中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

什么是Linux賬戶以及怎么確保信息安全

發布時間:2021-09-03 18:39:21 來源:億速云 閱讀:117 作者:chen 欄目:網絡管理

本篇內容介紹了“什么是Linux賬戶以及怎么確保信息安全”的有關知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領大家學習一下如何處理這些情況吧!希望大家仔細閱讀,能夠學有所成!

賬戶安全的意義

什么是賬戶

GNU/Linux 通過用戶和用戶組進行訪問控制,Linux 默認的訪問控制機制相對簡單直接。

用戶一般指使用計算機的人。計算機給每個用戶分配了用戶名,用戶使用這些名稱訪問計算機。除了人之外,一些系統服務也會建立賬戶,用于管理服務進程。

Linux默認會存在root用戶,root用戶擁有系統的最高權限,可以進行一切操作,而其他賬號只能擁有部分權限。

Linux有組的概念,使用者可以通過修改組的權限對更多成員進行訪問控制,每個用戶必須是一個組的成員,這個組成為主屬組,每個用戶只能擁有一個主屬組,但可以擁有多個從屬組。

Linux通過useradd命令新增用戶,通過userdel刪除用戶。UNIX中一切皆文件,所以最后所有的修改最終都會以文件的形式展示。你可以通過命令pwck –s檢查用戶配置文件(數據庫)的完整性。

賬戶安全配置保證資產安全

Linux通過訪問權限控制用戶可以查看的內容,使用ls –l命令可以看到如下內容:

什么是Linux賬戶以及怎么確保信息安全

里面標識了每個文件的所屬用戶,所屬組,用戶訪問權限,組訪問權限,非所屬用戶和所屬組訪問權限,文件大小,最后修改時間的信息。訪問權限包括文件的讀(r)寫(w)執行(x)權限。控制好文件的訪問權限可以有效防止數據泄露。

有時候安裝一個新的軟件都會自動創建一個用戶和同名的組,這些軟件一般是為用戶提供服務的或者為網絡上的用戶提供Web服務、郵件服務等,這些軟件就運行在它的組里,這樣即便是軟件受到了外界的攻擊,也無法破壞非軟件所屬用戶之外用戶的文件。同樣它也會建立一個只屬于這個賬戶的目錄,防止別的用戶篡改。這些用戶一般都是不可登錄,并且不能使用密碼,杜絕了通過爆破密碼進入計算機。下表是一些用戶組和其影響文件的信息。

影響文件作用
Adm
類似 wheel 的管理器群組
ftp/srv/ftp/訪問 FTP 服務器
Games/var/games訪問一些游戲。
Log
訪問 syslog-ng 創建的 /var/log/ 日志文件
http/srv/http/訪問 HTTP 服務器文件
Sys
Right to administer printers in CUPS
systemd-journal/var/log/journal/\*以只讀方式訪問系統日志,和 adm 和 wheel 不同 [1]. 不在此組中的用戶僅能訪問自己生成的信息。
Users
標準用戶組
Uucp/dev/ttyS[0-9]+, /dev/tts/[0-9]+, /dev/ttyUSB[0-9]+, /dev/ttyACM[0-9]+串口和 USB 設備,例如貓、手柄 RS-232/串口。
Wheel
管理組,通常用于 sudo 和 su 命令權限。systemd 會允許非 root 的 wheel 組用戶啟動服務。

下面這些文件不建議手動編輯。用相關工具編輯更好,這樣可以避免文件錯誤。

文件作用
/etc/shadow保存用戶安全信息
/etc/passwd用戶賬戶信息
/etc/gshadow保存組賬號的安全信息
/etc/group定義用戶所屬的組
/etc/sudoers可以運行 sudo 的用戶
/home/*主目錄

賬戶配置

賬戶基本信息

賬號的基本信息存儲在/etc/passwd。在這個文件中每個用戶的帳號信息存儲一行,帳號信息由七個字段組成,字段之間用冒號(":")分隔,從左至右分別表示為:帳號,密碼,用戶ID,組ID,用戶介紹, home目錄,默認shell。

1.   name:password:UID:GID:GECOS:directory:shell

字段的詳細描述如下:

·    賬號:用戶名,不能為空,不能包含大寫字母,而且要符合標準的UNIX命名規則;

·    密碼:加密的用戶密碼,或者星號,但實際上這個位置通常為"x",這里有所特殊,后面會詳細介紹

·    用戶ID:每個用戶和組有一個對應的UID和GID(用戶ID和組ID)。一般情況,第一個非root用戶的默認UID是1000,后續創建的用戶UID也應大于1000,特定用戶的GID應該屬于指定的首要組,組的ID數值列在/etc/group文件里。

