Linux操作系统root账号密码获取防范技术研究

本节的主要研究内容包括：
1）使用普通用户权限记录root密码
2）使用SSH后门方法记录root密码
3）安装Rootkit后门程序记录root账号密码
4）通过John工具破解Shadow密码
5）使用Sulog后门记录SU密码


/etc/shadow文件的内容包括9个段位，每个段位之间用冒号分割
第1字段：用户名
第2字段：密码（已被加密）
第3字段：上次修改口令的时间
第4字段：两次修改口令的最短间隔天数
第5字段：两次修改口令的最长间隔天数
第6字段：设置提前多少天警告用户口令将过期
第7字段：口令过期之后多少天禁用此用户
第8字段：用户过期日期
第9字段：保留字段


获取当前系统账号的密码加密算法：
目前有SHA-256、SHA-512和MD5加密算法
authconfig --test|grep hashing
cat /etc/shadow|grep root

Linux/UNIX操作系统目前采用了5种加密算法，
可以通过加密后的密码值来识别，主要是通过账号后面的$X进行判断
$1表示MD5加密算法，
$2表示使用Blowfish加密算法，
$5表示使用SHA-256加密算法，
$6表示使用SHA-512加密算法，
其余为标准的DES

Linux root密码方法研究
1．键盘记录获取法
Keylogger、Keylog
2．嗅探
Linux中可以使用Dsniff嗅探root账号的登录口令
通过抓取其他服务的密码获取root密码，例如FTP、SMB
3．替换关键程序法
一种是网上使用的fakesu.c程序，另一种是获取root权限后替换SU程序。
4．暴力破解法
（1）在线网站破解法
（2）John软件破解法
（3）SSH暴力破解
Linux root账号密码防范技术
1．安全技术防范
（1）设置强健的账号密码安全策略
密码位数至少10位以上，设置密码包含大小写字母、数字和特殊字符
（2）定期升级系统补丁和应用程序补丁
对高风险业务程序做降权处理，尽量以低权限运行
（3）定期对系统进行Rootkit专用检测
Rootkit Hunter和Chkrootkit
2．SSH账号防暴力破解
修改SSH默认端口、采用RSA公钥认证、使用IPTables脚本、使用SSHD日志过滤、使用tcp_wrappers过滤及使用knockd
3．建立完善的入侵应急响应制度