- 論壇徽章:
- 0
|
操作系統(tǒng)層面的安全問題往往是客戶考慮最多的問題之一��。如何保護(hù)AIX以使非授權(quán)用戶無法取得對操作系統(tǒng)的訪問權(quán)也一直都是客戶重點(diǎn)思考并花大力氣解決的課題�。
在眾多AIX操作系統(tǒng)的安全策略中���,密碼策略是其中不可忽視的一個組成部分���。作為操作系統(tǒng)訪問控制的第一道屏障,客戶可以設(shè)置若干參數(shù)以保證用戶密碼具有較高的安全性��,例如:
密碼被更改之前和之后的最小和最大星期數(shù)
密碼的最小長度
選擇密碼時��,最少可使用的字符數(shù)
等等�����。
在AIX6.1和AIX 5.3 TL07以上版本的AIX操作系統(tǒng)針對密碼安全性有了一定的改進(jìn)和補(bǔ)充����,其中比較重要的有以下兩點(diǎn):
1. 除了保留crypt密碼加密方式之外,提供了MD5����,SHA-1,SHA256等多種加密算法���。
2. 支持了長達(dá)256位的密碼
一 系統(tǒng)密碼算法
在AIX5307之前�����,AIX一直使用名為 crypt 的單向散列函數(shù)來認(rèn)證用戶��。crypt 函數(shù)是一個修改過的 DES 算法���。它使用提供的密碼和 Salt 來執(zhí)行固定數(shù)據(jù)數(shù)組的單向加密。它僅使用密碼字符串的前 8 個字符(這也使得用戶的密碼將截?cái)酁?8 個字符)�。
從AIX53 TL07之后,AIX引入了散列算法(例如 MD5)�,它比 crypt 函數(shù)更難破解。 此算法針對強(qiáng)力密碼猜測攻擊提供了健壯的應(yīng)對機(jī)制���。 因?yàn)檎麄密碼用于生成散列���,所有在密碼散列算法用于對密碼進(jìn)行加密時沒有密碼長度限制���。
當(dāng)前系統(tǒng)具體使用哪中系統(tǒng)密碼算法取決于/etc/security/login.cfg 文件中 pwd_algorithm 屬性。默認(rèn)將crypt 用作缺省值�����。至于pwd_algorithm的所有備選值都必須在/etc/security/pwdalg.cfg文件中定義�。
/etc/security/login.cfg 文件的以下示例將 ssha256 LPA 用作系統(tǒng)范圍的密碼加密算法。
... ...
usw:
shells = /bin/sh,/bin/bsh,/bin/csh,/bin/ksh,/bin/tsh,/bin/ksh93
maxlogins = 32767
logintimeout = 60
maxroles = 8
auth_type = STD_AUTH
pwd_algorithm = ssha256
... ...
Note : 系統(tǒng)密碼算法僅對新創(chuàng)建的密碼和被更改的密碼有效��。在遷移之后��,所有后續(xù)新密碼或密碼更改都將使用系統(tǒng)密碼算法��。選擇系統(tǒng)密碼算法之前就存在的密碼(由標(biāo)準(zhǔn) crypt 函數(shù)或其他受支持的 LPA 模塊生成)仍將在系統(tǒng)上工作�。因此,不同密碼算法生成的混合密碼可在系統(tǒng)上共存��。
二 256位的密碼長度
在AIX 5.3 TL07之前的版本中�����,用戶密碼默認(rèn)最多只支持8位的����。這可以通過/etc/security/user來看到:
<aix5305># more /etc/security/user
….
minlen Defines the minimum length of a password. The default is 0. Range: 0 to 8.
…..
計(jì)算機(jī)越來越快的運(yùn)算速度使得8位密碼的暴力攻擊成為了可能。正是在這樣的情況下��,AIX 5.3 TL07的版本引入了長密碼的支持:
<aix5307># more /etc/security/user
….
minlen Defines the minimum length of a password. The default is 0. Range: 0 to PW_PASSLEN.
這中間的PW_PASSLEN是在userpw.h中定義的��,但具體取值則是由/etc/security/login.cfg文件中設(shè)定好的系統(tǒng)級密碼算法決定的���。
<aix5307># more /usr/include/userpw.h
…
#define MAXIMPL_PW_PASSLEN 256
#define PW_PASSLEN ((__extension_status & _EXTENSION_C2)? \
max_pw_passlen():__get_pwd_len_max())
<aix5307># more /etc/security/pwdalg.cfg
…
* /usr/lib/security/smd5 is a password hashing load module using
* the MD5 algorithm. It supports password length up to 255 characters.
* /usr/lib/security/ssha is a password hashing load module using SHA and
* SHA2 algorithms. It supports password length up to 255 characters.
由此可以看到��,無論是MD5還是SHA算法都支持最多255位密碼�,這樣在增強(qiáng)加密算法的同時從密碼長度的角度也增大了破解難度�����。
系統(tǒng)管理員可使用 chsec 命令來設(shè)置系統(tǒng)密碼算法��,或使用編輯器(例如 vi)來手動修改 /etc/security/login.cfg 文件中的 pwd_algorithm 屬性����。
(1)使用 chsec 命令:運(yùn)行以下命令可將 smd5 LPA 設(shè)置為系統(tǒng)范圍的密碼加密模塊:
chsec -f /etc/security/login.cfg -s usw -a pwd_algorithm=smd5
(2)使用編輯器:如果使用編輯器來手動更改 /etc/security/login.cfg 文件中的 pwd_algorithm 屬性值,請確保指定值是在 /etc/security/pwdalg.cfg 文件中定義的某個節(jié)的名稱�。 |
|
免費(fèi)注冊
發(fā)表于 2011-11-11 20:34