ሠላም እንደገና! በአዲሱ የኮርስ ቡድን ውስጥ ትምህርቶች ነገ ይጀመራሉ። , በዚህ ረገድ, በርዕሱ ላይ ጠቃሚ ጽሑፍ እያተምን ነው.
በቀደመው ትምህርት እንዴት እንደሚጠቀሙ ነግረንዎታል pam_cracklibበሲስተሞች ላይ የይለፍ ቃሎችን የበለጠ ውስብስብ ለማድረግ ወይም CentOS. በቀይ ኮፍያ 7 pam_pwquality ተተካ cracklib እንደ pam የይለፍ ቃላትን ለመፈተሽ ነባሪ ሞጁል ሞጁል pam_pwquality እንዲሁም በኡቡንቱ እና በሴንትኦኤስ እንዲሁም በሌሎች በርካታ ስርዓተ ክወናዎች ላይ ይደገፋል። ይህ ሞጁል ተጠቃሚዎች የእርስዎን የይለፍ ቃል ጥንካሬ ደረጃዎች መቀበላቸውን ለማረጋገጥ የይለፍ ቃል ፖሊሲዎችን መፍጠር ቀላል ያደርገዋል።
ለረጅም ጊዜ የይለፍ ቃሎች የተለመደው አቀራረብ ተጠቃሚው አቢይ ሆሄያትን, ቁጥሮችን ወይም ሌሎች ምልክቶችን እንዲጠቀም ማስገደድ ነበር. እነዚህ መሰረታዊ የይለፍ ቃል ውስብስብነት ህጎች ባለፉት አስር አመታት ውስጥ በሰፊው ተስተዋውቀዋል። ይህ ጥሩ ልምምድ ነው ወይስ አይደለም በሚለው ላይ ብዙ ውይይት ተደርጓል። እንደነዚህ ያሉ ውስብስብ ሁኔታዎችን ለማዘጋጀት ዋናው መከራከሪያ ተጠቃሚዎች የይለፍ ቃሎችን በወረቀት ላይ ይጽፋሉ እና ደህንነቱ በተጠበቀ ሁኔታ ያከማቹ ነበር.
ሌላው በቅርቡ ጥያቄ ውስጥ የገባ ፖሊሲ ተጠቃሚዎች በየ x ቀናት የይለፍ ቃሎቻቸውን እንዲቀይሩ ያስገድዳቸዋል። ይህ ደግሞ ደህንነትን እንደሚጎዳ የሚያሳዩ አንዳንድ ጥናቶች አሉ።
በእነዚህ ውይይቶች ርዕስ ላይ ብዙ መጣጥፎች ተጽፈዋል, ይህም አንድ ወይም ሌላ አመለካከትን የሚያረጋግጡ ናቸው. ግን በዚህ ርዕስ ውስጥ የምንወያይበት ይህ አይደለም. ይህ ጽሑፍ የደህንነት ፖሊሲን ከማስተዳደር ይልቅ የይለፍ ቃሉን ውስብስብነት እንዴት በትክክል ማቀናበር እንደሚቻል ይናገራል።
የይለፍ ቃል መመሪያ ቅንብሮች
ከዚህ በታች የይለፍ ቃል ፖሊሲ አማራጮችን እና የእያንዳንዱን አጭር መግለጫ ያያሉ። ብዙዎቹ በሞጁሉ ውስጥ ካሉት መለኪያዎች ጋር ተመሳሳይ ናቸው cracklib. ይህ አካሄድ ፖሊሲዎችዎን ከውርስ ስርዓት ማውጣትን ቀላል ያደርገዋል።
- ዲፎክ - በአዲሱ የይለፍ ቃልዎ ውስጥ በቀድሞው የይለፍ ቃልዎ ውስጥ መገኘት የሌለባቸው የቁምፊዎች ብዛት። (ነባሪ 5)
- ሚኒን - ዝቅተኛው የይለፍ ቃል ርዝመት። (ነባሪ 9)
- ክሬዲት - አቢይ ሆሄያትን ለመጠቀም ከፍተኛው የክሬዲት ብዛት (ፓራሜትር> 0 ከሆነ)፣ ወይም የሚፈለገው አነስተኛ የትልቅ ሆሄያት ብዛት (ልኬት <0 ከሆነ)። ነባሪው 1 ነው።
- ክሬዲት — ንዑስ ሆሄያትን ለመጠቀም ከፍተኛው የክሬዲት ብዛት (ልኬት> 0 ከሆነ)፣ ወይም የሚፈለገው አነስተኛ የፊደል ሆሄያት (ፓራሜትር <0 ከሆነ)። ነባሪው 1 ነው።
- ክሬዲት - አሃዞችን ለመጠቀም ከፍተኛው የክሬዲት ብዛት (ከሆነ ግቤት> 0) ፣ ወይም የሚፈለገው አነስተኛ አሃዞች ብዛት (ልኬት <0 ከሆነ)። ነባሪው 1 ነው።
- ክሬዲት - ሌሎች ምልክቶችን ለመጠቀም ከፍተኛው የክሬዲት ብዛት (ልኬት> 0 ከሆነ) ፣ ወይም የሌሎች ምልክቶች ዝቅተኛው አስፈላጊ ብዛት (ልኬት <0 ከሆነ)። ነባሪው 1 ነው።