·    組ID:用戶的主要組ID

·    用戶介紹:可為空,通常為賬號使用者的信息,如使用者姓名,Email等,使用英文逗號(",")分割

·    home目錄:用于登錄命令設置$HOME環境變量。某些服務的用戶主目錄設置為"/"是安全的,但不建議普通用戶設置為此目錄。

·    默認shell:登錄時運行的程序(如果為空,則使用 /bin/sh作為默認shell)。 如果設為不存在的執行(程序),用戶不能通過login登錄。

在新版Linux中使用shadow文件存儲密碼。passwd文件對所有人可讀,在里面存儲密碼(無論是否加密過)是很不安全的。在password字段,通常使用一個占位字符(x)代替。加密過的密碼儲存在/etc/shadow文件,該文件對普通用戶限制訪問。

示例:

1.   jack:x:1001:100:Jack Smith,some comment here,,:/home/jack:/bin/bash

分解說明:用戶登錄名為jack,密碼保存在/etc/shadow,UID為1001,首要組的ID是100 (users組),全名Jack Smith并加了一些注釋,主目錄是/home/jack,使用Bash作為默認shell。

賬戶密碼信息

/etc/shadow是用戶存儲賬號安全信息的文件,其中包括密碼、賬號過期時間等設置,此文件是普通用戶無法進行任何操作,在一定程度上保證了安全。

/etc/shadow文件每行包含9個字段,同樣使用冒號(":")分隔,分別為登錄名,加密密碼,上次密碼更改時間,密碼不得更改天數,最長密碼使用天數,密碼警告期,密碼閑置期,賬戶到期時間,保留字段。下面詳細介紹每個字段的意義:

·    登錄名:與/etc/passwd的賬號相同,用于登錄使用;

·    加密密碼:經過crypt加密后的密碼;

·    上次密碼更改時間:最后一次修改密碼的時間,表示自1970年1月1日以來的天數。值0具有特殊含義,即用戶下次登錄系統時應更改其密碼。空字段表示密碼老化功能已禁用。

·    密碼不得更改天數:此字段表示在此天數之前不能修改密碼,是與上次密碼更改時間的間隔天數。空字段和值為0表示沒有任何時間都可以修改。

·    最長密碼使用天數:用戶經過此天數必須修改密碼。經過此天數后,密碼可能仍然有效。需要用戶在下次登錄時更改其密碼。空字段表示沒有最長密碼使用期限,沒有密碼警告期和密碼閑置期(請參閱下文)。如果最大密碼使用期限小于最小密碼使用期限,則用戶無法更改其密碼。

·    密碼警告期:在此期間提醒用戶修改密碼,空字段和值為0表示沒有密碼警告期。

·    密碼閑置期:密碼過期后的天數(請參見上面的最長密碼使用期限),在此期間仍應接受密碼(用戶應在下次登錄時更新其密碼)。密碼過期且經過了此過期時間后,將無法使用當前用戶的密碼登錄。用戶應聯系管理員。

·    賬戶到期時間:此字段表示自1970年1月1日以來的天數。請注意,賬戶有效期與密碼有效期不同。如果賬戶到期,則不允許用戶登錄。如果密碼到期,則不允許用戶使用其密碼登錄。空字段表示該賬戶永不過期。不應使用值0,因為它將被解釋為賬戶于1970年1月1日到期。

·    保留字段:該字段保留供將來使用,現在暫未啟用。

示例:

1.   jack:$6$atIauuQ5$mh7ombrRsUxHxJ8uZGerdSUXSuBiOAzkfRgn2wrR69K5IbOANpHlBeY43BqmNkPy7Ho3XrGKu6CGIxc9nqjiS/:18303:1:10:7:7::

分解說明:登錄名為jack,加密后的密碼為$6$atIauuQ5$mh7ombrRsUxHxJ8uZGerdSUXSuBiOAzkfRgn2wrR69K5IbOANpHlBeY43BqmNkPy7Ho3XrGKu6CGIxc9nqjiS/,最后一次修改密碼時間為2020年02月11日,2020年02月12日前不能修改密碼,2020年02月21日后必須要修改密碼,從2020年02月14日起登錄系統會要求必須修改密碼,在2020年02月28日前密碼仍能使用,但登錄系統后必須修改密碼,否則在2020年02月28日后賬戶再也不能登錄,未設置賬戶到期時間。

