什么是Linux賬戶以及怎么確保信息安全

本篇內(nèi)容介紹了“什么是Linux賬戶以及怎么確保信息安全”的有關(guān)知識，在實(shí)際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

成都創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都做網(wǎng)站、網(wǎng)站建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的忻州網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

賬戶安全的意義

什么是賬戶

GNU/Linux 通過用戶和用戶組進(jìn)行訪問控制，Linux 默認(rèn)的訪問控制機(jī)制相對簡單直接。

用戶一般指使用計(jì)算機(jī)的人。計(jì)算機(jī)給每個(gè)用戶分配了用戶名，用戶使用這些名稱訪問計(jì)算機(jī)。除了人之外，一些系統(tǒng)服務(wù)也會建立賬戶，用于管理服務(wù)進(jìn)程。

Linux默認(rèn)會存在root用戶，root用戶擁有系統(tǒng)的最高權(quán)限，可以進(jìn)行一切操作，而其他賬號只能擁有部分權(quán)限。

Linux有組的概念，使用者可以通過修改組的權(quán)限對更多成員進(jìn)行訪問控制，每個(gè)用戶必須是一個(gè)組的成員，這個(gè)組成為主屬組，每個(gè)用戶只能擁有一個(gè)主屬組，但可以擁有多個(gè)從屬組。

Linux通過useradd命令新增用戶，通過userdel刪除用戶。UNIX中一切皆文件，所以最后所有的修改最終都會以文件的形式展示。你可以通過命令pwck –s檢查用戶配置文件（數(shù)據(jù)庫）的完整性。

賬戶安全配置保證資產(chǎn)安全

Linux通過訪問權(quán)限控制用戶可以查看的內(nèi)容，使用ls –l命令可以看到如下內(nèi)容：

里面標(biāo)識了每個(gè)文件的所屬用戶，所屬組，用戶訪問權(quán)限，組訪問權(quán)限，非所屬用戶和所屬組訪問權(quán)限，文件大小，最后修改時(shí)間的信息。訪問權(quán)限包括文件的讀（r）寫（w）執(zhí)行（x）權(quán)限?？刂坪梦募脑L問權(quán)限可以有效防止數(shù)據(jù)泄露。

有時(shí)候安裝一個(gè)新的軟件都會自動(dòng)創(chuàng)建一個(gè)用戶和同名的組，這些軟件一般是為用戶提供服務(wù)的或者為網(wǎng)絡(luò)上的用戶提供Web服務(wù)、郵件服務(wù)等，這些軟件就運(yùn)行在它的組里，這樣即便是軟件受到了外界的攻擊，也無法破壞非軟件所屬用戶之外用戶的文件。同樣它也會建立一個(gè)只屬于這個(gè)賬戶的目錄，防止別的用戶篡改。這些用戶一般都是不可登錄，并且不能使用密碼，杜絕了通過爆破密碼進(jìn)入計(jì)算機(jī)。下表是一些用戶組和其影響文件的信息。

組	影響文件	作用
Adm		類似 wheel 的管理器群組
ftp	/srv/ftp/	訪問 FTP 服務(wù)器
Games	/var/games	訪問一些游戲。
Log		訪問 syslog-ng 創(chuàng)建的 /var/log/ 日志文件
http	/srv/http/	訪問 HTTP 服務(wù)器文件
Sys		Right to administer printers in CUPS
systemd-journal	/var/log/journal/\*	以只讀方式訪問系統(tǒng)日志，和 adm 和 wheel 不同 [1]. 不在此組中的用戶僅能訪問自己生成的信息。
Users		標(biāo)準(zhǔn)用戶組
Uucp	/dev/ttyS[0-9]+, /dev/tts/[0-9]+, /dev/ttyUSB[0-9]+, /dev/ttyACM[0-9]+	串口和 USB 設(shè)備，例如貓、手柄 RS-232/串口。
Wheel		管理組，通常用于　sudo　和 su 命令權(quán)限。systemd 會允許非　root 的 wheel 組用戶啟動(dòng)服務(wù)。

