Hallo weer! Klasse in die nuwe kursusgroep begin môre , in hierdie verband publiseer ons 'n nuttige artikel oor die onderwerp.
In die vorige tutoriaal het ons jou vertel hoe om te gebruik pam_cracklibom wagwoorde op stelsels meer kompleks te maak of CentOS. In Red Hat 7 pam_pwquality vervang cracklib as pam verstekmodule om wagwoorde na te gaan. Module pam_pwquality ook ondersteun op Ubuntu en CentOS, sowel as baie ander bedryfstelsels. Hierdie module maak dit maklik om wagwoordbeleide te skep om te verseker dat gebruikers jou wagwoordsterktestandaarde aanvaar.
Vir 'n lang tyd was die algemene benadering tot wagwoorde om die gebruiker te dwing om hoofletters, kleinletters, syfers of ander simbole te gebruik. Hierdie basiese reëls vir wagwoordkompleksiteit is die afgelope tien jaar wyd bevorder. Daar is baie gesels oor of dit goeie praktyk is of nie. Die hoofargument teen die stel van sulke komplekse voorwaardes was dat gebruikers wagwoorde op stukkies papier neerskryf en dit onveilig stoor.
Nog 'n beleid wat onlangs in twyfel getrek is, dwing gebruikers om hul wagwoorde elke x dae te verander. Daar is 'n paar studies wat getoon het dat dit ook nadelig is vir veiligheid.
Baie artikels is oor die onderwerp van hierdie besprekings geskryf, wat die een of ander standpunt staaf. Maar dit is nie wat ons in hierdie artikel sal bespreek nie. Hierdie artikel sal praat oor hoe om die wagwoordkompleksiteit korrek in te stel eerder as om die sekuriteitsbeleid te bestuur.
Wagwoordbeleidinstellings
Hieronder sal u die wagwoordbeleidopsies en 'n kort beskrywing van elk sien. Baie van hulle is soortgelyk aan die parameters in die module cracklib. Hierdie benadering maak dit makliker om jou polisse van die nalatenskapstelsel oor te dra.
- Ek is jammer – Die aantal karakters in jou nuwe wagwoord wat NIE in jou ou wagwoord teenwoordig moet wees nie. (Verstek 5)
- minlen - Minimum wagwoordlengte. (Verstek 9)
- ukrediet – Die maksimum aantal krediete vir die gebruik van hoofletters (indien parameter > 0), of die minimum vereiste aantal hoofletters (indien parameter < 0). Verstek is 1.
- lkrediet — Die maksimum aantal krediete vir die gebruik van kleinletters (indien parameter > 0), of die minimum vereiste aantal kleinletters (indien parameter < 0). Verstek is 1.
- krediet — Die maksimum aantal krediete vir die gebruik van syfers (indien parameter > 0), of die minimum vereiste aantal syfers (indien parameter < 0). Verstek is 1.
- hy glo — Die maksimum aantal krediete vir die gebruik van ander simbole (indien parameter > 0), of die minimum vereiste aantal ander simbole (indien parameter < 0). Verstek is 1.
- minklas - Stel die aantal klasse wat benodig word. Klasse sluit die bogenoemde parameters in (hoofletters, kleinletters, syfers, ander karakters). Verstek is 0.
- maksimum herhaling – Die maksimum aantal kere wat 'n karakter in 'n wagwoord herhaal kan word. Verstek is 0.
- maksimumklasherhaal — Die maksimum aantal opeenvolgende karakters in een klas. Verstek is 0.
- gecocheck – Kontroleer of die wagwoord enige woorde van die gebruiker se GECOS-stringe bevat. (Gebruikerinligting, d.w.s. regte naam, ligging, ens.) Verstek is 0 (af).
- diktpaad – Kom ons gaan na cracklib-woordeboeke.
- slegte woorde – Spasie-geskeide woorde wat in wagwoorde verbied word (Maatskappynaam, die woord “wagwoord”, ens.).
As die konsep van lenings vreemd klink, is dit reg, dit is normaal. Ons sal meer hieroor praat in die volgende afdelings.
Wagwoordbeleidkonfigurasie
Voordat jy begin om konfigurasielêers te redigeer, is dit 'n goeie praktyk om vooraf 'n basiese wagwoordbeleid neer te skryf. Ons sal byvoorbeeld die volgende moeilikheidsreëls gebruik:
- Die wagwoord moet 'n minimum lengte van 15 karakters hê.
- Dieselfde karakter moet nie meer as twee keer in die wagwoord herhaal word nie.
