linux密碼安全

① 如何保證linux操作系統下的密碼安全

密碼安全概述自從人類開始使用電腦以來，主要是靠密碼來限制對系統的訪問。雖然軟硬體的更新換代不斷，但依靠密碼來保護系統這一原則仍然沒有改變。選擇密碼似乎是很平常的是，但用戶的系統安全完全基於密碼的強壯性。 一個簡單、容易猜出的密碼等於敞開了系統的大門－攻擊者一旦獲取密碼就可以長驅直入。一個足夠強度的密碼需要幾年的時間去破解，而一個脆弱的密碼在一分鍾內就沒有任何秘密可言。以下幾個問題涉及密碼的設置： ● 是否按照公開的標准來設置密碼； ● 密碼是否加密； ● 密碼是否使用shaow； ● 回答上述問題將有助於了解Linux系統密碼是否安全。 強制密碼設置規范密碼安全的第一步是選擇難於猜測的密碼。不幸的是，用戶傾向於選擇容易記憶的密碼－但同時也容易被黑客破解。記住密碼當然重要，但更重要的是確保密碼的安全，因此建議不要選擇小孩的名字、寵物名字或是配偶的生日，用戶需要設置黑客難於猜測、破解的密碼。 採用大小寫字元組成密碼對提高安全度很有幫助，盡管這並非是唯一提升安全強度的方法，但對付黑客的暴力破解很有效（黑客往往使用字典破解法對密碼進行窮舉，直到找到匹配密碼為止）。作者也見過採用隨機生成的密碼，但在很多情況下，最好的密碼既要有強壯性，又要讓用戶容易記住。本文提供一種方法建立既強壯又便於記憶的密碼。 上面談到的很多都似乎是常識，但困難在於如何讓所有的Linux用戶遵循系統管理員規劃好的密碼設置規范。在Linux系統中，大多數版本的Passwd（系統中進行密碼設置的軟體）可以配置一定的規范來定義用戶的密碼，例如要求用戶設置的密碼不得少於6個字元，其中必須還要包括至少2個數字。筆者推薦Npasswd這個軟體可以完全替代Linux系統中的Passwd，該軟體可以檢查用戶所要設置的密碼是否足夠強壯。建議系統管理員最先從這里入手，為所有的用戶規定密碼設置規范。 針對目前的密碼資料庫，系統管理員可以使用多種工具來審核密碼安全。類似Crack 和John the Ripper可以讓你對系統密碼進行測試。越簡單的密碼，上述工具破解（也就是猜到）的就越快。這種工具嘗試破解/ect/passwd/目錄下面的密碼文件並輸出結果。猜出的密碼越多說明貴單位的漏洞也就越多。系統管理員可以選擇禁止某些不安全帳戶，雖然方法簡單但並非一直可以這樣做。最好的辦法是給黑客訪問相應目錄和文件設置障礙，讓黑客無法輕易獲取密碼資料庫文件並進行破解。 密碼資料庫的保護手段下一步要確定密碼交給不妥當的用戶。安全是基於用戶級的，密碼安全不僅僅是設置安全的密碼，還要防止用戶把密碼記下來並隨手亂放。把密碼記錄在明文文檔內或是錢包的紙片中，都不是可取的方式。請盡可能的以加密手段來存儲和記錄密碼。 另有一個可選的方式是給密碼做shadow。shadow passwords根據標準的/etc/passwd/目錄下的密碼文件生成，但它保存在獨立的加密文件中（只能被許可權最高的Root用戶讀取）。系統中的程序仍然可以使用/etc/passwd下的密碼文件，訪問類似用戶ID（UID）以及組ID（GID）等信息，但不是加密的密碼。這給密碼的安全程度又增加了一層保障，這意味著黑客必須獲得Root許可權後才能訪問加密的密碼庫文件。在Red Hat系統中，pwconv工具能夠把非shadow 密碼轉換成shadow密碼格式。請注意，各個版本的Linux系統的類似工具在使用中各有不同，請參照您的文檔來完成上述工作。 總結系統管理員可以採取各種策略來確保密碼安全。但首先要讓用戶們明白密碼安全的重要性，同時制定密碼策略來強制密碼設置規范。這包括確定可接受的密碼設置要求、更換密碼的時限、密碼需要包含多少字元等等。系統管理員還可以運行檢測工具來查找密碼資料庫的安全漏洞。此外別忘了shadow password-它可以立即為您的系統增加安全防護強度。

