Проблемы защиты /etc/passwd и /etc/shadow

Очень часто источником неприятностей является плохое управление паролями. В файлах /etc/passwd и /etc/shadow содержатся данные о том, кто может входить в систему и что он при этом имеет право в ней делать. Эти файлы представляют собой передовую линию защиты системы от захватчиков. Их нужно вести с особой тщательностью, стараясь не допускать ошибок и не загромождать файлы устаревшими данными.

Проверка и выбор паролей

Регулярно (желательно каждый день) проверяйте, все ли учетные записи имеют пароль. В записях файла /etc/shadow (или /etc/passwd, если в системе не используются скрытые пароли), содержащих описания псевдопользователей наподобие daemon (такие пользователи являются владельцами некоторых системных файлов, но, естественно, никогда не регистрируются в системе), в поле пароля должна стоять звездочка (*). Она не соответствует ни одному паролю и, таким образом, предотвращает использование учетной записи. Существует несколько специализированных программных пакетов, осуществляющих проверку файла /etc/shadow на предмет наличия проблем, связанных с безопасностью, хотя для поиска пустых паролей вполне достаточно и такой команды:

perl -F: -ane 'print if not $F[1];' /etc/shadow

Сценарий, выполняющий эту проверку и направляющий по электронной почте результаты администратору, можно запускать с помощью демона cron. Дополнительно обезопасьте себя с помощью сценария, который будет ежедневно сверять файл /etc/passwd с его версией за предыдущий день (это позволяет делать команда diff) и сообщать о выявленных различи-ях• Это даст возможность контролировать правомерность внесенных изменений.

Доступ к файлам /etc/passwd и /etc/group следует организовать так, чтобы их могли читать все пользователи, но право записи имел только пользователь root. Если в системе имеется файл /etc/shadow, он должен быть недоступен рядовым пользователям.

В Linux пользователи могут задавать собственные пароли. Это, конечно, очень удобно, но влечет за собой массу проблем, связанных с безопасностью. Выделяя пользователям учетные записи, обязательно давайте им указания о том, как правильно выбрать пароль.

Следует предупредить пользователей о недопустимости выбора их фамилий или инициалов. имен детей и супругов, а также слов, которые можно найти в словаре. Пароли, сконфигурированные на основе таких личных данных, как номера телефонов и адреса, не менее легко поддаются расшифровке.

Рекомендуется выбирать пароль, состоящий не менее чем из восьми знаков, среди которых должны встречаться цифры, знаки препинания, а также прописные и строчные буквы. Бессмысленные сочетания знаков, слогов, первые буквы слов легко запоминаемой фразы — вот самые лучшие пароли. При этом легко запоминаемая фраза не должна быть одной из широко распространенных. Лучше придумать свою собственную.

В некоторых системах (в зависимости от используемых библиотек аутентификации) значащими являются лишь первые 8 символов пароля. Остальные просто игнорируют (DES).