用戶組信息 

Linux中每個用戶都必須有一個所屬組,并且只能有一個,但可以有多個從屬組。所屬組在passwd文件中的第四個字段設置,從屬組在group文件中設置。

Group文件介紹 

與其他文件類似,group文件同樣是每個組占用一行,并使用冒號分割為4個字段。分別為組名,密碼,組ID,組中用戶。下面詳細介紹每個字段的意義:

·    組名:組名

·    密碼:與passwd文件類似,加密的組用戶密碼,或者星號,但實際這個位置通常為"x"有所特殊。

·    組ID:組的數字標識。

·    組中用戶:組內所有成員的用戶名,以逗號分隔。

Gshadow文件介紹 

Gshadow文件同樣是每個組占用一行,并使用冒號分割為4個字段。分別為組名,加密密碼,管理員,成員。

·    組名:必須是系統中已經存在的有效組;

·    加密密碼:經過crypt加密后的密碼;

·    管理員:必須是一個逗號分隔的用戶名列表。管理員可以更改組密碼和成員。管理員也有成員一樣的權限

·    成員:必須是一個逗號分隔的用戶名列表。成員可以免密碼訪問組。

查看系統被暴力破解的信息

每個用戶的登錄信息都會被記錄,無論是成功還是失敗,可以通過命令last命令查看登錄歷史,lastb命令查看登錄失敗的記錄。它們最終是通過讀取/var/log/wtmp和/var/log/btmp文件獲得的,這兩個文件都是二進制文件,里面存儲的是utmp(在Linux C頭文件<utmp.h>中)結構體。

下圖是部分通過lastb命令查到的嘗試登錄服務器的部分失敗記錄,其中發現一臺IP為39.105.202.21的主機在3月7日12點到14點之間多次次嘗試登錄主機,通過命令sudo lastb | grep "39.105.202.21" | wc -l可以查看其一共進行了2213次嘗試,可以推測其在嘗試暴力破解登錄密碼。

什么是Linux賬戶以及怎么確保信息安全什么是Linux賬戶以及怎么確保信息安全

也可以同last命令查看這個IP是否成功登錄,如果有則說明用戶密碼一定被成功破解了,如果沒有不排除文件被篡改過。

 Linux密碼防護

在登錄輸入密碼時比較容易出現密碼泄露,傳統的加密方法,通過彩虹表可以很容易猜解密碼,即使是SHA256/SHA512也可以在互聯網上搜索到在線解密網站進行解密,這類加密方式只要密碼一樣加密結果必然雷同,所以密碼被計算一次,想要破解的時候再查表就可以了。如今,MD5/SHA1 哈希算法已經被攻破,即使在加密密碼前加上鹽以后也不再保險 。

而在Linux中使用crypt算法對密碼進行加密,這種加密方式即使每次都使用相同的密碼,最后加密的結果都是不同的。salt是[a-zA-Z0-9./]中隨機挑選的最多16位字符串,總共4096種的干擾方式,這就使得通過字典破解密碼變得比較困難,每次破解一個密碼都需要重新計算一遍。

Linux中的密碼按固定的格式保存:

$id$salt$encrypted

id是一個數字,表示以何種方式對密碼和salt生成隨機數

ID Method
1 MD5
2a Blowfish (不在主線glibc中;在某些Linux發行版中添加)
5 SHA-256 (從glibc 2.7起)
6 SHA-512 (從glibc 2.7起)

salt是由大小寫字母、數字、英文句號(.)和“/”組成的不超過16字節的隨機字符串。

encrypted:是由明文密碼和隨機salt通過組合,再通過散列函數后生成的密文,不同散列算法的密文長度如下:

算法長度
MD5 22字符
SHA-256 43字符
SHA-512 86字符

“什么是Linux賬戶以及怎么確保信息安全”的內容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站,小編將為大家輸出更多高質量的實用文章!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

古蔺县| 德格县| 甘德县| 镇平县| 仙桃市| 松滋市| 赤壁市| 即墨市| 辰溪县| 宁都县| 秀山| 景德镇市| 张家港市| 哈尔滨市| 栾城县| 达尔| 绥宁县| 建德市| 吴桥县| 武城县| 垣曲县| 台北县| 许昌市| 克拉玛依市| 海伦市| 富平县| 浮山县| 昭通市| 嘉定区| 新宁县| 尚义县| 广宁县| 上蔡县| 多伦县| 西城区| 江川县| 沙坪坝区| 百色市| 津南区| 宁强县| 隆林|