② 在LINUX系統中如何設置強密碼(安全性高)

印象里 /etc/shadow 這里的密碼可以從 md5sum 方式替換為 sha256sum 。這樣可以提高安全度，防止 md5sum 被截取後被人碰撞出來一個可用的密碼。

之後就是強密碼的問題了，這個不是系統如何設置的問題，而是用戶如何設置。
至少 12 位元組，管理員許可權必須 16 位元組以上，最好是用大小寫混合+數字元號。最好隨機生成。

另外，還有就是其他方面的安全設置。
比如禁止遠程 telnet 訪問，只能用 ssh 訪問，之後 ssh 綁定證書而不是用密碼登錄，並且禁止 root 遠程登錄。
剩下的就是其他各種服務的安全設置了，比如 apache 設置禁止代碼訪問 web 目錄之外的數據，ftp 也進行許可權控制，資料庫限制訪問來源 IP 。

這都是細節的東西，強密碼根本不是提高安全的做法，因為他是計算機系統安全所必須的要求。

③ 在LINUX系統中如何設置強密碼(安全性高)

印象里
/etc/shadow
這里的密碼可以從
md5sum
方式替換為
sha256sum
。這樣可以提高安全度，防止
md5sum
被截取後被人碰撞出來一個可用的密碼。
之後就是強密碼的問題了，這個不是系統如何設置的問題，而是用戶如何設置。
至少
12
位元組，管理員許可權必須
16
位元組以上，最好是用大小寫混合+數字元號。最好隨機生成。
另外，還有就是其他方面的安全設置。
比如禁止遠程
telnet
訪問，只能用
ssh
訪問，之後
ssh
綁定證書而不是用密碼登錄，並且禁止
root
遠程登錄。
剩下的就是其他各種服務的安全設置了，比如
apache
設置禁止代碼訪問
web
目錄之外的數據，ftp
也進行許可權控制，資料庫限制訪問來源
IP
。
這都是細節的東西，強密碼根本不是提高安全的做法，因為他是計算機系統安全所必須的要求。

④ 如何檢查linux mysql密碼安全設置

現象
一線的工程師反映了一個奇怪的現象，剛剛從 MySQL 官網上下載了一個 MySQL 5.7.31。安裝完成後，發現使用任何密碼都能登陸 MySQL，修改密碼也不管用，重新啟動 MySQL 也不能解決。

分析
懷疑使用了 --skip-grant-tables 使用 mysqld --print-defaults 檢查，沒有發現。
檢查登陸用戶，都是 root@localhost，說明和 proxy user 沒有關系。
使用 mysql --print-defaults 檢查客戶端是否設置默認的用戶和密碼，沒有發現。
檢查資料庫中的用戶和密碼的相關欄位：
發現一切都正常，再檢查 plugin 欄位，發現只有 root 用戶是 auth_socket ，其它的用戶都是 mysql_native_password，問題可能就出在這兒。

對 auth_socket 驗證插件不了解，感覺是這個插件不安全，使用下面的命令修改後，問題解決：
update user set plugin="mysql_native_password" where user='root';
auth_socket 驗證插件的使用場景
問題解決後，又仔細研究了一下 auth_socket 這個插件，發現這種驗證方式有以下特點：
首先，這種驗證方式不要求輸入密碼，即使輸入了密碼也不驗證。這個特點讓很多人覺得很不安全，實際仔細研究一下這種方式，發現還是相當安全的，因為它有另外兩個限制；
只能用 UNIX 的 socket 方式登陸，這就保證了只能本地登陸，用戶在使用這種登陸方式時已經通過了操作系統的安全驗證；
操作系統的用戶和 MySQL 資料庫的用戶名必須一致，例如你要登陸 MySQL 的 root 用戶，必須用操作系統的 root 用戶登陸。
auth_socket 這個插件因為有這些特點，它很適合我們在系統投產前進行安裝調試的時候使用，而且也有相當的安全性，因為系統投產前通常經常同時使用操作系統的 root 用戶和 MySQL 的 root 用戶。當我們在系統投產後，操作系統的 root 用戶和 MySQL 的 root 用戶就不能隨便使用了，這時可以換成其它的驗證方式，可以使用下面的命令進行切換：
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'test';

⑤ Linux使用密碼保護文件夾或目錄

假設您的Linux主目錄中有一個文件夾，您可以在其中存儲您不希望任何人在沒有密碼的情況下訪問的安全文檔文件。這樣，即使有人設法佔用您的計算機並訪問您的主目錄，您的私人文件仍然有另一道防線。

