密碼安全概述

自從人類開始使用電腦以來，主要是靠密碼來限制對系統(tǒng)的訪問。雖然軟硬件的更新?lián)Q代不斷，但依靠密碼來保護(hù)系統(tǒng)這一原則仍然沒有改變。選擇密碼似乎是很平常的是，但用戶的系統(tǒng)安全完全基于密碼的強壯性。

一個簡單、容易猜出的密碼等于敞開了系統(tǒng)的大門－攻擊者一旦獲取密碼就可以長驅(qū)直入。一個足夠強度的密碼需要幾年的時間去破解，而一個脆弱的密碼在一分鐘內(nèi)就沒有任何秘密可言。以下幾個問題涉及密碼的設(shè)置：

● 是否按照公開的標(biāo)準(zhǔn)來設(shè)置密碼；

● 密碼是否加密；

● 密碼是否使用shaow；

● 回答上述問題將有助于了解Linux系統(tǒng)密碼是否安全。

強制密碼設(shè)置規(guī)范

密碼安全的第一步是選擇難于猜測的密碼。不幸的是，用戶傾向于選擇容易記憶的密碼－但同時也容易被黑客破解。記住密碼當(dāng)然重要，但更重要的是確保密碼的安全，因此建議不要選擇小孩的名字、寵物名字或是配偶的生日，用戶需要設(shè)置黑客難于猜測、破解的密碼。

采用大小寫字符組成密碼對提高安全度很有幫助，盡管這并非是唯一提升安全強度的方法，但對付黑客的暴力破解很有效（黑客往往使用字典破解法對密碼進(jìn)行窮舉，直到找到匹配密碼為止）。作者也見過采用隨機生成的密碼，但在很多情況下，最好的密碼既要有強壯性，又要讓用戶容易記住。本文提供一種方法建立既強壯又便于記憶的密碼。

上面談到的很多都似乎是常識，但困難在于如何讓所有的Linux用戶遵循系統(tǒng)管理員規(guī)劃好的密碼設(shè)置規(guī)范。在Linux系統(tǒng)中，大多數(shù)版本的Passwd（系統(tǒng)中進(jìn)行密碼設(shè)置的軟件）可以配置一定的規(guī)范來定義用戶的密碼，例如要求用戶設(shè)置的密碼不得少于6個字符，其中必須還要包括至少2個數(shù)字。筆者推薦Npasswd這個軟件可以完全替代Linux系統(tǒng)中的Passwd，該軟件可以檢查用戶所要設(shè)置的密碼是否足夠強壯。建議系統(tǒng)管理員最先從這里入手，為所有的用戶規(guī)定密碼設(shè)置規(guī)范。
針對目前的密碼數(shù)據(jù)庫，系統(tǒng)管理員可以使用多種工具來審核密碼安全。類似Crack 和John the Ripper可以讓你對系統(tǒng)密碼進(jìn)行測試。越簡單的密碼，上述工具破解（也就是猜到）的就越快。這種工具嘗試破解/ect/passwd/目錄下面的密碼文件并輸出結(jié)果。猜出的密碼越多說明貴單位的漏洞也就越多。系統(tǒng)管理員可以選擇禁止某些不安全帳戶，雖然方法簡單但并非一直可以這樣做。最好的辦法是給黑客訪問相應(yīng)目錄和文件設(shè)置障礙，讓黑客無法輕易獲取密碼數(shù)據(jù)庫文件并進(jìn)行破解。

密碼數(shù)據(jù)庫的保護(hù)手段

下一步要確定密碼交給不妥當(dāng)?shù)挠脩?。安全是基于用戶級的，密碼安全不僅僅是設(shè)置安全的密碼，還要防止用戶把密碼記下來并隨手亂放。把密碼記錄在明文文檔內(nèi)或是錢包的紙片中，都不是可取的方式。請盡可能的以加密手段來存儲和記錄密碼。

另有一個可選的方式是給密碼做shadow。shadow passwords根據(jù)標(biāo)準(zhǔn)的/etc/passwd/目錄下的密碼文件生成，但它保存在獨立的加密文件中（只能被權(quán)限最高的Root用戶讀?。?。系統(tǒng)中的程序仍然可以使用/etc/passwd下的密碼文件，訪問類似用戶ID（UID）以及組ID（GID）等信息，但不是加密的密碼。這給密碼的安全程度又增加了一層保障，這意味著黑客必須獲得Root權(quán)限后才能訪問加密的密碼庫文件。在Red Hat系統(tǒng)中，pwconv工具能夠把非shadow 密碼轉(zhuǎn)換成shadow密碼格式。請注意，各個版本的Linux系統(tǒng)的類似工具在使用中各有不同，請參照您的文檔來完成上述工作。

總結(jié)

系統(tǒng)管理員可以采取各種策略來確保密碼安全。但首先要讓用戶們明白密碼安全的重要性，同時制定密碼策略來強制密碼設(shè)置規(guī)范。這包括確定可接受的密碼設(shè)置要求、更換密碼的時限、密碼需要包含多少字符等等。系統(tǒng)管理員還可以運行檢測工具來查找密碼數(shù)據(jù)庫的安全漏洞。此外別忘了shadow password-它可以立即為您的系統(tǒng)增加安全防護(hù)強度。