- 论坛徽章:
- 0
|
操作系统层面的安全问题往往是客户考虑最多的问题之一。如何保护AIX以使非授权用户无法取得对操作系统的访问权也一直都是客户重点思考并花大力气解决的课题。
在众多AIX操作系统的安全策略中,密码策略是其中不可忽视的一个组成部分。作为操作系统访问控制的第一道屏障,客户可以设置若干参数以保证用户密码具有较高的安全性,例如:
密码被更改之前和之后的最小和最大星期数
密码的最小长度
选择密码时,最少可使用的字符数
等等。
在AIX6.1和AIX 5.3 TL07以上版本的AIX操作系统针对密码安全性有了一定的改进和补充,其中比较重要的有以下两点:
1. 除了保留crypt密码加密方式之外,提供了MD5,SHA-1,SHA256等多种加密算法。
2. 支持了长达256位的密码
一 系统密码算法
在AIX5307之前,AIX一直使用名为 crypt 的单向散列函数来认证用户。crypt 函数是一个修改过的 DES 算法。它使用提供的密码和 Salt 来执行固定数据数组的单向加密。它仅使用密码字符串的前 8 个字符(这也使得用户的密码将截断为 8 个字符)。
从AIX53 TL07之后,AIX引入了散列算法(例如 MD5),它比 crypt 函数更难破解。 此算法针对强力密码猜测攻击提供了健壮的应对机制。 因为整个密码用于生成散列,所有在密码散列算法用于对密码进行加密时没有密码长度限制。
当前系统具体使用哪中系统密码算法取决于/etc/security/login.cfg 文件中 pwd_algorithm 属性。默认将crypt 用作缺省值。至于pwd_algorithm的所有备选值都必须在/etc/security/pwdalg.cfg文件中定义。
/etc/security/login.cfg 文件的以下示例将 ssha256 LPA 用作系统范围的密码加密算法。
... ...
usw:
shells = /bin/sh,/bin/bsh,/bin/csh,/bin/ksh,/bin/tsh,/bin/ksh93
maxlogins = 32767
logintimeout = 60
maxroles = 8
auth_type = STD_AUTH
pwd_algorithm = ssha256
... ...
Note : 系统密码算法仅对新创建的密码和被更改的密码有效。在迁移之后,所有后续新密码或密码更改都将使用系统密码算法。选择系统密码算法之前就存在的密码(由标准 crypt 函数或其他受支持的 LPA 模块生成)仍将在系统上工作。因此,不同密码算法生成的混合密码可在系统上共存。
二 256位的密码长度
在AIX 5.3 TL07之前的版本中,用户密码默认最多只支持8位的。这可以通过/etc/security/user来看到:
<aix5305># more /etc/security/user
….
minlen Defines the minimum length of a password. The default is 0. Range: 0 to 8.
…..
计算机越来越快的运算速度使得8位密码的暴力攻击成为了可能。正是在这样的情况下,AIX 5.3 TL07的版本引入了长密码的支持:
<aix5307># more /etc/security/user
….
minlen Defines the minimum length of a password. The default is 0. Range: 0 to PW_PASSLEN.
这中间的PW_PASSLEN是在userpw.h中定义的,但具体取值则是由/etc/security/login.cfg文件中设定好的系统级密码算法决定的。
<aix5307># more /usr/include/userpw.h
…
#define MAXIMPL_PW_PASSLEN 256
#define PW_PASSLEN ((__extension_status & _EXTENSION_C2)? \
max_pw_passlen():__get_pwd_len_max())
<aix5307># more /etc/security/pwdalg.cfg
…
* /usr/lib/security/smd5 is a password hashing load module using
* the MD5 algorithm. It supports password length up to 255 characters.
* /usr/lib/security/ssha is a password hashing load module using SHA and
* SHA2 algorithms. It supports password length up to 255 characters.
由此可以看到,无论是MD5还是SHA算法都支持最多255位密码,这样在增强加密算法的同时从密码长度的角度也增大了破解难度。
系统管理员可使用 chsec 命令来设置系统密码算法,或使用编辑器(例如 vi)来手动修改 /etc/security/login.cfg 文件中的 pwd_algorithm 属性。
(1)使用 chsec 命令:运行以下命令可将 smd5 LPA 设置为系统范围的密码加密模块:
chsec -f /etc/security/login.cfg -s usw -a pwd_algorithm=smd5
(2)使用编辑器:如果使用编辑器来手动更改 /etc/security/login.cfg 文件中的 pwd_algorithm 属性值,请确保指定值是在 /etc/security/pwdalg.cfg 文件中定义的某个节的名称。 |
|
免费注册
发表于 2011-11-11 20:34