Cryptkeeper是一個管理加密文件夾的Linux系統托盤小程序。在它下面，EncFS是一個基於FUSE的加密文件系統，它處理透明的加密/解密。

在本教程中，我將介紹如何使用Cryptkeeper密碼保護Linux上的文件夾。

在Fedora中安裝Cryptkeeper

您可以從Fedora的基礎存儲庫安裝Cryptkeeper：

$ sudo yum install cryptkeeper

安裝完成後，轉到「應用程序」 - >「系統工具」 - >「Cryptkeeper」啟動Cryptkeeper。

Cryptkeeper指示燈將顯示在右上角的桌面面板中。單擊指示器，然後選擇「新加密文件夾」以創建新的加密文件夾。

選擇要保護密碼的文件夾的名稱及其位置。

輸入新加密文件夾的密碼。單擊「轉發」按鈕後，它將創建一個新的加密文件夾。

要訪問加密文件夾，您需要先打開它。要打開現有的加密文件夾，請單擊Cryptkeeper指示器，然後單擊文件夾名稱。系統將提示您輸入密碼。文件夾打開後，您可以自由訪問其中的內容。要再次使用密碼保護文件夾，只需單擊Cryptkeeper指示器中的文件夾名稱即可關閉該文件夾。

如果要將Cryptkeeper指示器設置為在桌面上自動啟動，請選擇「設置」下的「會話和啟動」菜單。

在「Application Autostart」選項卡下添加Cryptkeeper。

在Ubuntu，Debian或Linux Mint中安裝Cryptkeeper

要在基於Debian的Linux上安裝Cryptkeeper，請使用apt-get命令。

$ sudo apt-get install cryptkeeper

在Ubuntu上，您可以通過Unity

Dash啟動Cryptkeeper。在Debian或Linux Mint上，轉到「Applications」 - >「System

Tools」 - >「Cryptkeeper」以啟動Cryptkeeper。

注意：在最新版本的Ubuntu桌面（例如，12.04,12.10和13.04）上，由於系統托盤的新白名單消除策略，Cryptkeeper指示符不會顯示在Unity的頂部面板通知區域中。要解決此問題，請首先獲取「systray-whitelist」值，然後將「Cryptkeeper」附加到現有白名單，如下所示。

$ gsettings get com.canonical.Unity.Panelsystray-whitelist

['JavaEmbeddedFrame'，'Wine'，'Update-notifier']

$ gsettings set com.canonical.Unity.Panel

systray-whitelist「['JavaEmbeddedFrame'，'Wine'，'Update-notifier'，'Cryptkeeper']」

如果您希望Cryptkeeper指示燈永久顯示在您的Ubuntu桌面上，請通過Dash啟動「啟動應用程序」菜單，並將Cryptkeeper添加為啟動程序。

轉自 嘉為教育-rhce認證_rhce培訓_linux培訓_linux認證_linux考證

⑥ linux 密碼安全問題

不是，這個可以對單用戶設置密碼的，不過要在安裝系統的時候設置，安裝linux系統的時候，有一個選擇操作系統優先順序的選項的頁面，就可以對單用戶設置密碼，系統裝好後，可以設置，但是比較麻煩。

