系統口令維護時應注意哪些問題

口令維護時應注意如下問題：

• 口令只能自己知道：不要將口令告訴別人，也不要幾個人共享一個口令，不要把它記在本子上或計算機周圍。

• 不要用系統指定的口令：如root、demo和test等，第一次進入系統就修改口令，不要沿用系統提供給用戶的默認口令，關閉掉 UNIX 操作系統配備的所有默認賬號，這個操作也要在每次系統升級或系統安裝之后來進行。

• 不要用電子郵件傳送口令：最好不要用電子郵件傳送口令。如果一定需要這樣做，則最好對電子郵件進行加密處理。

• 如果賬戶長期不用，管理員應將其暫停：如果雇員離開公司，則管理員應及時把他的賬戶消除，不要保留一些不用的賬號，這是很危險的。

• 限制登錄事件：管理員也可以限制用戶的登錄時間，例如，只有在工作時間，用戶才能登錄。

• 限制登錄次數：為了防止對賬戶多次嘗試口令以闖入系統，系統可以限制登錄企圖的次數，這樣可以防止有人不斷地嘗試使用不同的口令和登錄名。

• 最后一次登錄，該方法報告最后一次系統登錄的時間、日期，以及在最后一次登錄后發生過多少次未成功的登錄企圖。這樣可以提供線索了解是否有人非法訪問。

• 通過使用簡單文件傳輸協議獲取口令文件：為了檢驗系統的安全性，通過TFTP命令連接到系統上，然后獲取/etc/passwd文件。如果用戶能夠完成這種操作，那么任何人都能獲取用戶的passwd文件。因此，應該去掉TFTP服務。如果必須要有TFTP服務，要確保它是受限訪問的。

• 定期查看日志：一定要定期地查看日志文件，以便檢查登錄成功和不成功中所用的命令，一定要定期地查看登錄未成功的消息日志文件，一定要定期地查看 Login Refused消息日志文件。

• 確保除了root外沒有公用賬號：根據場所安全策略，確保除了 root 之外沒有任何公共的用戶賬號。也就是說，一個賬號的口令不能被兩個或兩個以上的用戶知道。去掉guest賬號，或者更安全的方法是，根本就不創建guest賬號。

• 使用特殊的用戶組：使用特殊的用戶組來限制哪些用戶可以使用su命令來成為root，例如：在SunOS下的wheel用戶組。

• 關閉沒有口令卻可以運行命令的賬號：一定要關閉所有沒有口令卻可以運行命令的賬號，如sync。刪除這些賬號擁有的文件或改變這些賬號擁有文件的擁有者。確保這些賬號沒有任何的cron或at作業。最安全的方法是徹底刪除這些賬號。

回答所涉及的環境：聯想天逸510S、Windows 10。