客戶提供Bop和DHCP服務(wù)。DHCP和
Bootp客戶可以獨(dú)立接受服務(wù)或接受混合服務(wù)。2章網(wǎng)格安全成劇范
攻擊者無(wú)法反向解開密文,但他可以使用野蠻破解的方法猜測(cè)出正確的值。這就是不要
使用普通單詞或服務(wù)器及用戶名的變形作為口令的原因。這些值通常都是攻擊者首先會(huì)使用
的值。示代 (3)影子口令。為了解決用戶可以查看 Passwd文件中的加密口令這個(gè)問題,一種辦法是 如當(dāng)量當(dāng),田人婦早最口。(ャ
把密文存放在其它地方,這就是使用影子口令( Shadow Password)所要達(dá)到的目的;它使得用
戶可以把口令存放在一個(gè)只有超級(jí)用戶可以訪問到的地方,從而避免系統(tǒng)中的所有用戶都可
以訪問到這些信息。?
使用影子口令的時(shí)候, Passwd文件中的口令字段只有一個(gè)字符x。這個(gè)值告訴系統(tǒng)需要
到個(gè)名叫 Shadow的文件中查找密文口令。 Shadow文件的格式與 Passwd文件相同,也是所
有的字段都以留號(hào)(:)分隔。最低情況下, Shadow文件的每一行都包含用戶的登錄名和口令,
用戶還可以選擇加入口令時(shí)間信息,如用戶必須修改口令的最短時(shí)間和最長(zhǎng)時(shí)間設(shè)置。
警告:如果用戶決定使用影子口令的方法,必須保證其它所有要使用到的系統(tǒng)授權(quán)檢査機(jī)
制要與 Shadow文件的格式兼容。例如,許多舊版本的NIS都認(rèn)ロ令會(huì)保存在 Passwd文件
中。如果用戶在類似的系統(tǒng)中安裝了影子口令管理組件,NIS會(huì)停止工作,用戶也很可能會(huì)無(wú)
法訪問到該系統(tǒng)
2.Goup文件。在前面內(nèi)容中已經(jīng)介紹過, Group文件用于識(shí)別各工作組相連的GID和
工作組成員。多數(shù)UNIX版本允許用戶加人多個(gè)工作組。18 WA RAM bowron lin 當(dāng)用戶生成一個(gè)文件時(shí),系統(tǒng)會(huì)為文件的所有者提供對(duì)該文件的讀、寫訪問權(quán)及所有權(quán)
即如果有人生成了一個(gè)名叫 Resume.TXT的文件,這個(gè)人所在主工作組中的所有用戶都可以 在此文件中寫入值息。這是系統(tǒng)在缺省狀態(tài)下設(shè)置的一種很松的許可權(quán)設(shè)置,生成文件的
用戶可能會(huì)忘記或者根本不知道要使用 Chmod命令進(jìn)行修改。是個(gè)
為了解決這種文件許可權(quán)問題,每個(gè)用戶都分配到一個(gè)不同的工作組中,即缺省狀態(tài)下,
所有其他用戶都會(huì)成為“其他組用戶”,只能具有最少的對(duì)其他用戶生成的文件的訪問權(quán)限(通
常是只讀權(quán)限)。如果某個(gè)用戶想讓其他用戶具有對(duì)該文件更高的訪問權(quán)限,可以使用 chgr
命令。這就是說(shuō)在向某個(gè)文件打開更多的訪問權(quán)限時(shí),先要考慮到會(huì)有什么結(jié)果。(o
2.1.4.1P服務(wù)管理行
UNIX系統(tǒng)已經(jīng)發(fā)展成為一個(gè)具有支持許多IP服務(wù)能力的系統(tǒng)。從功能的角度來(lái)看,這
太好了,但是對(duì)于網(wǎng)絡(luò)安全卻不是一件好事。提供服務(wù)越多的系統(tǒng)也就更容易受到攻擊,因?yàn)?/div>
