在Internet環境中,過於簡單的口令是服務器面臨的最大風險,對於管理員來說,即使找出這些弱口令賬號是非常必要的,這樣便於采取進一步的安全措施。
這里的話,弱口令檢測需要用到一款密碼破譯軟件--John the Ripper(官方下載地址:http://www.openwall.com/john/)(簡稱JR),通過使用JR,可以檢測Linux/Unix系統用戶賬號的密碼強度。具體步驟如下↓↓↓
1.下載並安裝JR
在官網上下載獲取最新的穩定版源碼包,如John-1.8.0.tar.gz
源碼包John-1.8.0.tar.gz,解壓后可看到三個子目錄--doc、run、src,分別表示手冊文檔、運行程序、源碼文件。
2.切換到src子目錄執行“make clean linux-x86-64”命令,即可執行編譯過程。單獨執行make命令,將列出可用的編譯操作、支持的系統類型。
3.編譯完成后,run子目錄會生成一個名為John的可執行程序。
4.在安裝有JR的服務器上可以直接對/etc/shadow文件進行檢測,對於其他linux服務器,可以對shadow文件進行復制,並傳遞給John程序進行檢測。
對於密碼的暴力破解,字典文件的選擇很關鍵。JR默認提供的字典文件為password.lst,執行John程序時可以結合“--wordlist=”選項來指定文件的位置,以便對指定的文件進行暴力分析。
從上述結果可以看出,簡單的密碼安全性極低,這些弱口令賬戶可以進一步提升密碼強度,加強賬戶安全。