在互联网上运行的系统,安全性非常重要。对大多数的系统来说,验证登录用户的账号和密码是保护系统的第一道防线,本节课我们就来详细讨论一下 Linux 系统中账户密码的验证过程,主要包括以下几方面的的内容:
- Linux 验证登录用户的步骤;
- Linux 对用户敏感账户信息的保护手段;
- 通过量化的计算让读者对 Linux 的安全性有直观的体会。
11.1 Linux 验证登录用户
不管是本地登录,还是远程终端登录,都需要对登录的用户进行合法性检验,常见的用户验证方法有两种:用户名密码登录和证书登录。本节课我们只讨论用户名密码登录。
11.1.1 密码验证方法
用户名密码验证的原理非常简单,就是对比一下输入与预设是否匹配,如果匹配,则登录成功,否则登录失败。
但是这里有个非常重要的问题,就是密码不可以明文保存。因为一旦系统被攻破,那么所有用户的密码信息就会完全被暴露。
在过去的 2018 年就发生过多起网站被攻破,明文密码被泄露的安全事件。现在每个人都会有那么几十个各个网站的账号,为了好记,很多人都会在不同的网站使用相同用户名和密码。所以,一旦让不法分子拿到用户在某个网站的明文账户信息,他就会用相同的账户去尝试登录其他的网站,这就叫撞库。所以,