安全培训课件02_Linux_Unix系统安全管理.pptxVIP

Linux/Unix系统安全管理 帐号分类 超级管理员 uid=0、绑定TCP 1024以下端口 系统默认用户 系统程序使用，从不登录 新建普通用户 uid大于500 (linux)用户名GID用户主目录用户shelltest:x:501:501:test user:/home/test:/bin/bash密码UID用户全名/etc/passwd密码锁定时间距1970年1月1日的天数用户名最后一次修改密码时间距1970年1月1日的天数密码使用天数test:$1$uw5nUrW8$ZME0pm7QPK9JFTxadj80Y1:14780:0:99999:7:::密码密码过期前几天提醒密码过期后几天锁定/etc/shadowShadow文件中MD5 HASH等算法时密码组成密码示例：root:$1$Bg1H/4mz$X89TqH7tpi9dX1B9j5YsF.:14838:0:99999:7:::示例的密码域$1$Bg1H/4mz$X89TqH7tpi9dX1B9j5YsF.其实是由三部分组成：$id$salt$encrypted其中id值是指的加密算法，salt是指的随机数，encrypted是指的加密密文id值：id为1时，采用md5进行加密；id为5时，采用SHA256进行加密；id为6时，采用SHA512进行加密。salt值，是某个固定长度的随机字符串，也就是每次修改passwd之后，都是随机生成该字符串。密文的得来是通过char?*crypt(const?char?*key,?const?char?*salt);来计算出来的。设置加密算法/etc/sysconfig/authconfigPASSWDALGORITHM=md5MD5算法test:$1$oBfxIMmF$fueNkQ1CikG.dsafeKE.X/DES算法test:.Q3Vj3F3TS3uYDES只能识别8位密码！/etc/login.defsPASS_MAX_DAYS 99999PASS_MIN_DAYS 0PASS_WARN_AGE 7chage设置Linux帐号策略chage -m 0 -M 30 -E 2011-12-31 -I 3 -W 7 用户名chage -d 0 用户名 (强制密码过期)弱口令审计(john the ripper)/john/# john /etc/shadow --single# john /etc/shadow --wordlist=pass.dic类型含义控制含义auth检查用户名密码required必须通过，否则退出account检查用户属性requisite有一项通过即可password检查修改密码sufficient通过后立刻退出session检查登录后会话optional可选项PAM(Pluggable Authentication Modules)AIX密码文件AIX密码策略HP-UX密码策略/etc/default/security MIN_PASSWORD_LENGTH=6 #密码最短长度8位 PASSWORD_MIN_UPPER_CASE_CHARS=1 #至少1个大写字母 PASSWORD_MIN_DIGIT_CHARS=1 #至少1个数字 PASSWORD_MIN_SPECIAL_CHARS=1 #至少1个特殊字符 PASSWORD_MIN_LOWER_CASE_CHARS=1 #至少1个小写字母Solaris密码策略/etc/default/passwd PASSLENGTH = 6 #密码长度最少8位 MINDIFF=3 # 新旧密码最少有3个字符不相同 MINALPHA=2 # 最少包含2个字母 MINNONALPHA=1 # 最少包含1个非字母 MINUPPER=1 # 最少包含1个大写字母 MINLOWER=1 # 最少包含1个小写字母 MINSPECIAL=1 #最少包含1个特殊字符 MINDIGIT=2 # 最少包含2个数字用户管理添加用户 useradd删除用户 userdel -r锁定用户 passwd -l用户属性 usermod当前用户 idgrub密码grub密码# grub-md5-crypt# vi /etc/grub.conftimeout=5splashimage=(hd0,0)/grub/splash.xpm.gzpassword --md5 $1$GjCHd/$G6Dt/EwE5bq6JGtdTgl270hiddenmenutitle Linux (2.6.18-164.el5)禁止root远程登录telnetLinux、HP-UX: /etc/securettyAIX: /etc/security/user, rlogin=falseSolaris: /e