下面這些文件不建議手動(dòng)編輯。用相關(guān)工具編輯更好，這樣可以避免文件錯(cuò)誤。

文件	作用
/etc/shadow	保存用戶安全信息
/etc/passwd	用戶賬戶信息
/etc/gshadow	保存組賬號的安全信息
/etc/group	定義用戶所屬的組
/etc/sudoers	可以運(yùn)行 sudo 的用戶
/home/*	主目錄

賬戶配置

賬戶基本信息

賬號的基本信息存儲在/etc/passwd。在這個(gè)文件中每個(gè)用戶的帳號信息存儲一行，帳號信息由七個(gè)字段組成，字段之間用冒號（":"）分隔，從左至右分別表示為：帳號，密碼，用戶ID，組ID，用戶介紹， home目錄，默認(rèn)shell。

1.   name:password:UID:GID:GECOS:directory:shell

字段的詳細(xì)描述如下：

·    賬號：用戶名，不能為空，不能包含大寫字母，而且要符合標(biāo)準(zhǔn)的UNIX命名規(guī)則；

·    密碼：加密的用戶密碼，或者星號，但實(shí)際上這個(gè)位置通常為"x"，這里有所特殊，后面會詳細(xì)介紹

·    用戶ID：每個(gè)用戶和組有一個(gè)對應(yīng)的UID和GID（用戶ID和組ID）。一般情況，第一個(gè)非root用戶的默認(rèn)UID是1000，后續(xù)創(chuàng)建的用戶UID也應(yīng)大于1000，特定用戶的GID應(yīng)該屬于指定的首要組，組的ID數(shù)值列在/etc/group文件里。

·    組ID：用戶的主要組ID

·    用戶介紹：可為空，通常為賬號使用者的信息，如使用者姓名，Email等，使用英文逗號（","）分割

·    home目錄：用于登錄命令設(shè)置$HOME環(huán)境變量。某些服務(wù)的用戶主目錄設(shè)置為"/"是安全的，但不建議普通用戶設(shè)置為此目錄。

·    默認(rèn)shell：登錄時(shí)運(yùn)行的程序（如果為空，則使用 /bin/sh作為默認(rèn)shell)。 如果設(shè)為不存在的執(zhí)行（程序），用戶不能通過login登錄。

在新版Linux中使用shadow文件存儲密碼。passwd文件對所有人可讀，在里面存儲密碼（無論是否加密過）是很不安全的。在password字段，通常使用一個(gè)占位字符（x）代替。加密過的密碼儲存在/etc/shadow文件，該文件對普通用戶限制訪問。

示例：

1.   jack:x:1001:100:Jack Smith,some comment here,,:/home/jack:/bin/bash

分解說明：用戶登錄名為jack，密碼保存在/etc/shadow，UID為1001，首要組的ID是100 (users組)，全名Jack Smith并加了一些注釋，主目錄是/home/jack，使用Bash作為默認(rèn)shell。

賬戶密碼信息

/etc/shadow是用戶存儲賬號安全信息的文件，其中包括密碼、賬號過期時(shí)間等設(shè)置，此文件是普通用戶無法進(jìn)行任何操作，在一定程度上保證了安全。

/etc/shadow文件每行包含9個(gè)字段，同樣使用冒號（":"）分隔，分別為登錄名，加密密碼，上次密碼更改時(shí)間，密碼不得更改天數(shù)，最長密碼使用天數(shù)，密碼警告期，密碼閑置期，賬戶到期時(shí)間，保留字段。下面詳細(xì)介紹每個(gè)字段的意義：

