我們通常這樣使用Linux弱口令檢測!
在Internet環境中,過於簡單的口令是伺服器面臨的最大風險,對於管理員來說,即使找出這些弱口令帳號是非常必要的,這樣便於採取進一步的安全措施。
這裡的話,弱口令檢測需要用到一款密碼破譯軟體–John the Ripper(官方下載地址://www.openwall.com/john/)(簡稱JR),通過使用JR,可以檢測Linux/Unix系統用戶帳號的密碼強度。具體步驟如下↓↓↓
1.下載並安裝JR
在官網上下載獲取最新的穩定版源碼包,如John-1.8.0.tar.gz
源碼包John-1.8.0.tar.gz,解壓後可看到三個子目錄–doc、run、src,分別表示手冊文檔、運行程式、源碼文件。
2.切換到src子目錄執行「make clean linux-x86-64」命令,即可執行編譯過程。單獨執行make命令,將列出可用的編譯操作、支援的系統類型。
3.編譯完成後,run子目錄會生成一個名為John的可執行程式。
4.在安裝有JR的伺服器上可以直接對/etc/shadow文件進行檢測,對於其他linux伺服器,可以對shadow文件進行複製,並傳遞給John程式進行檢測。
對於密碼的暴力破解,字典文件的選擇很關鍵。JR默認提供的字典文件為password.lst,執行John程式時可以結合「–wordlist=」選項來指定文件的位置,以便對指定的文件進行暴力分析。
從上述結果可以看出,簡單的密碼安全性極低,這些弱口令賬戶可以進一步提升密碼強度,加強賬戶安全。
