Solaris - 強化密碼的安全性

Solaris使用者帳號密碼的加密方式是很兩光的,解密的程式輕易的就可以解開。為了強化系統的安全性,Solaris 10在加密的功能上提供了不少好用的東西,現在先針對帳號密碼加密及安全上做個介紹。
Solaris 10提供了四種帳號密碼加密的演算法,下面的表是四種的說明。

試別字 加密法 說明 Man manual
1 crypt_bsdmd5 和BSD及Linux相容的MD5演算法,密碼最長可達255個字元。 crypt_bsdmd5(5)
2acrypt_bsdbf 相容於BSD的Blowfish演算法,密碼最長可達255個字元。 crypt_bsdbf(5)
md5crypt_sunmd5 Sun的MD5,比BSD及Linux更為安全,密碼最長可達255個字元。 crypt_sunmd5(5)
__unix__crypt_unix Unix傳統的演算法,並不安全,密碼最長為8個字元。 crypt_unix(5)

Solaris預設是使用__unix__,所以密碼長度限制為8個字元。我們來做個實驗,建立一個使用者abc並將其密碼設定為1234567890 共10個字元,然後使用abc這個帳號連入,輸入密碼的前8個字元也就是12345678。你會發現登入時的密碼和設定的並不相同,但是我們還是進入系統了。

# useradd abc
# passwd abc
New Password: 1234567890
Re-enter new Password: 1234567890
passwd: password successfully changed for abc
# ssh abc@.
Password: 12345678
Last login: Thu Sep  7 16:38:38 2006 from c01093.ncic.cor
Could not chdir to home directory /home/abc: No such file or directory
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
$ id
uid=100(abc) gid=1(other)

果然是安全性很不夠,沒關係Solaris 10可以讓它變得更安全。
Solaris 10的密碼的加密演算法的相關設定是放在/etc/security/policy.conf裡面,讓我們先來看看裡面有些什麼內容 

# cat /etc/security/policy.conf
......
# crypt(3c) Algorithms Configuration
#
# CRYPT_ALGORITHMS_ALLOW specifies the algorithms that are allowed to
# be used for new passwords.  This is enforced only in crypt_gensalt(3c).
#
CRYPT_ALGORITHMS_ALLOW=1,2a,md5
# The Solaris default is the traditional UNIX algorithm.  This is not
# listed in crypt.conf(4) since it is internal to libc.  The reserved
# name __unix__ is used to refer to it.
#
CRYPT_DEFAULT=__unix__
......

因為相關的設定只有二行,所以我把不相關的部份都略去了。CRYPT_ALGORITHMS_ALLOW是在告訴系統,那些是可以使用的加密演算法。這裡要填入的是識別字,系統預設已經把三種都填進去了,所以我們不需要改。CRYPT_DEFAULT就是我們預設要使用什麼加密演算法。系統預設是使用傳統的也就是很爛的__unix__。我們要修改的就是這一行,把__unix__換成1就好 了,其他什麼事都不用做。在你修改之前先將此檔案備份,任何時候都要為自己的做為留退路。多留一個備份不會是壞事。

# cd /etc/security
# cp policy.conf policy.conf.orig
# vi policy.conf
......
#CRYPT_DEFAULT=__unix__
CRYPT_DEFAULT=1

修改完畢就立刻生效。我們立刻來做個實驗,一樣是拿abc這傢伙開刀,重設他的密碼為1234567890abcdef,然後再用8個 字元的密碼登入系統看看會發生什麼事。

# passwd abc
New Password: 1234567890abcdef
Re-enter new Password: 1234567890abcdef
passwd: password successfully changed for abc
-bash-3.00# ssh abc@.
Password: 12345678
Password: 1234567890abcdef
Last login: Fri Sep  8 10:00:29 2006 from localhost
Could not chdir to home directory /home/abc: No such file or directory
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
$ id
uid=100(abc) gid=1(other)
$

將abc的密碼改為16個字元後,重新用abc登入系統,第一次先故意打錯密碼只打前8個字元,結果很明顯的是不給你進去。第二次我們把正確的密碼打進去後就可以登入系統了。
在使用新的加密方式後,原本的密碼依然是舊的加密方式,只有新建的使用者或是變更密碼才會使用新的加密方式。那沒變更過密碼的使用著還能登入嗎?因為系統是允許存在多個不同的加密演算法,就是CRYPT_ALGORITHMS_ALLOW中所設定的那三種,除非你手動的移除某一項,否則是都可以使用的。當然__unix__ 這一項是內建的,無法移除所以也就都可以使用。
或許有人會問,為什麼不用crypt_sunmd5呢?不是更安全更不易破解嗎?當然你可以視情況使用,不過使用crypt_bsdmd5的話,可以輕易的把帳號轉移到linux的平台去。不信你可以試著把/etc/passwd和/etc/shadow中abc那一行複製起來,然後貼到 linux系統上的/etc/passwd和/etc/shadow上,再使用abc登入看看。
最後,別忘了將root的密碼改一下,以使用更安全的密碼哦!

