在Linux中如何从潜藏密码迁移至tcb

共计 1724 个字符，预计需要花费 5 分钟才能阅读完成。

丸趣 TV 小编给大家分享一下在 Linux 中如何从潜藏密码迁移至 tcb，相信大部分人都还不怎么了解，因此分享这篇文章给大家参考一下，希望大家阅读完这篇文章后大有收获，下面让我们一起去了解一下吧！

潜藏密码作为 Linux 产品的既定事实标准已经有好多年了，md5 密码的运用亦是如此。但是，运用传统的潜藏密码要领也有不足之处，甚至 md5 也不像以前那么安全了。

潜藏密码文件的一个缺点就是，任意一个须要查询个别潜藏密码 (如您的密码) 的使用程序也可以看到其他人的潜藏密码，这也就意味着任意一个可以读取潜藏文件的恶意工具都能够获得别人的潜藏密码。

除了潜藏，还有一个叫做 tcb 的可供选择的办法，它由 Openwall Project 编写，可以从 tcb 主页上获取。迁移到 tcb 虽然须要做一些工作，但是相当直接。因为只有 Openwall GNU/*/Linux、ALT Linux、和 Annvix 直接支持 tcb。要为您选择的流通产品获得 tcb 支持，您必须重新编辑多个程序，打上补丁。

从 tcb 站点上，您可以下载 tcb 程序，并将它和有关的 pam_tcb 和 nss_tcb 库一起执行 编辑。您还须要打上支持 crypt_blowfish 的 glibc 补丁(像 SUSE 一样的有些产品可能已经可以支持 blowfish 密码，就不须要再打补丁了)。

也许您还想为 shadow-utils 组打上补丁; 取决于您的产品所采用的 shadow-utils 的版本，您可以从 Openwall CVS 为 shadow-utils 4.0.4.1 或从 Annvix SVN 储存库为 4.0.12 获得所需的补丁。像 adduser、chage 等这样的工具中的 Shadow-utils 须要被打上补丁，提供 tcb 支持。在 tcb 页面上有可以打 glibc 补丁的 ***crypt_blowfish 的链接。一旦这些先决条件都满足了，且 tcb 编译和安装以后，只需基本地将 /etc/pam.d/* 文件中的所有调用都替换为 pam_unix.so 和 / 或 pam_pwdb.so 就行了。然后就可以像列表 A 中那样运用 pam_tcb.so 了。

列表 Aauth

required

pam_env.soauthrequiredpam_tcb.so shadow fork nullok prefix=$2a$ count=8account

requiredpam_tcb.so shadow forkpassword

requiredpam_passwdqc.so min=disabled,12,8,6,5 max=40 passphrase=3 match=4 similar=deny random=42 enforce=everyone retry=3password

requiredpam_tcb.so use_authtok shadow write_to=tcb fork nullok prefix=$2a$ count=8session

requiredpam_limits.sosession

requiredpam_tcb.so

如果您希望继续运用

md5 密码，而不是 blowfish 密码，将 prefix=$2a$ count= 8 一条从密码行移除，同时，您还须要修改 /etc/nsswitch.conf，让潜藏行改读：

shadow: tcb nisplus nis

passwd 程序须要 sgid 潜藏，而不是 suid 根，并且 /etc/login.defs 中要包括 USE_TCB yes。这些完成以后，您就可以执行 /sbin/tcb_convert 程序，将潜藏文件转换成为适当的单一用户文件了，这些文件将储存在 /etc/tcb/ 中。做完这些之后，移除 /etc/shadow 和 /etc/shadow- 文件，然后您的系统就可以运用 tcb 了。

获得 tcb 支持可能须要花点功夫，但遗憾的是更多的产品没有提供支持，它们既没有本地支持也没有通过插件来支持。运用 tcb，连同 blowfish 密码一起，会为您的 Linux 产品提供一个安全得多的密码系统。

以上是“在 Linux 中如何从潜藏密码迁移至 tcb”这篇文章的所有内容，感谢各位的阅读！相信大家都有了一定的了解，希望分享的内容对大家有所帮助，如果还想学习更多知识，欢迎关注丸趣 TV 行业资讯频道！