1、考虑到安全因素,用户希望把服务器上的root用户进行重命名,于是把/etc/passwd文件和/etc/shadow文件中的root修改为xxx。修改完毕后,测试正常,普通用户可以通过su – xxx的方式切换为特权用户。
2、后来看到有个pwconv命令,大概意思是通过passwd文件内容创建一个shadow文件。就想,这样好啊,不用修改两个文件了,我只需要修改/etc/passwd文件中的root为xxx后,只需要再执行pwconv命令岂不是更方便。于是,就按照这个思路做了。修改完毕后,测试普通用户su – xxx(新特权用户)时,总是报密码错误。但是普通用户weblogic登陆时,密码没有发生变化。不知道为什么会发生这样的情况?目测肯定和pwconv的工作机制有关,希望有高人来帮忙解释下。
3、由于发生了第2步的情况,于是我做了个实验:
(1)把/etc/passwd和/etc/shadow下的root用户名修改为新的用户xxx1
(2)运行pwconv命令
(3)使用su – xxx1切换用户名,仍然成功。
4、运行环境:RHEL6.6
5、刚刚又做了个实验,实验步骤:
(1)先备份/etc/passwd和/etc/shadow文件
(2)运行pwunconv,先把密码写回passwd文件
(3)再修改/etc/passwd文件中的root用户名为abcd
(4)再运行pwconv根据passwd文件重新创建shadow文件
(5)运行su – abcd,成功。
6、测测结论:
因此猜测pwconv的大致原理是否是:先扫描passwd文件查看哪行内容有改动,如果某行内容改动了。就根据本行的内容和/etc/login.defs中的值重新创建shadow文件。
至于为什么会出现第2步的情况,我想可能是系统本身已经启用了密码映射功能。此时系统中的passwd文件中的密码行都是”X”,那么这时运行pwconv时,新shadow文件中原root那行的密码部分的内容是根据”X”生成的,而不是根据密码值生成的。这样就造成了普通用户切换新的特权用户时,总是提示密码不正确。
而普通用户weblogic的内容在passwd中没有发生变化,所以新的shadow文件也不会对此进行任何修改。那么pwconv命令就没有影响到weblogic用户。
如果上面的猜测结论大致正确的话,就能更好的解释第5个实验为什么能够成功了。因为pwunconv命令先把密码写回到了passwd文件,此时再改root名,然后pwconv命令即可创建新的shadow文件,并且新的特权用户使用旧root密码登录是没问题的。
汗…
给最高权限账号进行重命名来提高所谓的安全,那是上一代连编程的搞不好的老一辈人的歪脑筋。建议你别这样搞,因为很多软件硬编码了root,如果你改了root,搞不好要出很多问题。
建议还是学学正规的安全教材,不要瞎搞。
嗯,改成 administrator 就安全了
晚上看的问题里最喜感的了,不得不回复,虽然跟答案无关
2699
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