本來寫到這裡就要結束了,但是又想到了二個東西也很有趣,也和帳號有關所以順便也寫了下來。
solaris 10新增了一項歷史密碼的功能。開啟這個功能後,系統會記憶使用者所使用過的密碼,並且在更換密碼時不允許重複前幾次的密碼。這個功能可以防止有些人很懶老是使用相同的密碼,進而造成系統的安全缺口。最高記憶組數可達26組,這記憶力果然驚人。要開啟這個功能只要修改/etc/default/passwd,將HISTORY前的#拿掉,並且值設成HISTORY=n即可。 

# grep HISTORY /etc/default/passwd
HISTORY=2
# su - abc
$ passwd abc
Enter existing login password:
New Password:
Re-enter new Password:
passwd: password successfully changed for abc
$ passwd abc
Enter existing login password:
New Password:
passwd: Password in history list.  

Please try again
New Password:

如上面的範例所示,將HISTORY設定為2,然後以abc的身份修改密碼,第一次使用了1q2w3e4r。第二次再使用相同的密碼時,系統便會出訊息告訴你,這個密碼你之前用過了哦!然後要你重新輸入。很麻煩的新功能吧!
那歷史密碼放在那裡呢?就放在/etc/security/passhistory,裡頭放的依然是加密過的字串,以使用者名稱為開頭,每個欄位以: 分隔。有興趣自己去看一下吧!
另一個是當使用者登入錯誤幾次後就會被鎖住的功能,這個功能好像Solaris 8開始就有了。使用也很簡單,編輯 /etc/security/policy.conf,將LOCK_AFTER_RETRIES的值設定為YES,並將開頭的#字去掉存檔就ok了。這一個設定是全域的,也就是說每個使用者都受到影響。這個設定是開啟錯誤幾次後會鎖住,至於是幾次要鎖住則是要修改/etc/default/login的 RETRIES。另外有一個相關的是SYSLOG_FAILED_LOGINS,這一個是設定幾次登入錯誤後才會送訊息給syslog。如果設成0,那每次的錯誤都會被記錄起來。

#vi /etc/security/policy.conf
......
LOCK_AFTER_RETRIES=YES
#vi /etc/default/
......
RETRIES=3
SYSLOG_FAILED_LOGINS=3
# ssh abc@.
Password:
Password:
Password:
Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).
# grep abc /etc/shadow
abc:*LK*$1$wzOJK8UX$JP2AcxvJh6pXQYfLj9k1w0:13399::::::9

上面的範例,開啟了帳號鎖住的功能,並將次數設定為三次。接著用ssh故意登入失敗,在三次失敗後我們可以看到 /etc/shadow中abc在密碼那一欄的最前面已經被加了*LK*,即表示這個帳號被鎖住了。
對於被鎖住的帳號可以使用passwd -u username來解開(-u 好像10才有),或者是手動的把/etc/shadow裡的*LK*拿掉就可以了。


假設你有一個同事常常打錯密碼而鎖住,因此來求你可不可以不要老是鎖住她的帳號時,你該怎麼辦?1.放棄討好漂亮妹妹的機會,凜然的告訴她,這是公司政策不可能為她而更改。2. 繼續看下去,學到最終奧義,然後幫她個人的帳號解套,最後還是落得好人卡一張。
我想多數人會選2,因為好機會不是天天有的,而且誰說未來一定是一張好人卡,說不定是抱得美人歸,或是......更多張好人卡呢!好啦!不管是什麼,總之呢,如果有的人不要套用帳號鎖定的功能的話,請編輯/etc/user_attr然後加入如下的資料
username::::lock_after_retries=no
帳號後接4個:,然後接著lock_after_retries=no這樣子就可以了。我們再以abc為例,修改好後的檔案長得像這個樣子。

# vi /etc/user_attr
adm::::profiles=Log Management
lp::::profiles=Printer Management
root::::auths=solaris.*,solaris.grant;profiles=Web Console Management,All;lock_after_retries=no
abc::::lock_after_retries=no

你可以再試看看,abc這個帳號還會不會被鎖住。最後還是要講一句,做任何的改變之前,一定要做備份。還有希望你不要領到好人卡。

留言

張貼留言

這個網誌中的熱門文章

Unix下為你的檔案加密

如果你有使用過WinRAR, 那你應該知道WinRAR在壓縮時提供一項功能, 可以為壓縮檔加上密碼,這樣子一來沒有密碼就 無法解開檔案,也就可以防止資訊外流。 在Unix下壓縮通常我們會使用tar+gzip來達成, 但是想為檔案多加一層保護時,通常就不知該如何下手了。 其實做法很簡單,所要使用的指令就只有openssl, 只要你有裝openssl的套件就可以了。 在Linux下預設就會安裝,如果你的是其他的Unix like的系統,你就得要自己檢查了。 openssl中我們要用到的是enc(Encoding And Cipher)這個子功能,使用的方式如下。 openssl enc -e -cipher_method -in input_file -out output_file 其中-e表示要加密、-d表示解密、-in表示輸入的檔案、- out表示輸出的檔案、-cipher_ method要看你選擇什麼加密方法,可以是-des、-des3、-bf......等。 我們看個範例先。 # openssl enc -e -des3 -in /etc/hosts -out /tmp/hosts.cpt enter des-ede3-cbc encryption password:12345 Verifying - enter des-ede3-cbc encryption password:12345 上面的範例使用des3的加密法將/etc/hosts加密, 然後輸出成/tmp/hosts.cpt。過程中你所輸入密碼, 也是你解開檔案 時的密碼。 那要如何解開檔案呢?剛有講到-e表示要加密(encrypt) ,-d就表示要解密(decrypt)了。 我們看一下解密的範例。 # openssl enc -d -des3 -in /tmp/hosts.cpt enter des-ede3-cbc decryption password:12345 # Do not remove the following line, or various programs # that require network functionality will fail. 127.0.0.1 localhost.localdomain localhost
閱讀完整內容

