发信人: netman.bbs@cs3.xmu.edu.cn (邂逅), 信区: cnhacker
标  题: 用户安全(1)
发信站: cs3 BBS (Sun Jun 15 23:00:57 1997)
转信站: Lilac!ustcnews!ustcnews!sjtunews!cs3
出  处: cs3.xmu.edu.cn

    本文从用户角度讨论UNIX系统安全,阐述口令,文
件保护,目录保护,与用户程序有关的某些特殊特性和
使用crypt命令加密,并给出一些重要的安全忠告,以帮
助用户保护自己的户头安全.

1.口令安全
    UNIX系统中的/etc/passwd文件含有全部系统需要
知道的关于每个用户的信息(加密后的口令也可能存于
/etc/shadow文件中).
    /etc/passwd中包含有用户的登录名,经过加密的
口令,用户号,用户组号,用户注释,用户主目录和用户
所用的shell程序.其中用户号(UID)和用户组号(GID)
用于UNIX系统唯一地标识用户和同组用户及用户的访
问权限.
    /etc/passwd中存放的加密的口令用于用户登录时
输入的口令经计算后相比较,符合则允许登录,否则拒
绝用户登录.用户可用passwd命令修改自己的口令,不
能直接修改/etc/passwd中的口令部份.
    一个好的口令应当至少有6个字符长,不要取用个
人信息(如生日,名字,反向拼写的登录名,房间中可见
的东西),普通的英语单词也不好(因为可用字典攻击
法),口令中最好有一些非字母(如数字,标点符号,控
制字符等),还要好记一些,不能写在纸上或计算机中
的文件中,选择口令的一个好方法是将两个不相关的
词用一个数字或控制字符相连,并截断为8个字符.当
然,如果你能记住8位乱码自然更好.
    不应使用同一个口令在不同机器中使用,特别是
在不同级别的用户上使用同一口令,会引起全盘崩溃.
    用户应定期改变口令,至少6个月要改变一次,系
统管理员可以强制用户定期做口令修改.
    为防止眼明手快的人窃取口令,在输入口令时应
确认无人在身边.

2.文件许可权
    文件属性决定了文件的被访问权限,即谁能存取
或执行该文件.用ls -l可以列出详细的文件信息,如:
-rwxrwxrwx 1 pat cs440 70 Jul 28 21:12 zombin
包括了文件许可,文件联结数,文件所有者名,文件相
关组名,文件长度,上次存取日期和文件名.
    其中文件许可分为四部分:
    -:表示文件类型.
    第一个rwx:表示文件属主的访问权限.
    第二个rwx:表示文件同组用户的访问权限.
    第三个rwx:表示其他用户的访问权限.
    若某种许可被限制则相应的字母换为-.
    在许可权限的执行许可位置上,可能是其它字母,
s,S,t,T.s和S可出现在所有者和同组用户许可模式位
置上,与特殊的许可有关,后面将要讨论,t和T可出现
在其他用户的许可模式位置上,与"粘贴位"有关而与
安全无关.小写字母(x,s,t)表示执行许可为允许,负
号或大写字母(-,S或T)表示执行许可为不允许.
    改变许可方式可使用chmod命令,并以新许可方式
和该文件名为参数.新许可方式以3位8进制数给出,r
为4,w为2,x为1.如rwxr-xr--为754.
    chmod也有其它方式的参数可直接对某组参数修
改,在此不再多说,详见UNIX系统的联机手册.
    文件许可权可用于防止偶然性地重写或删除一个
重要文件(即使是属主自己)!
    改变文件的属主和组名可用chown和chgrp,但修
改后原属主和组员就无法修改回来了.

3.目录许可
    在UNIX系统中,目录也是一个文件,用ls -l列出
时,目录文件的属性前面带一个d,目录许可也类似于
文件许可,用ls列目录要有读许可,在目录中增删文
件要有写许可,进入目录或将该目录作路径分量时要
有执行许可,故要使用任一个文件,必须有该文件及
找到该文件的路径上所有目录分量的相应许可.仅当
要打开一个文件时,文件的许可才开始起作用,而rm,
mv只要有目录的搜索和写许可,不需文件的许可,这
一点应注意.

※ 修改:·netman 於 Jun 15 23:00:57 修改本文·[FROM:     210.34.9.28]
※ 来源:·古庙钟声 cs3.xmu.edu.cn·[FROM: freedom@cs3.xmu.edu.]