“Теневые пароли”
Как мы уже рассмотрели выше, традиционная схема парольной защиты в UNIX имеет ряд уязвимых мест. И хотя взломать парольный файл совсем не просто, имеет смысл использовать ряд относительно простых средств, которые снижают вероятность проникновения в систему. Один из путей состоит в использовании механизма “теневых паролей” (shadow passwords), при котором парольный файл /etc/passwd более не содержит самих паролей, пусть даже и зашифрованных, но доступных всем желающим. Набор программных средств, реализующих подобную схему защиты получил название Shadow Suite.
Изначально дистрибутивы Linux не включают процедур установки Shadow Suite. Это относится к таким распространенным версиям, как Slackware 2.3, Slackware 3.0 и многим другим. Одна из причин такого подхода состоит в том, что изначально Shadow Suite не распространялась беслпатно, как Linux, и не могла быть включена в дистрибутивы. Сегодня ситуация изменилась, и разработчик версии Suite для Linux Marek Michalkiewicz <marekm@i17linuxb.ists.pwr.wroc.pl> утверждает, что в следующих версиях дистрибутивов ShadowsSuite будет устанавливаться по умолчанию. Пока же вам придется поработать руками и головой самостоятельно.
При установке парольной системы Shadow вы должны прежде всего зарегистрироваться под идентификатором root. Кроме того, поскольку выбудете вносить ряд серьезных изменений в системное программное обеспечение, настоятельно рекомендуется для всех рассматриваемых ниже программ приготовить резервные копии.
Уже сегодня вы можете воспользоваться дистрибутивом Shadow Suite, который помещается в виде отдельного пакета на многих компакт-дисках. При этом часть программного обеспечения, как показывает практика, может быть уже установлена, поскольку входит в состав других пакетов.
Но давайте рассмотрим, что же нового в проблему защиты Linux-системы вносит появление Shadow Suite. Прежде всего, пакет осуществляет перемещение критической информации — пользовательских паролей в другой файл (обычно это /etc/shadow). Этому файлу назначается в максимальной степени ограниченный доступ — его может читать и писать только системный администратор. Программам регистрации в ряде случаев нет нужды в изменении файла паролей, а только необходимо проверить правильность пароля, введенного пользователем. Поэтому такие программы могут либо запускать временный иднтификатор root (с помощью suid), или же вы можете создать специальную группу пользователей, которой разрешено только чтение файла /etc/shadow. В этом случае вы сможете ограничить права верификатора присвоением ему группы shadow (с помощью вызова sgid).
С помощью такой несложной операции мы обеспечим эффективное блокирование доступа злоумышленника к зашифрованным парольным файлам, и, таким образом, предотвратим угрозу “атаки со словарем”. Кроме того, Shadow Suite обладает еще несколькими привлекательными возможностями:
·
Конфигурационный файл, позволяющий установить настройки программы регистрации (/etc/login.defs);
· Утилиты для добавления, модификации и удаления пользовательских счетов и групп;
· Контроль старения и ликвидации паролей;
· Блокирование пользовательских счетов;
· Теневые пароли для пользовательских групп;
· Пароли двойной длины (16 символов) — НЕ РЕКОМЕНДУЕТСЯ!
·
Более тщательный контроль за качеством выбора паролей, который осуществляется каждым пользователем самостоятельно;
· Пароли для входящих соединений;
· Дополнительные программы аутентификации — НЕ РЕКОМЕНДУЕТСЯ!.