ZFS-Solaris 10的新檔案系統 (一)

Sun Solaris 10作業系統 (Solaris OS) 裡新的ZFS檔案系統於2006年6月正式推出。 昇陽號稱ZFS是目前地球上最強的檔案系統,其創新的技術推翻你對檔案系統管理的概念。 根據昇陽的文件它具有如下的功能。 * 管理簡單 ZFS 自動化並整合複雜的儲存管理概念,降低 80% 管理上的經常性耗用時間。 * 確實的資料完整性 ZFS 用 64 位元的總和檢查保護所有資料, 能夠偵測並修正無訊資料損毀的情況。 * 無限延伸性 ZFS 是世界第一個 128 位元檔案系統,其儲存容量為 32 或 64 位元系統的 1600 萬兆倍。 * 極速效能 作業事件模型消除了傳統式發送 I/O 的順序限制,大幅提升效能。 看了這麼多,還是快開始進入我們的重點吧! 要使用ZFS你得要先有一個Solaris 10的系統。不管是SPARC版或是x86版的都可以,但是一定要是Solaris 10 06/06(Update 2)這個版本以後的。再來最好有多顆硬碟, 而且每顆硬碟要大於128MB( 現在去那兒找比128MB還小的呀)。最後是RAM越多越好,官方說法是512MB是起碼,1G是基本。 不過實際上我在VMware下只開了256MB測試也是跑的很順暢。 在一切都準備就緒後就可以開始了。 首先看一下我們所安裝的Solaris版本是不是正確的。 # cat /etc/release Solaris 10 6/06 s10x_u2wos_09a X86 Copyright 2006 Sun Microsystems, Inc. All Rights Reserved. Use is subject to license terms. Assembled 09 June 2006 是2006年6月的版本, 不然你也可以執行zfs這個指令試看看。在我測試的環境裡, 我用了6個大小都為1GB的SCSI硬碟,分別是c2t
閱讀完整內容

Solaris - log的管理,使用logadm

在開始之前有個故事要和大家分享。 有一次我朋友的公司裡有一台Sun的機器疑似crash後重開機 ,他的第一個反應是去看 messages log,結果使用vi來開啟messages檔時, vi跑了二分多鍾後,丟出一個訊息"檔案太大了,它開不了"。 他轉頭問問我怎麼會這樣?於是我接手幫忙處理。 執行uptime的結果確認是有重開機過,但為何重開機? 則要看messages的內容才會知道,問題是vi開不了messages,所以我只好用tail+ more來慢慢看。為什麼開不了呢? 一看才知messages這個檔案竟然超過2G,最早的一筆記錄是四年多前的。天呀! 接著想瞭解在機器掛掉之前有誰在線上操作,結果last一跑.. ....約五分鍾後螢幕才開始有東西跑出來。為什麼呢?因為和last相關的檔案wtmpx也超過500MB......。 最早的記錄的時間我已經不想知道了。( messages不是有newsyslog會去換檔案嗎?是的, 但不知在何時crontab裡已經沒有這一項存在了。唉, 天兵管理員!) 早期的Solaris(9 以前) 並沒有一個真正可用的log輪替程式來做系統log的管理。 所以如果管理員沒有自己做適當的處理, 硬碟空間很容易就被吃光了。不然就會發生像上述的事情, 檔案大到很難開啟。 以往的Solaris就只有一支newsyslog的簡單scr ipt來做messages的輪替的工作。 不然就要自己安裝logrotate的套件來做這一類的工作。雖然logrotate很好用, 但總是還要抓下來安裝。不過自從Solaris 9開始,Sun終於聽到使用者的聲音了。 Solaris 9開始提供了一支程式logadm專門用來做系統log的管理工 作。個人覺得它和logrotate還有點相像,只是它的設定是一個log檔一行, 而logrotate是一個log檔一個區塊。 下面就來看看logadm要如何使用。 logadm有一個設定檔/etc/logadm.conf, 該檔是一個純文字檔,所以你可以直接用vi去編輯它, 或是使用logadm來變更設定。雖然可以直接編輯設定檔, 不過使用logadm來變更設定時logadm會檢查語法是否正 確,所以建議還是使用指令去變更設定。 Solaris在安裝完成後, root的cronta
閱讀完整內容