口令可以说是linux系统的第一道防线，目前网络上大部分的系统入侵都是从猜测口令或者截获口令开始的，所以口令安全至关重要。因此，在此列举一此基本的linux的口令安全配置方案，以供系统管理员参考。
　　首先要杜绝不设口令的帐号存在。这可以通过查看/etc/passwd文件来发现。例如，存在用户名为test的帐号，没有设置口令，则在/etc/passwd文件中就有如下一行：test::100:9::/home/test:/bin/bash 其第二项为空，说明test这个帐号没有设置口令，这是非常危险的！应将该类帐号删除或者设置口令。
　　其次，在旧版本的linux中，在/etc/passwd文件中是包含有加密的密码的，这就给系统的安全性带来了很大的隐患，最简单的方法就是可以用暴力破解的方法来获得口令（如，用John等工具）。可以使用命令/usr/sbin/pwconv或者/usr/sbin/grpconv来建立/etc/shadow或者/etc/gshadow文件，这样在/etc/passwd文件中不再包含加密的密码，而是放在/etc/shadow文件中，该文件只有超级用户root可读！
　　第三点是修改一些系统帐号的Shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的Shell变量置空，例如设为/bin/false或者/dev/null等，也可以使用usermod -s /dev/null username命令来更改username的Shell为/dev/null。这样使用这些帐号将无法Telnet远程登录到系统中来！ 

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点