Linux用戶管理主要分為兩方面：密碼管理，以及用戶與用戶組的管理。下面將對(duì)這兩方面分別進(jìn)行闡述。

　　1. 密碼管理

　　密碼是用戶登錄Linux系統(tǒng)的鑰匙，如果沒(méi)有鑰匙總是要費(fèi)一番力氣后，才能登錄到目標(biāo)操作系統(tǒng)。無(wú)論入侵者采用何種遠(yuǎn)程攻擊，如果無(wú)法獲得管理員或超級(jí)管理員的用戶密碼，就無(wú)法完全控制整個(gè)系統(tǒng)。若想訪問(wèn)系統(tǒng)，最簡(jiǎn)單也是必要的方法就是竊取用戶的密碼。因此，對(duì)系統(tǒng)管理員賬戶來(lái)說(shuō)，最需要保護(hù)的就是密碼，如果密碼被盜，也就意味著災(zāi)難的降臨。

　　入侵者大多是通過(guò)各種系統(tǒng)和設(shè)置漏洞，獲得管理員密碼來(lái)獲得管理員權(quán)限的，然后，再實(shí)現(xiàn)對(duì)系統(tǒng)的惡意攻擊。賬號(hào)的弱密碼設(shè)置會(huì)使入侵者易于破解而得以訪問(wèn)計(jì)算機(jī)和網(wǎng)絡(luò)，而強(qiáng)密碼則難以破解，即使是密碼破解軟件也難以在短時(shí)間內(nèi)辦到。密碼破解軟件一般使用3種方法進(jìn)行破解：字典猜解、組合猜解和暴力猜解。毫無(wú)疑問(wèn)，破解強(qiáng)密碼遠(yuǎn)比破解弱密碼困難得多。因此，系統(tǒng)管理員賬戶必須使用強(qiáng)密碼。

　　據(jù)統(tǒng)計(jì)，大約80%的安全隱患是由于密碼設(shè)置不當(dāng)引起的。因此，密碼的設(shè)置無(wú)疑是十分講究技巧的。在設(shè)置密碼時(shí)，請(qǐng)遵守密碼安全設(shè)置原則，該原則適用于任何使用密碼的場(chǎng)合，既包括Windows操作系統(tǒng)，也包括UNIX/Linux操作系統(tǒng)。

　　John the Ripper是一個(gè)工具軟件，用于在已知密文的情況下嘗試破解出明文的破解密碼軟件。目前的最新版本是JOHN1.7版，主要支持對(duì)DES、MD5兩種加密方式的密文進(jìn)行破解工作。它可以工作于多中不同的機(jī)型以及多種不同的操作系統(tǒng)之下，目前已經(jīng)測(cè)試過(guò)能夠正常運(yùn)行的操作系統(tǒng)有：Linux x86、freeBSD、x86、Solaris、SPARC、OSF/1 Alpha、DOS、WinNT/WinXP系列等。

　　John the Ripper官網(wǎng)：http://www.openwall.com/john/

　　John the Ripper 1.7是目前比較好的破解密碼工具，在解密過(guò)程中會(huì)自動(dòng)定時(shí)存盤(pán)，用戶可以強(qiáng)迫中斷解密過(guò)程(使用ctrl+c組合鍵)，下次還可以從中斷的地方繼續(xù)進(jìn)行下去(john-restore命令)。任何時(shí)候敲擊鍵盤(pán)，用戶都可以看到整個(gè)解密的進(jìn)行情況，所有已經(jīng)被破解的密碼會(huì)被保存在當(dāng)前目錄下的JOHN.POT文件中，SHADOW中所有密文相同的用戶會(huì)被歸成一類，這樣JOHN就不會(huì)進(jìn)行無(wú)謂的重復(fù)勞動(dòng)了。在程序的設(shè)計(jì)中，關(guān)鍵的密碼生成的條件被放在JOHN.INI文件中，用戶可以自行修改設(shè)置，不僅支持單詞類型的變化，而且支持自己編寫(xiě)C的小程序限制密碼的取值方式。

　　在使用該軟件前，我們可以從網(wǎng)上下載其最新版本john-1.7.3.4 for Linux版本，它包含DOC、SRC和RUN三個(gè)目錄，在SRC目錄下，在機(jī)器上執(zhí)行如下命令即可：

　　#make

　　#make clean linux-x86-any

　　安裝好后，可以切換到RUN目錄下，進(jìn)行測(cè)試，如下所示：

　　#cd ../run

　　#./john –test

　　John the ripper提供了如下多達(dá)10余種的命令，供用戶選擇使用：

　　pwfile:[,..]：用于指定存放密文所在的文件名，(可以輸入多個(gè)，文件名一我“，”分隔，也可以使用*或者 這兩個(gè)通配符引用一批文件)。也可以不使用此參數(shù)，將文件名放在命令行的最后即可。

　　wordfile:<字典文件名>-stdin：指定的用于解密用的字典文件名。也可以使用STDIO來(lái)輸入，就是在鍵盤(pán)中輸入。

　　rules：在解密過(guò)程中使用單詞規(guī)則變化功能。如將嘗試cool單詞的其他可能，如COOLER、Cool等，詳細(xì)規(guī)則可以在JOHN.INI文件中的[List.Rules:Wordlist]部分查到。

　　incremental[:<模式名稱>]：使用遍歷模式，就是組合密碼的所有可能情況，同樣可以在JOHN.INI文件中的[Incremental:*****]部分查到。

　　single：使用單一模式進(jìn)行解密，主要是根據(jù)用戶名產(chǎn)生變化來(lái)猜測(cè)解密，可以消滅比較低級(jí)的用戶。其組合規(guī)則可以在JOHN.INI文件中的[List.Rules:Single]部分查到，我們?cè)谙旅嬖敿?xì)解釋。

　　external:<模式名稱>：使用自定義的擴(kuò)展解密模式,用戶可以在john.ini中定義自己需要的密碼組合方式。JOHN也在INI文件中給出了幾個(gè)示例，在INI文件的[List.External:******]中所定義的自訂破解功能。

　　restore[:<文件名>]：繼續(xù)上次的破解工作，JOHN被中斷后，當(dāng)前的解密進(jìn)度情況被存放在RESTORE文件中，用戶可以拷貝這個(gè)文件到一個(gè)新的文件中。如果參數(shù)后不帶文件名，JOHN默認(rèn)使用RESTORE文件。

　　makechars:<文件名>：制作一個(gè)字符表,用戶所指定的文件如果存在，則將會(huì)被覆蓋。JOHN嘗試使用內(nèi)在規(guī)則在相應(yīng)密鑰空間中生成一個(gè)最有可能擊中的密碼組合，它會(huì)參考在JOHN.POT文件中已經(jīng)存在的密鑰。

　　sho