在Linux中從隱藏密碼遷移至tcb

第第頁在Linux中從隱藏密碼遷移至tcb在Linux中從隱藏密碼遷移至tcb

發(fā)表于：2023-06-23來源：：點(diǎn)擊數(shù)：標(biāo)簽：

隱藏密碼作為Linux產(chǎn)品的既定事實(shí)標(biāo)準(zhǔn)已經(jīng)有好多年了，md5密碼的使用亦是如此。但是，使用傳統(tǒng)的隱藏密碼方法也有不足之處，甚至md5也不像以前那么安全了。隱藏密碼文件的一個(gè)缺點(diǎn)就是，任意一個(gè)需要查詢個(gè)別隱藏密碼（如您的密碼）的應(yīng)用程序也可以看

隱藏密碼作為Linux產(chǎn)品的既定事實(shí)標(biāo)準(zhǔn)已經(jīng)有好多年了，md5密碼的使用亦是如此。但是，使用傳統(tǒng)的隱藏密碼方法也有不足之處，甚至md5也不像以前那么安全了。

隱藏密碼文件的一個(gè)缺點(diǎn)就是，任意一個(gè)需要查詢個(gè)別隱藏密碼（如您的密碼）的應(yīng)用程序也可以看到其他人的隱藏密碼，這也就意味著任意一個(gè)可以讀取隱藏文件的惡意工具都能夠獲得別人的隱藏密碼。

除了隱藏，還有一個(gè)叫做tcb的可供選擇的辦法，它由OpenwallProject編寫，可以從tcb主頁上獲取。遷移到tcb雖然需要做一些工作，但是相當(dāng)直接。因?yàn)橹挥蠴penwallGNU/*/Linux、ALTLinux、和Annvix直接支持tcb。要為您選擇的流通產(chǎn)品獲得tcb支持，您必須重新編輯幾個(gè)程序，打上補(bǔ)丁。

從tcb站點(diǎn)上，您可以下載tcb程序，并將它和相關(guān)的pam_tcb和nss_tcb庫一起進(jìn)行編輯。您還需要打上支持crypt_blowfish的glibc補(bǔ)?。ㄏ馭USE一樣的有些產(chǎn)品可能已經(jīng)可以支持blowfish密碼，就不需要再打補(bǔ)丁了）。

也許您還想為shadow-utils組打上補(bǔ)丁；取決于您的產(chǎn)品所采用的shadow-utils的版本，您可以從OpenwallCVS為shadow-utils4.0.4.1或從AnnvixSVN儲存庫為4.0.12獲得所需的補(bǔ)丁。像adduser、chage等這樣的工具中的Shadow-utils需要被打上補(bǔ)丁，提供tcb支持。在tcb頁面上有可以打glibc補(bǔ)丁的最新crypt_blowfish的鏈接。

一旦這些先決條件都滿足了，且tcb編譯和安裝以后，只需簡單地將/etc/pam.d/*文件中的所有調(diào)用都替換為pam_unix.so和/或pam_pwdb.so就行了。然后就可以像列表A中那樣使用pam_tcb.so了。

列表A

auth

required

pam_env.so

auth

required

pam_tcb.soshadowforknullokprefix=$2a$count=8

account

required

pam_tcb.soshadowfork

password

required

pam_passwdqc.somin=disabled,12,8,6,5max=40passphrase=3match=4similar=denyrandom=42enforce=everyoneretry=3

password

required

pam_tcb.souse_authtokshadowwrite_to=tcbforknullokprefix=$2a$count=8

session

required

pam_limits.so

session

required

pam_tcb.so

如果您希望繼續(xù)使用md5密碼，而不是blowfish密碼，將prefix=$2a$count=8一條從密碼行移除，同時(shí)，您還需要修改/etc/nsswitch.conf，讓隱藏行改讀：

shadow:tcbnisplusnispasswd程序需要sgid隱藏，而不是suid根，并且/etc/login.defs中要包括USE_TCByes。這些完成以后，您就可以執(zhí)行/sbin/tcb_convert程序，將隱藏文件轉(zhuǎn)換成為適當(dāng)?shù)膯我挥脩粑募?，這些文件將儲存在/etc/tcb/中。做完這些之后，移除/etc/shadow和/etc/shadow-文件，然后您的系統(tǒng)就可以使用tcb了。

獲得tcb支持可能需要花點(diǎn)功夫，但遺憾的是更多的產(chǎn)品沒有提供支持，它們既沒有本地支持也沒有通過插件來支持。使