在Internet環境中,過於簡單的口令是伺服器面臨的最大風險,對於管理員來說,即使找出這些弱口令賬號是非常必要的,這樣便於採取進一步的安全措施。
這裡的話,弱口令檢測需要用到一款密碼破譯軟體--John the Ripper(官方下載地址:http://www.openwall.com/john/)(簡稱JR),通過使用JR,可以檢測Linux/Unix系統使用者賬號的密碼強度。具體步驟如下↓↓↓
1.下載並安裝JR
在官網上下載獲取最新的穩定版原始碼包,如John-1.8.0.tar.gz
原始碼包John-1.8.0.tar.gz,解壓後可看到三個子目錄--doc、run、src,分別表示手冊文件、執行程式、原始碼檔案。
2.切換到src子目錄執行“make clean linux-x86-64”命令,即可執行編譯過程。單獨執行make命令,將列出可用的編譯操作、支援的系統型別。
3.編譯完成後,run子目錄會生成一個名為John的可執行程式。
4.在安裝有JR的伺服器上可以直接對/etc/shadow檔案進行檢測,對於其他linux伺服器,可以對shadow檔案進行復制,並傳遞給John程式進行檢測。
對於密碼的暴力破解,字典檔案的選擇很關鍵。JR預設提供的字典檔案為password.lst,執行John程式時可以結合“--wordlist=”選項來指定檔案的位置,以便對指定的檔案進行暴力分析。
從上述結果可以看出,簡單的密碼安全性極低,這些弱口令賬戶可以進一步提升密碼強度,加強賬戶安全。