UNIX 操作系统安全检查列表(3)

　　2.1　UNIX系统帐号文件

　　2.1.1　Passwd文件剖析

　　■name:coded-passwd:UID:GID:user-info:home-directory:shell

　　passwd文件字段含义：

　　■7个域中的每一个由冒号隔开。

　　■name-给用户分配的用户名。

　　■Coded-passwd-经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号（ : * :）代替。该域通常不手工编辑。

　　■UID-用户的唯一标识号。习惯上，小于100的UID是为系统帐号保留的。

　　■UNIX系统帐号安全

　　■GID-用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。

　　■User_info-习惯上它包括用户的全名。邮件系统和finger这样的工具习惯使用该域中的信息。

　　■home-directory-该域指明用户的起始目录，它是用户登录进入后的初始工作目录。

　　■shell-该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个/bin/false值，这将阻止用户登录。

　　2.1.2　shadow文件

　　其内容中各字段含义：

　　■上一次修改口令的日期，以从1970年1月1日开始的天数表示。

　　■口令在两次修改间的最小天数。口令在建立后必须更改的天数。

　　■口令更改之前向用户发出警告的天数。

　　■口令终止后帐号被禁用的天数。

　　■自从1970年1月1日起帐号被禁用的天数。

　　■保留域。

　　2.2　UNIX系统帐号安全

　　2.2.1　禁用的口令

　　■不要选择简单字母序列组成的口令（例如"qwerty"或"abcdef"）。

　　■不要选择任何指明个人信息的口令（例如生日、姓名、配偶姓名、孩子姓名、电话号码、社会保障号码、汽车牌号、汽车执照号、居住的街道名称等）。

　　■不要选择一个与要替换的口令相似的新口令。

　　■不要选择一个包含用户名或相似内容的口令。

　　■不要选择一个短于6个字符或仅包含字母或数字的口令。

　　■不要选择一个所有字母都是小写或大写字母的口令。

　　■不要选择一个被作为口令范例公布的口令。

　　2.2.2　好的口令

　　■选择一个至少有10个字符长度的口令。

　　■选择一个包含非字母字符的口令，包括数字和特殊字符，如～ ! @ $ % ^　* （ ） _ - + ={ } [ ] | \ : ;' "　, . ? / 。

　　■选择一个容易记住而不必写下来的口令。

　　■选择一个不用看键盘而能迅速键入的口令，使偷看的人不能识别出键入的字符。

　　■禁止写下口令

　　2.2.3　安全缺省帐号

　　Linux系统中安全缺省帐号。