·    登錄名：與/etc/passwd的賬號相同，用于登錄使用；

·    加密密碼：經(jīng)過crypt加密后的密碼；

·    上次密碼更改時(shí)間：最后一次修改密碼的時(shí)間，表示自1970年1月1日以來的天數(shù)。值0具有特殊含義，即用戶下次登錄系統(tǒng)時(shí)應(yīng)更改其密碼?？兆侄伪硎久艽a老化功能已禁用。

·    密碼不得更改天數(shù)：此字段表示在此天數(shù)之前不能修改密碼，是與上次密碼更改時(shí)間的間隔天數(shù)?？兆侄魏椭禐?表示沒有任何時(shí)間都可以修改。

·    最長密碼使用天數(shù)：用戶經(jīng)過此天數(shù)必須修改密碼。經(jīng)過此天數(shù)后，密碼可能仍然有效。需要用戶在下次登錄時(shí)更改其密碼?？兆侄伪硎緵]有最長密碼使用期限，沒有密碼警告期和密碼閑置期（請參閱下文）。如果最大密碼使用期限小于最小密碼使用期限，則用戶無法更改其密碼。

·    密碼警告期：在此期間提醒用戶修改密碼，空字段和值為0表示沒有密碼警告期。

·    密碼閑置期：密碼過期后的天數(shù)（請參見上面的最長密碼使用期限），在此期間仍應(yīng)接受密碼（用戶應(yīng)在下次登錄時(shí)更新其密碼）。密碼過期且經(jīng)過了此過期時(shí)間后，將無法使用當(dāng)前用戶的密碼登錄。用戶應(yīng)聯(lián)系管理員。

·    賬戶到期時(shí)間：此字段表示自1970年1月1日以來的天數(shù)。請注意，賬戶有效期與密碼有效期不同。如果賬戶到期，則不允許用戶登錄。如果密碼到期，則不允許用戶使用其密碼登錄?？兆侄伪硎驹撡~戶永不過期。不應(yīng)使用值0，因?yàn)樗鼘⒈唤忉尀橘~戶于1970年1月1日到期。

·    保留字段：該字段保留供將來使用，現(xiàn)在暫未啟用。

示例：

1.   jack:$6$atIauuQ5$mh7ombrRsUxHxJ8uZGerdSUXSuBiOAzkfRgn2wrR69K5IbOANpHlBeY43BqmNkPy7Ho3XrGKu6CGIxc9nqjiS/:18303:1:10:7:7::

分解說明：登錄名為jack，加密后的密碼為$6$atIauuQ5$mh7ombrRsUxHxJ8uZGerdSUXSuBiOAzkfRgn2wrR69K5IbOANpHlBeY43BqmNkPy7Ho3XrGKu6CGIxc9nqjiS/，最后一次修改密碼時(shí)間為2020年02月11日，2020年02月12日前不能修改密碼，2020年02月21日后必須要修改密碼，從2020年02月14日起登錄系統(tǒng)會要求必須修改密碼，在2020年02月28日前密碼仍能使用，但登錄系統(tǒng)后必須修改密碼，否則在2020年02月28日后賬戶再也不能登錄，未設(shè)置賬戶到期時(shí)間。

用戶組信息 

Linux中每個(gè)用戶都必須有一個(gè)所屬組，并且只能有一個(gè)，但可以有多個(gè)從屬組。所屬組在passwd文件中的第四個(gè)字段設(shè)置，從屬組在group文件中設(shè)置。

Group文件介紹 

與其他文件類似，group文件同樣是每個(gè)組占用一行，并使用冒號分割為4個(gè)字段。分別為組名，密碼，組ID，組中用戶。下面詳細(xì)介紹每個(gè)字段的意義：