- Karakterklasse kan tot vier keer in 'n wagwoord herhaal word.
- Die wagwoord moet karakters van elke klas bevat.
- Die nuwe wagwoord moet 5 nuwe karakters hê in vergelyking met die ou een.
- Aktiveer GECOS-kontrole.
- Verbied die woorde "wagwoord, slaag, woord, putorius"
Noudat ons die beleid uiteengesit het, kan ons die lêer wysig /etc/security/pwquality.confom wagwoordkompleksiteitvereistes te verhoog. Hieronder is 'n voorbeeldlêer met opmerkings vir beter begrip.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putoriusSoos u dalk opgemerk het, is sommige parameters in ons lêer oorbodig. Byvoorbeeld, die parameter minclass is oorbodig aangesien ons reeds ten minste twee karakters van die klas gebruik wat velde gebruik [u,l,d,o]credit. Ons lys woorde wat nie gebruik kan word nie, is ook oorbodig, aangesien ons verbied het om enige klas 4 keer te herhaal (alle woorde in ons lys is in kleinletters geskryf). Ek het hierdie opsies slegs ingesluit om te demonstreer hoe om dit te gebruik om jou wagwoordbeleid op te stel.
Sodra jy jou beleid geskep het, kan jy gebruikers dwing om hul wagwoorde te verander die volgende keer as hulle aanmeld. .
Nog 'n vreemde ding wat jy dalk opgemerk het, is dat die velde [u,l,d,o]credit 'n negatiewe getal bevat. Dit is omdat getalle groter as of gelyk aan 0 krediet sal gee vir die gebruik van die karakter in jou wagwoord. As die veld 'n negatiewe getal bevat, beteken dit dat 'n sekere hoeveelheid vereis word.
Wat is lenings?
Ek noem hulle lenings omdat dit hul doel so akkuraat moontlik weergee. As die parameterwaarde groter as 0 is, voeg jy 'n aantal "karakterkrediete" gelyk aan "x" by die wagwoordlengte. Byvoorbeeld, as alle parameters (u,l,d,o)credit gestel op 1 en die vereiste wagwoordlengte was 6, dan sal jy 6 karakters nodig hê om aan die lengtevereiste te voldoen, want elke hoofletter, kleinletter, syfer of ander karakter sal jou een krediet gee.
As jy installeer dcredit by 2 kan jy teoreties 'n wagwoord gebruik wat 9 karakters lank is en 2 karakterkrediete vir syfers kry, en dan kan die wagwoordlengte reeds 10 wees.
Kyk na hierdie voorbeeld. Ek stel die wagwoordlengte op 13, stel dcredit op 2, en al die ander op 0.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18My eerste kontrole het misluk omdat die wagwoord minder as 13 karakters lank was. Die volgende keer het ek die letter “I” na die nommer “1” verander en twee krediete vir die nommers gekry, wat die wagwoord gelyk aan 13 gemaak het.
Wagwoord toets
pakket libpwquality bied die funksionaliteit wat in die artikel beskryf word. Dit kom ook met 'n program pwscore, wat ontwerp is om wagwoordkompleksiteit na te gaan. Ons het dit hierbo gebruik om lenings na te gaan.
Nuts pwscore lees uit . Begin net die hulpprogram en skryf jou wagwoord, dit sal 'n fout of 'n waarde van 0 tot 100 vertoon.
Die wagwoord kwaliteit telling is verwant aan die parameter minlen in die konfigurasielêer. Oor die algemeen word 'n telling minder as 50 as 'n "normale wagwoord" beskou, en 'n telling hierbo word as 'n "sterk wagwoord" beskou. Enige wagwoord wat kwaliteitkontroles slaag (veral gedwonge verifikasie cracklib) moet woordeboekaanvalle weerstaan, en 'n wagwoord met 'n telling bo 50 met die instelling minlen selfs by verstek brute force aanvalle.
Gevolgtrekking
aanpassing pwquality - dit is maklik en eenvoudig in vergelyking met die ongerief van gebruik cracklib met direkte lêer redigering pam. In hierdie gids het ons alles gedek wat u nodig het wanneer u wagwoordbeleide op Red Hat 7, CentOS 7 en selfs Ubuntu-stelsels opstel. Ons het ook gepraat oor die konsep van lenings, waaroor selde in detail geskryf word, so hierdie onderwerp het dikwels onduidelik gebly vir diegene wat dit nie voorheen teëgekom het nie.
Bronne:
Nuttige skakels:
Bron: will.com