1使用场景

在internet环境中，过于简单的口令时服务器面临的最大风险。尽管大家都知道复杂的口令更安全，但仍然有很多用户贪图方便而采用简单的口令。对于任何一个承担安全责任的管理员，及时找出这些弱口令账户时非常必要的

2面向对象

此文章适用于以下两类工程师：
一线维护工程师
安全维护工程师

为保证linux服务器平台的安全性，需要按照表2-1中加固项，对现网系统进行安全加固，防止黑客攻击。使用的加固工具集成在john-1.11.0.tar.gz软件包中。
表1-1加固项与工具说明
在这里插入图片描述

在服务器主机上安装口令扫描工具

步骤 1
将安全加固工具john-1.11.0.tar.gz下载并上传到受信任主机（Trused Host）/home目录下。
步骤 2
执行以下命令解压缩安全加固工具包。

步骤 3
进入软件包目录

步骤 4
切换到子目录并编译安装

步骤 5
确认已生成可执行文件

…/run/john

所有加固任务完成后，请删除加固工具。
也可以将命令john创建硬链接放在/bin/目录下，这样以后执行john命令可以在任何目录下都可执行了

在这里插入图片描述
方法通过john命令检查弱密码（推荐）
步骤 6
复制准备待破解的密码文件。centOS的账户密码时存放在/dev/shado文件中的，我们把此文件复制过来就可以了。

步骤 7
准备密码字典文件。本工具提供的默认字典文件为password.lst,其中列出了3000个常见的若口令，若有必要，用户可以在字典中添加更多的密码组合，也可以使用其他的字典文件

步骤 8
执行暴力破解.在run子目录下执行

步骤 9
查看破解出的账户列表。

如果存在弱密码，请根据版本配套密码修改指南修改此密码。