我們通常這樣進行Linux弱口令檢測!

不是冷漠發表於2020-07-22

  在Internet環境中,過於簡單的口令是伺服器面臨的最大風險,對於管理員來說,即使找出這些弱口令賬號是非常必要的,這樣便於採取進一步的安全措施。

  這裡的話,弱口令檢測需要用到一款密碼破譯軟體--John the Ripper(官方下載地址:http://www.openwall.com/john/)(簡稱JR),通過使用JR,可以檢測Linux/Unix系統使用者賬號的密碼強度。具體步驟如下↓↓↓ 

  1.下載並安裝JR

在官網上下載獲取最新的穩定版原始碼包,如John-1.8.0.tar.gz

原始碼包John-1.8.0.tar.gz,解壓後可看到三個子目錄--doc、run、src,分別表示手冊文件、執行程式、原始碼檔案。

 2.切換到src子目錄執行“make clean linux-x86-64”命令,即可執行編譯過程。單獨執行make命令,將列出可用的編譯操作、支援的系統型別。

3.編譯完成後,run子目錄會生成一個名為John的可執行程式。

4.在安裝有JR的伺服器上可以直接對/etc/shadow檔案進行檢測,對於其他linux伺服器,可以對shadow檔案進行復制,並傳遞給John程式進行檢測。

對於密碼的暴力破解,字典檔案的選擇很關鍵。JR預設提供的字典檔案為password.lst,執行John程式時可以結合“--wordlist=”選項來指定檔案的位置,以便對指定的檔案進行暴力分析。

從上述結果可以看出,簡單的密碼安全性極低,這些弱口令賬戶可以進一步提升密碼強度,加強賬戶安全。

相關文章