秀同安方控利

2.1.3賬戶管理

 

系統(tǒng)上的賬戶信息可以分開管理。許多UNIX系統(tǒng)的優(yōu)勢在于可以通過 Network Information UNx對于管理用戶和工作組是自給自足的。也就是說，如果擁有多個UNIX系統(tǒng)，每個

Services(Ns，網(wǎng)絡信息服務)集中管理，如過去著名的 Yellow Pages(YP，黃頁)。NIS是設計用來在多系統(tǒng)之間共享用戶和組信息的簡單數(shù)據(jù)庫系統(tǒng)。共享NIS信息的

 

NIS服務器上。當用戶試圖在域范圍內(nèi)訪問系統(tǒng)時，系統(tǒng)就會與主服務器聯(lián)系以確認用戶的 系統(tǒng)選擇集稱為域。為了賦予用戶對域的訪問權，管理員只需要簡單地將用戶賬號添加到主

登錄是否有效。這樣，即使沒有定義本地賬戶，用戶也會獲得對系統(tǒng)的訪問權。

 

NIS與NT域都不是層次結構，因此它們具有共同的缺點。如果定義某個用戶具有對

NIS域的訪問權，那么這個用戶就被認可對整個域具有訪問權一一包括域中的每個系統(tǒng)。管 理員不能指定某個用戶只能訪問一個或兩個UNIX系統(tǒng)，或者只訪問域的某一部分。如果需

 

 

要這種細致的控制能力，就必須建立多個NIS域。1 1.口令文件。所有用戶授權檢查請求都使用名叫 Passwd的口文件進行驗證。

 

(1)ロ令字段。從 Passwd文件輸出信息中可以看到，各加密口令的密文清晰明了，這是因

全問題:任何能夠合法地訪問到系統(tǒng)的人都可以復制 Passwd文件到另一臺計算機上，并且使 為用戶需要能夠對 Passwd文件具有讀取的能力，以執(zhí)行授權檢查過程。這也會帶來重要的安

用野蠻破解法對口令進行破解。t

 

UNX使用了十分強大的加密算法對用戶口令進行加密。這種算法是一種簡化的56位

DES算法，其基礎文本全為0值，加密密鑰是用戶的口令。得到的密文再進行一次加密，使用

用戶的口令作為密鑰。這種加密過程要重復進行25次。

 

雄”根據(jù)使用的時間生成，取值范圍在0-4，095之間。這樣可以保證如果有兩名用戶使用相 為了使最終得到的密文更難于破解，系統(tǒng)又加入第二層密鑰，稱為“再加一粒鹽”。這一粒

的用戶有兩個賺戶，即使這些賬戶使用相同的口令，別人也無法從獲得的密文中看出來。同的口令，得到的密文也不會相同。例如，從 Passwd文件的輸出中可見，一位名叫 Deb Tuttle

用于加密的“鹽”的值是密文的前兩個字符，因此生成Deb的口令時，使用的“鹽”值為gH，

而 Tuttle的口令使用的“鹽”值為zV。當用戶在系統(tǒng)中進行授權檢查時，系統(tǒng)會從密文中提

取“鹽”值，用于加密用戶輸入的口令。如果兩個密文值相同，則該用戶被認為合法，并且允許

訪問系統(tǒng)

 

工(2)破解UNIXロ令。據(jù)稱UNIX系統(tǒng)在生成 Passwd文件密文時使用一次性加密(One

是攻擊者希望閱讀的數(shù)據(jù)大家都知道結果得到的值是0，對密鑰的態(tài)度也是這樣。當然，如 Way Encryption)算法，因為直接對加密25次的文件進行破解是很不現(xiàn)實的，同時，這也不

果想破解密文，就需要有密鑰，但如果有了密鑰，也就有了用戶的口令。

 

那么人們?nèi)绾纹平釻NIX口令呢?方法是使用UNIX對用戶進行授權檢查時相同的辦

法。當 Woolly Attacker想破解口令時，他會從 Passwd文件的密文記錄中提取“鹽”值，然后對

稱地對許多單詞進行加密，試圖得到匹配的密文串。一旦發(fā)現(xiàn)匹配情況，Woly就知道他得

到了正確的口令(注:用于破解口令所使用的單詞列表通常都是詞典文件)。、