1、關於暴力破解shell
前幾天新購進了一臺阿里雲服務器,使用過程當中時常會收到「主機被暴力破解」的警告,警告信息以下:安全
雲盾用戶您好!您的主機:... 正在被暴力破解,系統已自動啓動破解保護。詳情請登陸http://i.aliyun.com/dashboard/instance?type=yundun.bash
一般暴力破解的是採用窮舉字典的方式嘗試遠程登錄,也就是咱們所說的「猜」密碼的方法。服務器
Linux系統安裝完後,超級管理員默認的用戶名是root,阿里雲服務器的默認級管理員也是root,一般提高安全的作法是修改root賬戶的登錄名,能夠增長破解難度,修改用戶名後阿里雲服務器的「主機被暴力破解」也不會再提示。ui
修改用戶名和密碼有兩個相關配置文件:/etc/passwd、/etc/shadow,下面會對這兩個文件進行詳述。阿里雲
2、passwd文件加密
passwd文件的位置在/etc/passwd,該配置文件存放了Linux全部賬號的信息,包括用戶名、密碼、用戶識別碼、用戶組識別碼、註釋、宿主目錄等,可使用「cat /etc/passwd」命令查看該文件。spa
passwd文件每行記錄表示一個用戶賬戶,由7個字段組成,用冒號分隔,格式以下:blog
username:password:User ID:Group ID:comment:home directory:shell進程
字段含義以下:
■ username
用戶名,它惟一地標識了一個用戶賬號。
■ password
用戶密碼,這裏用x表示,真實的密碼存放在/etc/shadow對應記錄行中。(最先期Linux系統的用戶密碼是放在此處哦)
■ User ID
用戶識別碼,簡稱UID。Linux系統內部使用UID來標識用戶,而不是用戶名。
UID是一個整數,用戶的UID互不相同,好比root用戶的UID:0;普通用戶UID:500-60000;僞用戶:1-499,如上圖,系統安裝後會有一些默認僞用戶,用於執行對應進程程序。
■ Group ID
用戶組識別碼,簡稱GID,對應的用戶組存放在/etc/group文件的記錄行中。不一樣的用戶能夠屬於同一個用戶組,享有該用戶組共有的權限。與UID相似,GID惟一地標識了一個用戶組。
■ comment
用戶註釋,能夠爲空。能夠存放用戶全名或其它一些信息
■ home directory
用戶宿主目錄,用戶登錄後的缺省目錄。通常來講,root賬號的主目錄是/root,其餘賬號的家目錄都在/home目錄下,而且和用戶名同名。
■ login command
命令解釋器,默認爲bash shell。如上圖,部份用戶記錄行的命令解釋器爲:/sbin/nologin,意思是指該用戶是不可登系統的。
3、shadow文件
shadow文件的位置在/etc/shadow,該配置文件存放了Linux全部賬號的信息,只有root權限才能夠瀏覽,包括用戶名、最後一次修改時間、最小時間間隔、最大時間間隔、警告時間、賬戶閒置時間、失效時間、標誌等,可使用「cat /etc/shadow」命令查看該文件。
shadow文件每行記錄表示一個用戶賬戶,由9個字段組成,用冒號分隔,各字段含義以下:
■ username
用戶名,它惟一地標識了一個用戶賬號。
■ password
用戶密碼,己用MD5進行加密。若是該字段爲空*,若是該字段爲空!!,若是該字段爲空,用戶能夠不須要密碼就能夠登錄。
■ Days since epoch of last password change
最後一次修改時間,用戶最後一次修改密碼的天數,以1970-1-1爲參考點進行計算。
■ Days until change allowed
最小時間間隔,兩次修改密碼之間的最小天數,若是該字段爲0,表示不限定。
■ Days before change required
最大時間間隔,密碼保持有效的最多天數,若是該字段爲99999,表示不限定。
■ Days warning for expiration
警告時間,從系統開始警告到密碼失效的天數。
■ Days before account inactive
賬號閒置時間,判斷用戶多久未登錄,若是該字段爲空,表示未閒置。
■ Days since Epoch when account expires
失效時間,密碼失效的絕對天數,若是該字段爲空,表示未失效。
■ Reserved
保留位,通常不使用。
4、相關配置和命令
■ pwconv
該命令將全部用戶密碼從/etc/passwd移動到/etc/shadow中。
■ pwunconv
該命令將全部用戶密碼從/etc/shadow恢復到/etc/passwd中。
■ /etc/skel
全部新建立用戶的信息配置文件在該目錄下,新建用戶時會拷貝該目錄下的全部文件到新建用戶的宿主目錄 ,默認是隱藏的。
■ /etc/login.defs
該配置文件是設置用戶賬號限制的文件,這裏的配置對root用戶無效。若是/etc/shadow文件裏有相同的選項,則以/etc/shadow裏的設置爲準,也就是說/etc/shadow的配置優先級高於/etc/login.defs。
■ /etc/default/useradd
該配置文件是設置新建用戶時的缺省選項。
■ /etc/motd
該配置文件是設置用戶登錄時的提示信息。