發(fā)現(xiàn)系統(tǒng)弱點(diǎn)的機(jī)會(huì)也增加了。例如,如果某個(gè)想要攻擊UNX系統(tǒng)的人可能會(huì)發(fā)現(xiàn)、雖然
系統(tǒng)的HTTPFTP和SMTP服務(wù)都非常嚴(yán)密、但是卻在Finger(指名)服務(wù)上存在漏洞。許多1P服務(wù)都可以在UNX系統(tǒng)上使用。用戶使用的特定UNX系統(tǒng)將決定缺省打開
的服務(wù)項(xiàng)目。雖然每個(gè)服務(wù)的描述都將提示用戶它是否是一般打開的服務(wù)、但用戶仍需要查
看機(jī)器的特定配置,以確定它們是否是正在使用的服務(wù),哪些不是。1、Boop服務(wù)器。 UNIX Bootp服務(wù)器為網(wǎng)絡(luò)客戶提供Bop和DHCP服務(wù)。DHCP和
Bootp客戶可以獨(dú)立接受服務(wù)或接受混合服務(wù)。bop服務(wù)允許客戶機(jī)動(dòng)態(tài)接收1P地址和子
網(wǎng)掩碼;DHCP支持這些配置設(shè)置和其它設(shè)置,如缺省路由、域名等等。大多數(shù)流行的UNIXbop服務(wù)允許客戶機(jī)動(dòng)態(tài)接收1P地址和子
網(wǎng)掩碼;DHCP支持這些配置設(shè)置和其它設(shè)置,如缺省路由、域名等等。大多數(shù)流行的UNIX
本文地址:http://m.cdrpkj.cn//article/3704.html
- 相關(guān)文章:
-
- 企業(yè)網(wǎng)站建設(shè)成功關(guān)鍵
- 企業(yè)網(wǎng)站建設(shè)搜索引擎優(yōu)化技術(shù)在網(wǎng)站中的應(yīng)用
- 企業(yè)網(wǎng)站設(shè)計(jì)的可持續(xù)發(fā)展策略
- 探討PHP在企業(yè)網(wǎng)站設(shè)計(jì)開發(fā)中的顯著優(yōu)勢(shì)
- 優(yōu)化企業(yè)網(wǎng)站設(shè)計(jì)與提升用戶體驗(yàn)的獨(dú)特策略
- 企業(yè)網(wǎng)站設(shè)計(jì)的關(guān)鍵要素
- 企業(yè)網(wǎng)站設(shè)計(jì)色彩的選擇和運(yùn)用對(duì)用戶體驗(yàn)和轉(zhuǎn)化率的影響
- 網(wǎng)站設(shè)計(jì)中視覺效果設(shè)計(jì)的最佳實(shí)踐和策略
- 企業(yè)網(wǎng)站設(shè)計(jì)建設(shè)規(guī)范及策略
- 基于JSP技術(shù)交互式動(dòng)態(tài)網(wǎng)站
- 優(yōu)化創(chuàng)新網(wǎng)站服務(wù)體驗(yàn)
- 電子商務(wù)網(wǎng)站界面的視覺設(shè)計(jì)及信息傳達(dá)
- 基于Django的企業(yè)門戶網(wǎng)站的設(shè)計(jì)與實(shí)現(xiàn)
- 電商網(wǎng)站視覺設(shè)計(jì)研究
- 電商網(wǎng)站的視覺設(shè)計(jì)研究
- 網(wǎng)站設(shè)計(jì)中的色彩搭配探析
- 垂直化電商導(dǎo)購(gòu)網(wǎng)站服飾類用戶界面視覺設(shè)計(jì)研究
- 海洋網(wǎng)絡(luò)的技術(shù)團(tuán)隊(duì)是公司最核心的競(jìng)爭(zhēng)力
- 傳統(tǒng)網(wǎng)站UI設(shè)計(jì)在移動(dòng)應(yīng)用開發(fā)中的應(yīng)用研究
- 網(wǎng)站屬于信息經(jīng)濟(jì)的組成部分
- 醫(yī)院門戶網(wǎng)站的安全
- 計(jì)算機(jī)網(wǎng)站進(jìn)行優(yōu)化