天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧系统 >> 正文

正确的处理Linux操作系统里的密码

2008-4-8赛迪网佚名

  在Linux里,有很多API函数是用来处理密码的,但是这只能解决一半的问题。你不得不使用好的密码处理办法。例如,只有在绝对必要的时候才使用纯文本密码这种(安全)策略。

  暴露纯文本(密码内容)的唯一机会是在进行身份验证时询问用户密码的时候。有一些可用的API函数能够减少这种风险,包括加密,这应该在获得用户密码之后立即进行。

  密码处理的第一条原则是,绝对不要将纯文本的密码写到磁盘上——即使是你会立即删掉的临时文件。一旦数据到了磁盘上,你在使用之后就很难保证数据没有丢失。

  虽然这个原则看起来似乎很简单,但是你必须要记住:Linux使用的是虚拟内存。如果你加载了交换分区,内存(里的内容)会在任何时候被写到磁盘上。为了防止密码缓冲区被写到交换分区上,你可以使用mlock API调用:

    
   const intsz = 25;
   char *buf = malloc(sz);
   mlock(buf, sz);
   memset(buf, 0, sz);

    
为了确保缓冲区真的被锁定了,你必须至少向每个内存页写入一个值。

  另一个重要的原则是,决不要将输入的密码反馈到终端上。你可以编写自己的函数或者使用getpass函数,它像下面这样工作:

    
   const char prompt[] = "Password: ";
   char *pword = NULL;
   pword = getpass(prompt);

    
有时候你无法使用getpass。在这样的情况下,你将需要编写自己的getpass函数。下面就是一个例子:

    
   #include <termios.h>
   #include <stdio.h>
  
   ssize_t
   my_getpass (char **lineptr, size_t *n, FILE *stream)
   {
   structtermios old, new;
   intnread;
  
   /* Turn echoing off and fail if we can't. */
   if (tcgetattr (fileno (stream), &old) != 0)
   return -1;
   new = old;
   new.c_lflag &= ~ECHO;
   if (tcsetattr (fileno (stream), TCSAFLUSH, &new) != 0)
   return -1;
  
   /* Read the password. */
   nread = getline (lineptr, n, stream);
  
   /* Restore terminal. */
   (void) tcsetattr (fileno (stream), TCSAFLUSH, &old);
  
   return nread;
   }
   return nread;
   }

    
很显然,传递到函数里的缓冲区应该首先被锁定。

  PAM是一个模块化的系统,它将验证、密码管理、会话管理,以及帐号管理抽象出来。它授权被编写用来同PAM一起工作的应用程序来使用各种模块,并允许这些模块被卸载或者被别的模块替换,而不需要重新编写应用程序。

  PAM允许你以一种安全的方式进行本文所讨论的所有事情,而不要在你为不同系统编写新应用程序的时候从头再来。除非有什么特定的理由不使用它,我都建议你使用PAM。你会发现它要比实现一个更老的系统或者编写一个你自己的系统更加理想。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行