⑦ 如何保證Linux操作系統下的密碼安全

密碼安全概述
自從人類開始使用電腦以來，主要是靠密碼來限制對系統的訪問。雖然軟硬體的更新換代不斷，但依靠密碼來保護系統這一原則仍然沒有改變。選擇密碼似乎是很平常的是，但用戶的系統安全完全基於密碼的強壯性。
一個簡單、容易猜出的密碼等於敞開了系統的大門－攻擊者一旦獲取密碼就可以長驅直入。一個足夠強度的密碼需要幾年的時間去破解，而一個脆弱的密碼在一分鍾內就沒有任何秘密可言。以下幾個問題涉及密碼的設置：
● 是否按照公開的標准來設置密碼；
● 密碼是否加密；● 密碼是否使用shaow；
● 回答上述問題將有助於了解Linux系統密碼是否安全。
強制密碼設置規范
密碼安全的第一步是選擇難於猜測的密碼。不幸的是，用戶傾向於選擇容易記憶的密碼－但同時也容易被黑客破解。記住密碼當然重要，但更重要的是確保密碼的安全，因此建議不要選擇小孩的名字、寵物名字或是配偶的生日，用戶需要設置黑客難於猜測、破解的密碼。
採用大小寫字元組成密碼對提高安全度很有幫助，盡管這並非是唯一提升安全強度的方法，但對付黑客的暴力破解很有效（黑客往往使用字典破解法對密碼進行窮舉，直到找到匹配密碼為止）。作者也見過採用隨機生成的密碼，但在很多情況下，最好的密碼既要有強壯性，又要讓用戶容易記住。本文提供一種方法建立既強壯又便於記憶的密碼。
上面談到的很多都似乎是常識，但困難在於如何讓所有的Linux用戶遵循系統管理員規劃好的密碼設置規范。在Linux系統中，大多數版本的Passwd（系統中進行密碼設置的軟體）可以配置一定的規范來定義用戶的密碼，例如要求用戶設置的密碼不得少於6個字元，其中必須還要包括至少2個數字。筆者推薦Npasswd這個軟體可以完全替代Linux系統中的Passwd，該軟體可以檢查用戶所要設置的密碼是否足夠強壯。建議系統管理員最先從這里入手，為所有的用戶規定密碼設置規范。
針對目前的密碼資料庫，系統管理員可以使用多種工具來審核密碼安全。類似Crack 和John the Ripper可以讓你對系統密碼進行測試。越簡單的密碼，上述工具破解（也就是猜到）的就越快。這種工具嘗試破解/ect/passwd/目錄下面的密碼文件並輸出結果。猜出的密碼越多說明貴單位的漏洞也就越多。系統管理員可以選擇禁止某些不安全帳戶，雖然方法簡單但並非一直可以這樣做。最好的辦法是給黑客訪問相應目錄和文件設置障礙，讓黑客無法輕易獲取密碼資料庫文件並進行破解。
密碼資料庫的保護手段
下一步要確定密碼交給不妥當的用戶。安全是基於用戶級的，密碼安全不僅僅是設置安全的密碼，還要防止用戶把密碼記下來並隨手亂放。把密碼記錄在明文文檔內或是錢包的紙片中，都不是可取的方式。請盡可能的以加密手段來存儲和記錄密碼。
另有一個可選的方式是給密碼做shadow。shadow passwords根據標準的/etc/passwd/目錄下的密碼文件生成，但它保存在獨立的加密文件中（只能被許可權最高的Root用戶讀取）。系統中的程序仍然可以使用/etc/passwd下的密碼文件，訪問類似用戶ID（UID）以及組ID（GID）等信息，但不是加密的密碼。這給密碼的安全程度又增加了一層保障，這意味著黑客必須獲得Root許可權後才能訪問加密的密碼庫文件。在Red Hat系統中，pwconv工具能夠把非shadow 密碼轉換成shadow密碼格式。請注意，各個版本的Linux系統的類似工具在使用中各有不同，請參照您的文檔來完成上述工作。
總結系統管理員可以採取各種策略來確保密碼安全。但首先要讓用戶們明白密碼安全的重要性，同時制定密碼策略來強制密碼設置規范。這包括確定可接受的密碼設置要求、更換密碼的時限、密碼需要包含多少字元等等。系統管理員還可以運行檢測工具來查找密碼資料庫的安全漏洞。

