| FreeBSD handbook中文版 10 安全 |
 |
作者: 来源: 日期:2007-6-19 11:28:55 点击次数: |
|
我们建议无论用户什么时候登陆系统,你都可以结合kerberos 来使用ssh。ssh 可以在
编译时加入对kerberos 的支持。我们也建议你在ssh 配置中关闭key-forwarding,或者在它
第10 页FreeBSD 使用手册
的authorized_keys 文件中使用from=IP/DOMAIN 选项使得只有用作实体的密匙可以从特殊
机器登陆进系统。
10.4 DES, MD5 和Crypt
在unix 系统上的每个用户有一个与他们的帐号相关联的密码。看起来这些密码只有用
户和操作系统知道。为了确保这些密码的秘密,他们通过一种叫做one-way hash 的方式来
加密,它们能被很容易地加密,但不能解密。换句话说,以前我们告诉你的通常不是真的:
操作系统通常并不真正知道密码。它只知道密码的加密形式。
加密密码的唯一安全方式是以DES 为基础的数据加密标准。这对于US 用户来说没有什
么问题,但DES 的源代码不允许被输出到US 以外的国家,FreeBSD 必须找到一个既遵守US
法律,又要与其他使用DES 的unix 兼容的方法。
解决方法是分解加密库以至于US 用户可以安装DES 库和使用DES,而国际用户也有一
个加密方法。这就是FreeBSD 为什么使用MD5 来作为默认的加密方法。MD5 被认为要比DES
更安全,所以使用DES 主要是为了兼容性的原因。
10.4.1 重新配置你的Crypt 机制
可以很容易地设置FreeBSD 使用哪种加密方法。检查/etc/master.passwd 文件中的加
密密码是一种方法。用MD5 加密的密码通常要比用DES 加密的密码长,通常以$1$字符作为
起始。DES 密码字符没有任何鉴别特征,但它们要比MD5 密码短,通常是以64 位字符的字
母表来编码的,它不包括$字符,所以通常一个不以$符号开始的很可能是DES 密码。
也可以通过区别库来鉴别密码。DES 库能够鉴别MD5 密码,使用MD5 来检查用哪种方法
加密的密码,然后用DES 加密剩下的。之所以可以这样做,是因为DES 库也包括MD5。但是,
倒过来就不行了,所以MD5 库不能鉴别用DES 加密的密码。
鉴别你当前系统使用的是哪个库也是很容易的。任何使用crypt 的程序是与libcrypt
连接在一起的,每一种类型的库是与适当的执行程序有一个符号连接的。例如,在使用DES
的系统上:
% ls -l /usr/lib/libcrypt*
lrwxr-xr-x 1 root wheel 13 Mar 19 06:56 libcrypt.a -> libdescrypt.a
第11 页FreeBSD 使用手册
lrwxr-xr-x 1 root wheel 18 Mar 19 06:56 libcrypt.so.2.0 ->
libdescrypt.so.2.0
lrwxr-xr-x 1 root wheel 15 Mar 19 06:56 libcrypt_p.a -> libdescrypt_p.a
在使用MD5 库的系统上,同样的连接也会出现,但目标库是libscrypt 而不是
libdescrypt。如果你安装了DES 用的crypt 库libdescrypt,哪个密码格式将被用作新的密
码可以通过在/etc/login.conf 中设置passwd_format 来控制,要么使用DES,要么使用MD5。
看看login.conf 的联机手册了解更多信息。
10.5 S/Key
S/key 是基于单向hash 功能的一次性密码管理方式。FreeBSD 为了考虑兼容性,就使
用MD4 hash 函数,但其它系统则使用MD5 和DES-MAC。从1.1.5 版开始,S/key 已经成为
FreeBSD 的基本系统,同时也广泛应用于其他操作系统。S/key 是Bell Communications
Research, Inc 的注册商标。
下面将讨论三种不同的密码形式。第一种是你通常使用的Unix 风格或Kerberos 密码;
我们把它叫做Unix password。第二种是由S/key 程序产生,然后被keyinit 程序和登陆命
令接受的一次性密码;我们把它叫做one-time password。最后一种密码是由专门的密码生
成程序生成的秘密密码;我们把它叫做secret password 或绝对password。
秘密密码与unix password 毫无关系;他们也可能是一样的,但并不推荐使用。S/key
上一篇:FreeBSD handbook中文版 9 配制FreeBSD 的内核
下一篇:FreeBSD handbook中文版11 打印(1)基本设置 |
|
|
 |
| 北京总部: 4006-505-808 |
| 上 海 部: 021-58358765 |
| 深 圳 部: 0755-83692929 |
| 浙 江 部: 13666673722 |
| 广 州 部: 020-83821091 |
| 重 庆 部: 023-86870422 |
| 昆 明 部: 15987117834 |
| 哈尔滨部: 13946167430 |
| 其它地区: 4006-505-808 | | |
|
|
 |
|
