什么是Linux賬戶(hù)以及怎么確保信息安全

本篇內容介紹了“什么是Linux賬戶(hù)以及怎么確保信息安全”的有關(guān)知識，在實(shí)際案例的操作過(guò)程中，不少人都會(huì )遇到這樣的困境，接下來(lái)就讓小編帶領(lǐng)大家學(xué)習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學(xué)有所成！

賬戶(hù)安全的意義

什么是賬戶(hù)

GNU/Linux 通過(guò)用戶(hù)和用戶(hù)組進(jìn)行訪(fǎng)問(wèn)控制，Linux 默認的訪(fǎng)問(wèn)控制機制相對簡(jiǎn)單直接。

用戶(hù)一般指使用計算機的人。計算機給每個(gè)用戶(hù)分配了用戶(hù)名，用戶(hù)使用這些名稱(chēng)訪(fǎng)問(wèn)計算機。除了人之外，一些系統服務(wù)也會(huì )建立賬戶(hù)，用于管理服務(wù)進(jìn)程。

Linux默認會(huì )存在root用戶(hù)，root用戶(hù)擁有系統的最高權限，可以進(jìn)行一切操作，而其他賬號只能擁有部分權限。

Linux有組的概念，使用者可以通過(guò)修改組的權限對更多成員進(jìn)行訪(fǎng)問(wèn)控制，每個(gè)用戶(hù)必須是一個(gè)組的成員，這個(gè)組成為主屬組，每個(gè)用戶(hù)只能擁有一個(gè)主屬組，但可以擁有多個(gè)從屬組。

Linux通過(guò)useradd命令新增用戶(hù)，通過(guò)userdel刪除用戶(hù)。UNIX中一切皆文件，所以最后所有的修改最終都會(huì )以文件的形式展示。你可以通過(guò)命令pwck –s檢查用戶(hù)配置文件（數據庫）的完整性。

賬戶(hù)安全配置保證資產(chǎn)安全

Linux通過(guò)訪(fǎng)問(wèn)權限控制用戶(hù)可以查看的內容，使用ls –l命令可以看到如下內容：

里面標識了每個(gè)文件的所屬用戶(hù)，所屬組，用戶(hù)訪(fǎng)問(wèn)權限，組訪(fǎng)問(wèn)權限，非所屬用戶(hù)和所屬組訪(fǎng)問(wèn)權限，文件大小，最后修改時(shí)間的信息。訪(fǎng)問(wèn)權限包括文件的讀（r）寫(xiě)（w）執行（x）權限?？刂坪梦募脑L(fǎng)問(wèn)權限可以有效防止數據泄露。

有時(shí)候安裝一個(gè)新的軟件都會(huì )自動(dòng)創(chuàng )建一個(gè)用戶(hù)和同名的組，這些軟件一般是為用戶(hù)提供服務(wù)的或者為網(wǎng)絡(luò )上的用戶(hù)提供Web服務(wù)、郵件服務(wù)等，這些軟件就運行在它的組里，這樣即便是軟件受到了外界的攻擊，也無(wú)法破壞非軟件所屬用戶(hù)之外用戶(hù)的文件。同樣它也會(huì )建立一個(gè)只屬于這個(gè)賬戶(hù)的目錄，防止別的用戶(hù)篡改。這些用戶(hù)一般都是不可登錄，并且不能使用密碼，杜絕了通過(guò)爆破密碼進(jìn)入計算機。下表是一些用戶(hù)組和其影響文件的信息。

下面這些文件不建議手動(dòng)編輯。用相關(guān)工具編輯更好，這樣可以避免文件錯誤。

賬戶(hù)配置

賬戶(hù)基本信息

賬號的基本信息存儲在/etc/passwd。在這個(gè)文件中每個(gè)用戶(hù)的帳號信息存儲一行，帳號信息由七個(gè)字段組成，字段之間用冒號（":"）分隔，從左至右分別表示為：帳號，密碼，用戶(hù)ID，組ID，用戶(hù)介紹， home目錄，默認shell。

1.   name:password:UID:GID:GECOS:directory:shell

字段的詳細描述如下：

·    賬號：用戶(hù)名，不能為空，不能包含大寫(xiě)字母，而且要符合標準的UNIX命名規則；

·    密碼：加密的用戶(hù)密碼，或者星號，但實(shí)際上這個(gè)位置通常為"x"，這里有所特殊，后面會(huì )詳細介紹

·    用戶(hù)ID：每個(gè)用戶(hù)和組有一個(gè)對應的UID和GID（用戶(hù)ID和組ID）。一般情況，第一個(gè)非root用戶(hù)的默認UID是1000，后續創(chuàng )建的用戶(hù)UID也應大于1000，特定用戶(hù)的GID應該屬于指定的首要組，組的ID數值列在/etc/group文件里。

