Análisis detallado del problema de seguridad del archivo de contraseña del sistema operativo Linux

casi todos los archivos de contraseña del sistema operativo tipo Unix tienen el mismo formato, Linux no es una excepción. La seguridad de las contraseñas es uno de los problemas de seguridad tradicionales del sistema operativo Linux.

Contraseña tradicional y Contraseña de sombra

/etc /passwd es un archivo de contraseña para almacenar información básica sobre el usuario. Cada línea del archivo contiene la contraseña separados por dos puntos 6 7 dominio:
username: passwd: uid: gid: comentarios: directorio: shell

de izquierda a derecha sobre 7 Los campos se describen a continuación:

nombre de usuario: es el nombre utilizado por el usuario para iniciar sesión.

passwd: es la contraseña del dominio de texto cifrado. El texto cifrado es una contraseña encriptada. Si la contraseña pasa a la sombra, el campo de texto cifrado de la contraseña solo muestra una X. Por lo general, la contraseña debe estar sombreada para garantizar la seguridad. Si el campo de texto cifrado de la contraseña se muestra como *, el nombre de usuario es válido pero no se puede iniciar sesión. Si el campo de texto cifrado de la contraseña está vacío, significa que el usuario no necesita una contraseña para iniciar sesión.

uid: El número utilizado por el sistema para identificar de forma única el nombre de usuario. El sistema de uid se asigna de esta manera:

0 Superusuario

1 ~ 10 Daemon y Pseudo usuario
>

11 ~ 99 Usuario reservado del sistema

100 ~ Usuario normal

gid: indica el número de grupo predeterminado del usuario. Determinado por el archivo /etc /group.

comentarios: Describe la información personal del usuario. Directorio

de
: define el directorio de trabajo inicial del usuario.

shell: es el shell que especifica el inicio del usuario después de iniciar sesión en el sistema.

La Tabla 1 enumera los usuarios estándar creados durante el proceso de instalación. El contenido de la tabla es consistente con la descripción del archivo /etc /passwd.

La Tabla 2 enumera los grupos de usuarios estándar creados durante la instalación del sistema, que son consistentes con el archivo /etc /group:

Linux usa un algoritmo de cifrado irreversible como DES para cifrar las contraseñas, debido al cifrado. El algoritmo es irreversible, por lo que no está claro en el texto cifrado. Pero el problema es que el archivo /etc /passwd es legible globalmente y el algoritmo de cifrado es público. Si un usuario malintencionado obtiene el archivo /etc /passwd, puede agotar todos los posibles errores y calcular el secreto a través del mismo algoritmo. El texto se compara hasta el mismo, por lo que él rompe la contraseña. Por lo tanto, para este problema de seguridad, Linux /Unix adopta ampliamente el mecanismo de "sombra" para transferir la contraseña cifrada al archivo /etc /shadow, que solo puede leer el superusuario raíz y, al mismo tiempo, /etc /El campo de texto cifrado del archivo de contraseña se muestra como una x, lo que minimiza la posibilidad de fugas de texto cifrado.

Cada línea del archivo /etc /shadow tiene 9 campos separados por 8 dos puntos, en el siguiente formato:

nombre de usuario: passwd: lastchg: min: max: warn: inactive: expire: flag

Dónde:

lastchg: indica el número de días desde el 1 de enero de 1970, cuando se modificó por última vez la contraseña.

min: indica el número de días entre los cambios de contraseña.

máx: el número máximo de días que la contraseña seguirá siendo válida. Si es 99999, significa que nunca caduca.

advertir: indica cuántos días antes de que caduque la contraseña, el sistema avisa al usuario.

inactivo: indica el número de días cuando el nombre de usuario no es válido antes de iniciar sesión.

expire: indica cuando el usuario tiene prohibido iniciar sesión. 0

marca: sin sentido, no se utiliza.

Habilitando Shadow Passwords

RedHat Linux instala las sombras de manera predeterminada. Si encuentra que el archivo /etc /passwd de su sistema aún ve texto cifrado, significa que no ha habilitado la sombra. Puedes ejecutar pwconv para habilitar la sombra.

En RedHat Linux 7.1, la utilidad de sombra (shadow utils) contiene varias herramientas que admiten las siguientes funciones:

Herramientas de conversión entre contraseñas tradicionales y contraseñas de sombra: pwconv, pwunconv.

Verifique las contraseñas, los grupos y los archivos de sombra correspondientes: pwck, grpck.

Agregue, elimine y modifique las cuentas de usuario de manera estándar en la industria: useradd, usermod, userdel.

Agregue, elimine y modifique grupos de usuarios de manera estándar en la industria: groupadd, groupmod, groupdel.

Administre los archivos /etc /group de manera estándar en la industria.

Las herramientas anteriores se pueden usar normalmente, independientemente de si el sistema tiene habilitado el mecanismo de sombra.

Cambie la longitud mínima de la contraseña de Linux

La longitud mínima predeterminada de la contraseña para el sistema Linux es de 5 caracteres. Esta longitud no es suficiente para garantizar la robustez de la contraseña. Debe cambiarse a los 8 caracteres más cortos. Editar /etc El archivo /login.defs, en este archivo, cambia

PASS_MIN_LEN 5

a:

PASS_MIN_LEN 8

Tabla 1

Usuario Uid gid Directorio shell
Raíz 0 0 /raíz /bin /bash

Bandeja 1 1 /bin

Daemon 2 2 /sbin

Adm 3 4 /Var /adm

Lp 4 7 /var /spool /lpd

Sync 5 0 /sbin /bin /sync

shutdown 6 0 /sbin /sbin /shutdown

Detener 7 0 /sbin /sbin /halt

Correo 8 12 /var /spool /mail

Noticias 9 13 /var /spool /news

Uucp 10 14 /var /spool /uucp

Operador 11 0 /root

Juegos 12 100 /usr /games

Gopher 13 30 /usr /lib /gopher-data < Br>

ftp 14 50 /home /ftp

Nadie 99 99 /

Tabla 2

Miembros de Group Gid

Roo t 0 Root

Raíz Bin 1, bin, demonio

Raíz Daemon 2, bin, demonio

Raíz Sys 3, bin, adm

Adm 4 Root, adm, daemon

Tty 5

Disk 6 Root

Lp 7 daemon, lp

Mem 8

Kmem 9 < Br>

Whell 10 Root

Mail 12 Mail

News 13 News

Uucp 14 Uucp

Man 15

Juegos 20

Gopher 30

Dip 40

ftp 50

nobody 99

Usuarios 100

disquete 19 < Br>