Linuxオペレーティングシステムのパスワードファイルのセキュリティ問題の分析

                  ほとんどすべてのUnixライクなオペレーティングシステムのパスワードファイルのフォーマットは同じで、Linuxも例外ではありません。パスワードセキュリティは、Linuxオペレーティングシステムの伝統的なセキュリティ問題の1つです。

従来のパスワードとシャドウパスワード

/etc /passwdは、ユーザーに関する基本情報を格納するためのパスワードファイルです。

ユーザー名：passwdの：UID：GID：コメント：ディレクトリ：

をシェル7の上に左から右へのファイルの各行は、コロン6 7ドメインで区切られたパスワードが含まれていますフィールドの説明は次のとおりです。

username：ログインにユーザーが使用する名前です。

passwd：パスワード暗号化テキストドメインです。暗号文は暗号化されたパスワードです。パスワードがshadowを渡すと、password ciphertextフィールドにはxしか表示されません。パスワード暗号化テキストフィールドが*と表示されている場合、ユーザ名は有効ですがログインできません。パスワード暗号化テキストフィールドが空の場合は、ログインにパスワードが必要ないことを意味します。

UID：

0、スーパーユーザー

1〜10及びダミーユーザデーモン

11〜99システム予約ユーザー

100〜一般ユーザー

gid：ユーザーのデフォルトのグループ番号を示します。 /etc /groupファイルによって決まります。

コメント：ユーザーの個人情報を説明してください。

directory：ユーザーの初期作業ディレクトリを定義します。

shell：システムにログインした後に起動するユーザーを指定するシェルです。

表1コンテンツ及び/etc /passwdファイルのテーブルで説明するインストール・プロセス中に、システムのユーザによって作成された標準は、一貫しています。

システム2のインストール時に作成した表の標準的なグループがリストされ、および/etc /groupファイルと同じである：

Linuxの暗号化するので、不可逆的な暗号化パスワードにDESなどの暗号化アルゴリズムを使用してアルゴリズムは元に戻せないため、暗号文からは明らかではありません。しかし、問題は、/etc /passwdファイルが読み込み可能なグローバルな暗号化アルゴリズムは、悪意のあるユーザーが、/etc /passwdファイルをした場合、彼は同じ秘密アルゴリズムによって計算可能なすべての平文を排出することができ、公開されているありますテキストは同じまで比較されるので、彼はパスワードを解読します。したがって、このような安全性の問題、のLinux /Unixの広く使われている「シャドー（影）」メカニズムは、/etc /shadowファイルに転送する暗号化パスワード、用ファイルは、root、スーパーユーザーによってのみ読み取り可能な、しばらくは/etc /passwdファイルの暗号文フィールドはxとして表示され、暗号文が漏洩する可能性を最小限に抑えます。

名：passwdの：lastchg：最小：最大：警告：非アクティブ：期限切れ：フラグ

/etc /shadowファイルの各行はコロン8,9ドメイン、次の形式で区切られ

ここで、

lastchg：パスワードが最後に変更された1970年1月1日からの日数を示します。

min：パスワードが変更されるまでに経過した日数を示します。

max：パスワードがまだ有効である最大日数99999の場合、期限切れにならないことを意味します。

warn：パスワードが期限切れになるまで何日後にシステムがユーザーに警告するかを示します。

非アクティブ：ログインするまでにユーザー名が有効である日数を示します。

expire：ユーザーがログインを禁止されている時期を示します。 0

フラグ：無意味、使用されていません。

シャドウパスワードを有効にし

のRedHat Linuxのデフォルトのインストールの影、あなたのシステムの/etc /passwdファイルがまだ暗号文を見ることができることを発見した場合、それはあなたが影を有効にしていないことを意味します。 pwconvを実行してshadowを有効にすることができます。

伝統的なパスワードとシャドーパスワードの間
変換ツール：はpwconv、pwunconv

は、RedHatのLinuxの7.1では、シャドウキット（シャドウutilsのは）いくつかのユーティリティは、次の機能をサポートしていますが含まれています。

パスワード、グループ、および対応するシャドウファイルを確認します。pwck、grpck。

業界標準の方法でユーザーアカウントを追加、削除、変更します。useradd、usermod、userdel。

業界標準の方法でユーザーグループを追加、削除、変更します。groupadd、groupmod、groupdel。

業界標準の方法でファイル/etc /groupを管理します。

上記のツールは、システムでシャドウメカニズムが有効になっているかどうかにかかわらず、通常どおりに使用できます。

Linuxのパスワードの最小長

Linuxシステムのデフォルトパスワードの最小の長さを変更することが5つの文字で、この長さはパスワードの堅牢性を確保するのに十分ではありません編集/など、8文字以上に変更する必要があります/login.defsファイルは、このファイルに

PASS_MIN_LEN 5

：

PASS_MIN_LEN 8

表1

ユーザUidのGIDディレクトリシェル
ルート0 /ルート/binに/bashの

ビン1 /ビン

デーモン2 2 /sbinに

のAdm 3 4 /VAR /ADM

Lpと4〜7の/var /スプール/LPD

同期5 0 /sbinに/binに/同期

シャットダウン6 0 /sbinに/sbinに/シャットダウン

停止7 0 /sbinに/sbinに/停止

メール8 12の/var /スプール/メール

ニュース9 13の/var /スプール/ニュース

UUCP 10 14 /VAR /スプール/UUCP

オペレーター11 0 /ルート

ゲーム12 100 /USR /ゲーム

ゴーファー13 30 /USR /LIB /リスデータ< BR>

ftpの14 50 /ホーム/ftpの

誰も99 99 /

表2

グループGIDメンバー

ルーT 0ルート

ビン1つのルート、ビン、デーモン

デーモン2ルート、ビン、デーモン

のSys 3根、ビン、ADM

のAdm 4ルート、adm、デーモン

Tty 5

ディスク6ルート

Lp 7デーモン、lp

Mem 8

Kmem 9 < Br>

輪10ルート

メール12メール

ニュース13ニュース

Uucp 14 Uucp

男15

ゲーム20

Gopher 30

Dip 40

ftp 50

誰もいない99

ユーザー100

フロッピー19 < Br>