·    組ID：用戶(hù)的主要組ID

·    用戶(hù)介紹：可為空，通常為賬號使用者的信息，如使用者姓名，Email等，使用英文逗號（","）分割

·    home目錄：用于登錄命令設置$HOME環(huán)境變量。某些服務(wù)的用戶(hù)主目錄設置為"/"是安全的，但不建議普通用戶(hù)設置為此目錄。

·    默認shell：登錄時(shí)運行的程序（如果為空，則使用 /bin/sh作為默認shell)。 如果設為不存在的執行（程序），用戶(hù)不能通過(guò)login登錄。

在新版Linux中使用shadow文件存儲密碼。passwd文件對所有人可讀，在里面存儲密碼（無(wú)論是否加密過(guò)）是很不安全的。在password字段，通常使用一個(gè)占位字符（x）代替。加密過(guò)的密碼儲存在/etc/shadow文件，該文件對普通用戶(hù)限制訪(fǎng)問(wèn)。

示例：

1.   jack:x:1001:100:Jack Smith,some comment here,,:/home/jack:/bin/bash

分解說(shuō)明：用戶(hù)登錄名為jack，密碼保存在/etc/shadow，UID為1001，首要組的ID是100 (users組)，全名Jack Smith并加了一些注釋?zhuān)髂夸浭?home/jack，使用Bash作為默認shell。

賬戶(hù)密碼信息

/etc/shadow是用戶(hù)存儲賬號安全信息的文件，其中包括密碼、賬號過(guò)期時(shí)間等設置，此文件是普通用戶(hù)無(wú)法進(jìn)行任何操作，在一定程度上保證了安全。

/etc/shadow文件每行包含9個(gè)字段，同樣使用冒號（":"）分隔，分別為登錄名，加密密碼，上次密碼更改時(shí)間，密碼不得更改天數，最長(cháng)密碼使用天數，密碼警告期，密碼閑置期，賬戶(hù)到期時(shí)間，保留字段。下面詳細介紹每個(gè)字段的意義：

·    登錄名：與/etc/passwd的賬號相同，用于登錄使用；

·    加密密碼：經(jīng)過(guò)crypt加密后的密碼；

·    上次密碼更改時(shí)間：最后一次修改密碼的時(shí)間，表示自1970年1月1日以來(lái)的天數。值0具有特殊含義，即用戶(hù)下次登錄系統時(shí)應更改其密碼?？兆侄伪硎久艽a老化功能已禁用。

·    密碼不得更改天數：此字段表示在此天數之前不能修改密碼，是與上次密碼更改時(shí)間的間隔天數?？兆侄魏椭禐?表示沒(méi)有任何時(shí)間都可以修改。

·    最長(cháng)密碼使用天數：用戶(hù)經(jīng)過(guò)此天數必須修改密碼。經(jīng)過(guò)此天數后，密碼可能仍然有效。需要用戶(hù)在下次登錄時(shí)更改其密碼?？兆侄伪硎緵](méi)有最長(cháng)密碼使用期限，沒(méi)有密碼警告期和密碼閑置期（請參閱下文）。如果最大密碼使用期限小于最小密碼使用期限，則用戶(hù)無(wú)法更改其密碼。

·    密碼警告期：在此期間提醒用戶(hù)修改密碼，空字段和值為0表示沒(méi)有密碼警告期。

·    密碼閑置期：密碼過(guò)期后的天數（請參見(jiàn)上面的最長(cháng)密碼使用期限），在此期間仍應接受密碼（用戶(hù)應在下次登錄時(shí)更新其密碼）。密碼過(guò)期且經(jīng)過(guò)了此過(guò)期時(shí)間后，將無(wú)法使用當前用戶(hù)的密碼登錄。用戶(hù)應聯(lián)系管理員。

·    賬戶(hù)到期時(shí)間：此字段表示自1970年1月1日以來(lái)的天數。請注意，賬戶(hù)有效期與密碼有效期不同。如果賬戶(hù)到期，則不允許用戶(hù)登錄。如果密碼到期，則不允許用戶(hù)使用其密碼登錄?？兆侄伪硎驹撡~戶(hù)永不過(guò)期。不應使用值0，因為它將被解釋為賬戶(hù)于1970年1月1日到期。

·    保留字段：該字段保留供將來(lái)使用，現在暫未啟用。

示例：

1.   jack:$6$atIauuQ5$mh7ombrRsUxHxJ8uZGerdSUXSuBiOAzkfRgn2wrR69K5IbOANpHlBeY43BqmNkPy7Ho3XrGKu6CGIxc9nqjiS/:18303:1:10:7:7::