·    組名：組名

·    密碼：與passwd文件類似，加密的組用戶密碼，或者星號，但實(shí)際這個(gè)位置通常為"x"有所特殊。

·    組ID：組的數(shù)字標(biāo)識。

·    組中用戶：組內(nèi)所有成員的用戶名，以逗號分隔。

Gshadow文件介紹 

Gshadow文件同樣是每個(gè)組占用一行，并使用冒號分割為4個(gè)字段。分別為組名，加密密碼，管理員，成員。

·    組名：必須是系統(tǒng)中已經(jīng)存在的有效組；

·    加密密碼：經(jīng)過crypt加密后的密碼；

·    管理員：必須是一個(gè)逗號分隔的用戶名列表。管理員可以更改組密碼和成員。管理員也有成員一樣的權(quán)限

·    成員：必須是一個(gè)逗號分隔的用戶名列表。成員可以免密碼訪問組。

查看系統(tǒng)被暴力破解的信息

每個(gè)用戶的登錄信息都會被記錄，無論是成功還是失敗，可以通過命令last命令查看登錄歷史，lastb命令查看登錄失敗的記錄。它們最終是通過讀取/var/log/wtmp和/var/log/btmp文件獲得的，這兩個(gè)文件都是二進(jìn)制文件，里面存儲的是utmp（在Linux C頭文件<utmp.h>中）結(jié)構(gòu)體。

下圖是部分通過lastb命令查到的嘗試登錄服務(wù)器的部分失敗記錄，其中發(fā)現(xiàn)一臺IP為39.105.202.21的主機(jī)在3月7日12點(diǎn)到14點(diǎn)之間多次次嘗試登錄主機(jī)，通過命令sudo lastb | grep "39.105.202.21" | wc -l可以查看其一共進(jìn)行了2213次嘗試，可以推測其在嘗試暴力破解登錄密碼。

也可以同last命令查看這個(gè)IP是否成功登錄，如果有則說明用戶密碼一定被成功破解了，如果沒有不排除文件被篡改過。

 Linux密碼防護(hù)

在登錄輸入密碼時(shí)比較容易出現(xiàn)密碼泄露，傳統(tǒng)的加密方法，通過彩虹表可以很容易猜解密碼，即使是SHA256/SHA512也可以在互聯(lián)網(wǎng)上搜索到在線解密網(wǎng)站進(jìn)行解密，這類加密方式只要密碼一樣加密結(jié)果必然雷同，所以密碼被計(jì)算一次，想要破解的時(shí)候再查表就可以了。如今，MD5/SHA1 哈希算法已經(jīng)被攻破，即使在加密密碼前加上鹽以后也不再保險(xiǎn) 。

而在Linux中使用crypt算法對密碼進(jìn)行加密，這種加密方式即使每次都使用相同的密碼，最后加密的結(jié)果都是不同的。salt是[a-zA-Z0-9./]中隨機(jī)挑選的最多16位字符串，總共4096種的干擾方式，這就使得通過字典破解密碼變得比較困難，每次破解一個(gè)密碼都需要重新計(jì)算一遍。

Linux中的密碼按固定的格式保存：

$id$salt$encrypted

id是一個(gè)數(shù)字，表示以何種方式對密碼和salt生成隨機(jī)數(shù)

ID	Method
1	MD5
2a	Blowfish (不在主線glibc中；在某些Linux發(fā)行版中添加)
5	SHA-256 (從glibc 2.7起)
6	SHA-512 (從glibc 2.7起)

salt是由大小寫字母、數(shù)字、英文句號（.）和“/”組成的不超過16字節(jié)的隨機(jī)字符串。

encrypted：是由明文密碼和隨機(jī)salt通過組合，再通過散列函數(shù)后生成的密文，不同散列算法的密文長度如下：

算法	長度
MD5	22字符
SHA-256	43字符
SHA-512	86字符

“什么是Linux賬戶以及怎么確保信息安全”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！

網(wǎng)站標(biāo)題：什么是Linux賬戶以及怎么確保信息安全
當(dāng)前路徑：http://bm7419.com/article2/gejiic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站維護(hù)、品牌網(wǎng)站制作、網(wǎng)站制作、虛擬主機(jī)、企業(yè)網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)