秀同安方控利

2.1.3賬戶管理

系統上的賬戶信息可以分開管理。許多UNIX系統的優勢在于可以通過NetworkInformationUNx對于管理用戶和工作組是自給自足的。也就是說，如果擁有多個UNIX系統，每個

Services(Ns，網絡信息服務)集中管理，如過去著名的YellowPages(YP，黃頁)。NIS是設計用來在多系統之間共享用戶和組信息的簡單數據庫系統。共享NIS信息的

NIS服務器上。當用戶試圖在域范圍內訪問系統時，系統就會與主服務器聯系以確認用戶的系統選擇集稱為域。為了賦予用戶對域的訪問權，管理員只需要簡單地將用戶賬號添加到主

登錄是否有效。這樣，即使沒有定義本地賬戶，用戶也會獲得對系統的訪問權。

NIS與NT域都不是層次結構，因此它們具有共同的缺點。如果定義某個用戶具有對

NIS域的訪問權，那么這個用戶就被認可對整個域具有訪問權一一包括域中的每個系統。管理員不能指定某個用戶只能訪問一個或兩個UNIX系統，或者只訪問域的某一部分。如果需

要這種細致的控制能力，就必須建立多個NIS域。11.口令文件。所有用戶授權檢查請求都使用名叫Passwd的口文件進行驗證。

(1)ロ令字段。從Passwd文件輸出信息中可以看到，各加密口令的密文清晰明了，這是因

全問題:任何能夠合法地訪問到系統的人都可以復制Passwd文件到另一臺計算機上，并且使為用戶需要能夠對Passwd文件具有讀取的能力，以執行授權檢查過程。這也會帶來重要的安

用野蠻破解法對口令進行破解。t

UNX使用了十分強大的加密算法對用戶口令進行加密。這種算法是一種簡化的56位

DES算法，其基礎文本全為0值，加密密鑰是用戶的口令。得到的密文再進行一次加密，使用

用戶的口令作為密鑰。這種加密過程要重復進行25次。

雄”根據使用的時間生成，取值范圍在0-4，095之間。這樣可以保證如果有兩名用戶使用相為了使最終得到的密文更難于破解，系統又加入第二層密鑰，稱為“再加一粒鹽”。這一粒

的用戶有兩個賺戶，即使這些賬戶使用相同的口令，別人也無法從獲得的密文中看出來。同的口令，得到的密文也不會相同。例如，從Passwd文件的輸出中可見，一位名叫DebTuttle

用于加密的“鹽”的值是密文的前兩個字符，因此生成Deb的口令時，使用的“鹽”值為gH，

而Tuttle的口令使用的“鹽”值為zV。當用戶在系統中進行授權檢查時，系統會從密文中提

取“鹽”值，用于加密用戶輸入的口令。如果兩個密文值相同，則該用戶被認為合法，并且允許

訪問系統

工(2)破解UNIXロ令。據稱UNIX系統在生成Passwd文件密文時使用一次性加密(One

是攻擊者希望閱讀的數據大家都知道結果得到的值是0，對密鑰的態度也是這樣。當然，如WayEncryption)算法，因為直接對加密25次的文件進行破解是很不現實的，同時，這也不

果想破解密文，就需要有密鑰，但如果有了密鑰，也就有了用戶的口令。

那么人們如何破解UNIX口令呢?方法是使用UNIX對用戶進行授權檢查時相同的辦

法。當WoollyAttacker想破解口令時，他會從Passwd文件的密文記錄中提取“鹽”值，然后對

稱地對許多單詞進行加密，試圖得到匹配的密文串。一旦發現匹配情況，Woly就知道他得

到了正確的口令(注:用于破解口令所使用的單詞列表通常都是詞典文件)。、