在Linux中如何從潛藏密碼遷移至tcb

小編給大家分享一下在Linux中如何從潛藏密碼遷移至tcb，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

潛藏密碼作為Linux產品的既定事實標準已經(jīng)有好多年了，md5密碼的運用亦是如此。但是，運用傳統(tǒng)的潛藏密碼要領也有不足之處，甚至md5也不像以前那么安全了。

潛藏密碼文件的一個缺點就是，任意一個須要查詢個別潛藏密碼(如您的密碼)的使用程序也可以看到其他人的潛藏密碼，這也就意味著任意一個可以讀取潛藏文件的惡意工具都能夠獲得別人的潛藏密碼。

除了潛藏，還有一個叫做tcb的可供選擇的辦法，它由Openwall Project編寫，可以從tcb主頁上獲取。遷移到tcb雖然須要做一些工作，但是相當直接。因為只有Openwall GNU/*/Linux、ALT Linux、和Annvix 直接支持tcb。要為您選擇的流通產品獲得tcb支持，您必須重新編輯多個程序，打上補丁。

從tcb站點上，您可以下載tcb程序，并將它和有關的pam_tcb和nss_tcb庫一起執(zhí)行 編輯。您還須要打上支持crypt_blowfish的glibc補丁(像SUSE一樣的有些產品可能已經(jīng)可以支持blowfish密碼，就不須要再打補丁了)。

也許您還想為shadow-utils組打上補丁;取決于您的產品所采用的shadow-utils的版本，您可以從Openwall CVS為shadow-utils 4.0.4.1或從Annvix SVN儲存庫為4.0.12獲得所需的補丁。像adduser、chage等這樣的工具中的Shadow-utils須要被打上補丁，提供tcb支持。在tcb頁面上有可以打glibc補丁的***crypt_blowfish的鏈接。一旦這些先決條件都滿足了，且tcb編譯和安裝以后，只需基本地將/etc/pam.d/*文件中的所有調用都替換為pam_unix.so和/或pam_pwdb.so就行了。然后就可以像列表A中那樣運用 pam_tcb.so了。

列表Aauth

required

pam_env.soauthrequiredpam_tcb.so shadow fork nullok prefix=$2a$ count=8account

requiredpam_tcb.so shadow forkpassword

requiredpam_passwdqc.so min=disabled,12,8,6,5 max=40 passphrase=3 match=4 similar=deny random=42 enforce=everyone retry=3password

requiredpam_tcb.so use_authtok shadow write_to=tcb fork nullok prefix=$2a$ count=8session

requiredpam_limits.sosession

requiredpam_tcb.so

如果您希望繼續(xù)運用

md5密碼，而不是blowfish密碼，將prefix=$2a$ count=8一條從密碼行移除，同時，您還須要修改/etc/nsswitch.conf，讓潛藏行改讀：

shadow: tcb nisplus nis

passwd程序須要sgid潛藏，而不是suid根，并且/etc/login.defs中要包括USE_TCB yes。這些完成以后，您就可以執(zhí)行/sbin/tcb_convert程序，將潛藏文件轉換成為適當?shù)膯我挥脩粑募?，這些文件將儲存在/etc/tcb/中。做完這些之后，移除/etc/shadow和/etc/shadow-文件，然后您的系統(tǒng)就可以運用 tcb了。

獲得tcb支持可能須要花點功夫，但遺憾的是更多的產品沒有提供支持，它們既沒有本地支持也沒有通過插件來支持。運用 tcb，連同blowfish密碼一起，會為您的Linux產品提供一個安全得多的密碼系統(tǒng)。

以上是“在Linux中如何從潛藏密碼遷移至tcb”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業(yè)資訊頻道！