分解說(shuō)明：登錄名為jack，加密后的密碼為$6$atIauuQ5$mh7ombrRsUxHxJ8uZGerdSUXSuBiOAzkfRgn2wrR69K5IbOANpHlBeY43BqmNkPy7Ho3XrGKu6CGIxc9nqjiS/，最后一次修改密碼時(shí)間為2020年02月11日，2020年02月12日前不能修改密碼，2020年02月21日后必須要修改密碼，從2020年02月14日起登錄系統會(huì )要求必須修改密碼，在2020年02月28日前密碼仍能使用，但登錄系統后必須修改密碼，否則在2020年02月28日后賬戶(hù)再也不能登錄，未設置賬戶(hù)到期時(shí)間。

用戶(hù)組信息 

Linux中每個(gè)用戶(hù)都必須有一個(gè)所屬組，并且只能有一個(gè)，但可以有多個(gè)從屬組。所屬組在passwd文件中的第四個(gè)字段設置，從屬組在group文件中設置。

Group文件介紹 

與其他文件類(lèi)似，group文件同樣是每個(gè)組占用一行，并使用冒號分割為4個(gè)字段。分別為組名，密碼，組ID，組中用戶(hù)。下面詳細介紹每個(gè)字段的意義：

·    組名：組名

·    密碼：與passwd文件類(lèi)似，加密的組用戶(hù)密碼，或者星號，但實(shí)際這個(gè)位置通常為"x"有所特殊。

·    組ID：組的數字標識。

·    組中用戶(hù)：組內所有成員的用戶(hù)名，以逗號分隔。

Gshadow文件介紹 

Gshadow文件同樣是每個(gè)組占用一行，并使用冒號分割為4個(gè)字段。分別為組名，加密密碼，管理員，成員。

·    組名：必須是系統中已經(jīng)存在的有效組；

·    加密密碼：經(jīng)過(guò)crypt加密后的密碼；

·    管理員：必須是一個(gè)逗號分隔的用戶(hù)名列表。管理員可以更改組密碼和成員。管理員也有成員一樣的權限

·    成員：必須是一個(gè)逗號分隔的用戶(hù)名列表。成員可以免密碼訪(fǎng)問(wèn)組。

查看系統被暴力破解的信息

每個(gè)用戶(hù)的登錄信息都會(huì )被記錄，無(wú)論是成功還是失敗，可以通過(guò)命令last命令查看登錄歷史，lastb命令查看登錄失敗的記錄。它們最終是通過(guò)讀取/var/log/wtmp和/var/log/btmp文件獲得的，這兩個(gè)文件都是二進(jìn)制文件，里面存儲的是utmp（在Linux C頭文件<utmp.h>中）結構體。

下圖是部分通過(guò)lastb命令查到的嘗試登錄服務(wù)器的部分失敗記錄，其中發(fā)現一臺IP為39.105.202.21的主機在3月7日12點(diǎn)到14點(diǎn)之間多次次嘗試登錄主機，通過(guò)命令sudo lastb | grep "39.105.202.21" | wc -l可以查看其一共進(jìn)行了2213次嘗試，可以推測其在嘗試暴力破解登錄密碼。

也可以同last命令查看這個(gè)IP是否成功登錄，如果有則說(shuō)明用戶(hù)密碼一定被成功破解了，如果沒(méi)有不排除文件被篡改過(guò)。

 Linux密碼防護

在登錄輸入密碼時(shí)比較容易出現密碼泄露，傳統的加密方法，通過(guò)彩虹表可以很容易猜解密碼，即使是SHA256/SHA512也可以在互聯(lián)網(wǎng)上搜索到在線(xiàn)解密網(wǎng)站進(jìn)行解密，這類(lèi)加密方式只要密碼一樣加密結果必然雷同，所以密碼被計算一次，想要破解的時(shí)候再查表就可以了。如今，MD5/SHA1 哈希算法已經(jīng)被攻破，即使在加密密碼前加上鹽以后也不再保險 。

而在Linux中使用crypt算法對密碼進(jìn)行加密，這種加密方式即使每次都使用相同的密碼，最后加密的結果都是不同的。salt是[a-zA-Z0-9./]中隨機挑選的最多16位字符串，總共4096種的干擾方式，這就使得通過(guò)字典破解密碼變得比較困難，每次破解一個(gè)密碼都需要重新計算一遍。

Linux中的密碼按固定的格式保存：

$id$salt$encrypted

id是一個(gè)數字，表示以何種方式對密碼和salt生成隨機數

salt是由大小寫(xiě)字母、數字、英文句號（.）和“/”組成的不超過(guò)16字節的隨機字符串。

encrypted：是由明文密碼和隨機salt通過(guò)組合，再通過(guò)散列函數后生成的密文，不同散列算法的密文長(cháng)度如下：