⑧ 如何做好Linux伺服器安全維護

首先，這些惡意的攻擊行為，旨在消耗伺服器資源，影響伺服器的正常運作，甚至攻擊到伺服器所在網路癱瘓。還有一方面，就是入侵行為，這種大多與某些利益有關聯，有的涉及到企業的敏感信息，有的是同行相煎。
第一，做好硬體維護
當處理數據越來越多，佔用資源也隨之增多時，伺服器就需要更多的內存和硬碟容量來儲存這些資源，因此，每隔段時間後伺服器需要升級，可是需要注意的增加內存或者硬碟時，要考慮到兼容性、穩定性，否則不同型號的內存有可能會引起系統出錯。
還有對設備進行卸載和更換時，需要仔細閱讀說明書，不要強行拆卸，而且必須在完全斷電，伺服器接地良好的情況下進行，防止靜電對設備造成損壞。
同樣，伺服器的最大殺手塵土，因此需要定期給伺服器除塵。特別要注意電源的除塵。
第二，做好數據的備份
對企業來說，伺服器上的數據是非常寶貴，如果資料庫丟失了，損失是非常巨大的，因此，企業需對數據進行定期備份，以防萬一。一般企業都需要每天對伺服器上的數據進行備份，而且要將備份數據放置在不同伺服器上，
數據需要備份，同樣需要防盜。可以通過密碼保護好磁帶並且如果你的備份程序支持加密功能，你還可以加密這些數據。同時，要定好備份時間，通常備份的過程會選擇在晚上10點以後進行，到半夜結束。
第三，定期做好網路檢查
第四，關閉不必要的服務，只開該開的埠
對於初學者，建議在所有的工作站上使用Windows 2000。Windows 2000是一個非常安全的操作系統。如果你並不想這樣做，那麼至少使用Windows NT。你可以鎖定工作站，使得一些沒有安全訪問權的人想要獲得網路配置信息變得困難或是不可能。
或者關閉那些不必要開的服務，做好本地管理和組管理。Windows系統有很多默認的服務其實沒必要開的，甚至可以說是危險的，比如：默認的共享遠程注冊表訪問(Remote Registry Service)，系統很多敏感的信息都是寫在注冊表裡的，如pcanywhere的加密密碼等。
關閉那些不必要的埠。一些看似不必要的埠，確可以向黑客透露許多操作系統的敏感信息，如windows 2000 server默認開啟的IIS服務就告訴對方你的操作系統是windows 2000。69埠告訴黑客你的操作系統極有可能是linux或者unix系統，因為69是這些操作系統下默認的tftp服務使用的埠。對埠的進一步訪問，還可以返回該伺服器上軟體及其版本的一些信息，這些對黑客的入侵都提供了很大的幫助。此外，開啟的埠更有可能成為黑客進入伺服器的門戶。
以上是伺服器日常操作安全維護的一些技巧。

⑨ 如何保證Linux操作系統下的密碼安全

可以增加密碼的強度呀，比如添加數字，小寫字母，大寫字母，特殊的標點符號，混著來就行，不過你別自己忘了，如果是個人設備的話，在grub裡面重置下也行，網上也有好多方法，推薦參考《Linux就該這樣學》，不錯的參考書籍，這本書自己的官網，都是和Linux及相關資訊，每天都有更新的，希望可以幫助到你。

⑩ Linux伺服器的安全防護都有哪些措施

一、強化密碼強度
只要涉及到登錄，就需要用到密碼，如果密碼設定不恰當，就很容易被黑客破解，如果是超級管理員(root)用戶，如果沒有設立良好的密碼機制，可能給系統造成無法挽回的後果。
很多用戶喜歡用自己的生日、姓名、英文名等信息來設定，這些方式可以通過字典或者社會工程的手段去破解，因此建議用戶在設定密碼時，盡量使用非字典中出現的組合字元，且採用數字與字元、大小寫相結合的密碼，增加密碼被破譯的難度。
二、登錄用戶管理
進入Linux系統前，都是需要登錄的，只有通過系統驗證後，才能進入Linux操作系統，而Linux一般將密碼加密後，存放在/etc/passwd文件中，那麼所有用戶都可以讀取此文件，雖然其中保存的密碼已加密，但安全系數仍不高，因此可以設定影子文件/etc/shadow，只允許有特殊許可權的用戶操作。
三、賬戶安全等級管理
在Linux操作系統上，每個賬戶可以被賦予不同的許可權，因此在建立一個新用戶ID時，系統管理員應根據需要賦予該賬號不同的許可權，且歸並到不同的用戶組中。每個賬號ID應有專人負責，在企業中，如果負責某個ID的員工離職，該立即從系統中刪除該賬號。
四、謹慎使用"r"系列遠程程序管理
在Linux操作系統中，有一系列r開頭的公用程序，如rlogin、rcp等，非常容易被不法分子用來攻擊我們的系統，因此千萬不要將root賬號開放給這些公用程序，現如今很多安全工具都是針對此漏洞而設計的，比如PAM工具，就可以將其有效地禁止掉。
五、root用戶許可權管理
root可謂是Linux重點保護對象，因為其權利是最高的，因此千萬不要將它授權出去，但有些程序的安裝、維護必須要求是超級用戶許可權，在此情況下，可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。
六、綜合防禦管理
防火牆、IDS等防護技術已成功應用到網路安全的各個領域，且都有非常成熟的產品，需要注意的是：在大多數情況下，需要綜合使用這兩項技術，因為防火牆相當於安全防護的第一層，它僅僅通過簡單地比較IP地址/埠對來過濾網路流量，而IDS更加具體，它需要通過具體的數據包(部分或者全部)來過濾網路流量，是安全防護的第二層。綜合使用它們，能夠做到互補，並且發揮各自的優勢，最終實現綜合防禦。