计算环境安全之操作系统安全机制中标识与鉴别二

◇Linux的身份标识与鉴别

Linux使用用户标识号(User ID，UID)来标识和区别不同的用户。UID是0-65535之间的一个整数值，在系统内部管理进程和文件保护时使用UID字段，在某些特定目的下，系统中可以存在多个拥有不同注册名、但UID相同的用户，事实上，这些使用不同注册名的用户实际上是同一个用户。

Linux的用户信息存储在/etc/passwd中（早期的passwcl中包含了用户的密码散列），该文件用于用户登录时校验用户的登录名、加密的口令数据项、用户ID(UID)、默认的用户分组ID(GID)、用户信息、用户登录目录以及登录后使用的shell。这个文件的每一行保存一 个用户的资料，而用户资料的每一个数据项采用户冒号“：”分隔，格式如下所示：注册名：口令：用户标识号：组标识号：用户名：用户主目录：命令解释程序shell/etc/passwd文件是全局可读，意味着攻击者是可以看到所有用户的口令散列，包括root的口令，虽然使用了不可逆的加密算法如DES来加密口令，但由于算法是公开的，因此攻击者仍然可以使用散列来获取口令。针对这一问题，linux系统使用“shadow”文件机制，将用户口令散列转移到该文件中，shadow文件只有root可读可写，而同时/etc/passwcl文件的密文域显示为一个x，从而保护用户口令避免泄露。