- minclass - የሚፈለጉትን ክፍሎች ብዛት ያዘጋጃል። ክፍሎች ከላይ የተጠቀሱትን መለኪያዎች (የላይኛው ፊደል ቁምፊዎች፣ ትንሽ ፊደሎች፣ ቁጥሮች፣ ሌሎች ቁምፊዎች) ያካትታሉ። ነባሪው 0 ነው።
- ከፍተኛ ድግግሞሽ - አንድ ቁምፊ በይለፍ ቃል ውስጥ የሚደጋገምበት ከፍተኛው ብዛት። ነባሪው 0 ነው።
- maxclass ድገም - በአንድ ክፍል ውስጥ ከፍተኛው ተከታታይ ቁምፊዎች ብዛት። ነባሪው 0 ነው።
- gecoscheck - የይለፍ ቃሉ ከተጠቃሚው GECOS ሕብረቁምፊዎች ውስጥ ማንኛውንም ቃል መያዙን ያረጋግጣል። (የተጠቃሚ መረጃ፣ ማለትም እውነተኛ ስም፣ አካባቢ፣ ወዘተ.) ነባሪው 0 (ጠፍቷል) ነው።
- dictpath – ወደ ክራክሊብ መዝገበ ቃላት እንሂድ።
- መጥፎ ቃላት - በይለፍ ቃል (የኩባንያው ስም ፣ “የይለፍ ቃል” የሚለው ቃል ፣ ወዘተ) የተከለከሉ በጠፈር የተለዩ ቃላት።
የብድር ጽንሰ-ሐሳብ እንግዳ ከሆነ, ደህና ነው, የተለመደ ነው. በሚቀጥሉት ክፍሎች ስለዚህ ጉዳይ የበለጠ እንነጋገራለን ።
የይለፍ ቃል ፖሊሲ ውቅር
የውቅረት ፋይሎችን ማረም ከመጀመርዎ በፊት መሰረታዊ የይለፍ ቃል ፖሊሲን አስቀድመው መፃፍ ጥሩ ተግባር ነው። ለምሳሌ ፣ የሚከተሉትን አስቸጋሪ ህጎች እንጠቀማለን-
- የይለፍ ቃሉ ቢያንስ 15 ቁምፊዎች ርዝመት ሊኖረው ይገባል።
- ተመሳሳይ ቁምፊ በይለፍ ቃል ውስጥ ከሁለት ጊዜ በላይ መደገም የለበትም.
- የቁምፊ ክፍሎች በይለፍ ቃል ውስጥ እስከ አራት ጊዜ ሊደገሙ ይችላሉ።
- የይለፍ ቃሉ ከእያንዳንዱ ክፍል ቁምፊዎችን መያዝ አለበት.
- አዲሱ የይለፍ ቃል ከአሮጌው ጋር ሲነጻጸር 5 አዲስ ቁምፊዎች ሊኖሩት ይገባል.
- የGECOS ፍተሻን አንቃ።
- “የይለፍ ቃል፣ የይለፍ ቃል፣ ቃል፣ ፑቶሪየስ” የሚሉትን ቃላት ከልክል
አሁን ፖሊሲውን ስለዘረጋን ፋይሉን ማርትዕ እንችላለን /etc/security/pwquality.confየይለፍ ቃል ውስብስብነት መስፈርቶችን ለመጨመር. ለተሻለ ግንዛቤ ከአስተያየቶች ጋር የምሳሌ ፋይል ከዚህ በታች አለ።
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putoriusእርስዎ እንዳስተዋሉት፣ በፋይላችን ውስጥ ያሉ አንዳንድ መመዘኛዎች ተደጋጋሚ ናቸው። ለምሳሌ, መለኪያው minclass ሜዳዎችን በመጠቀም ከክፍል ቢያንስ ሁለት ቁምፊዎችን ስለምንጠቀም በጣም ብዙ ነው። [u,l,d,o]credit. የትኛውንም ክፍል 4 ጊዜ መደጋገምን ስለከለከልን (በእኛ ዝርዝራችን ውስጥ ያሉት ሁሉም ቃላቶች በትናንሽ ሆሄያት የተፃፉ ናቸው) የኛ የቃላት ዝርዝሮቻችንም ብዙ አይደሉም። እነዚህን አማራጮች ያካተትኳቸው የይለፍ ቃል ፖሊሲዎን እንዴት እንደሚያዋቅሩ ለማሳየት ነው።
አንዴ ፖሊሲዎን ከፈጠሩ ተጠቃሚዎች በሚቀጥለው ጊዜ ሲገቡ የይለፍ ቃሎቻቸውን እንዲቀይሩ ማስገደድ ይችላሉ። .
እርስዎ አስተውለው ይሆናል ሌላው እንግዳ ነገር መስኮች መሆኑን ነው [u,l,d,o]credit አሉታዊ ቁጥር ይይዛል። ምክንያቱም ከ0 የሚበልጡ ወይም እኩል የሆኑ ቁጥሮች በይለፍ ቃልዎ ውስጥ ያለውን ቁምፊ ለመጠቀም ምስጋና ስለሚሰጡ ነው። መስኩ አሉታዊ ቁጥር ካለው, የተወሰነ መጠን ያስፈልጋል ማለት ነው.
ብድሮች ምንድን ናቸው?
እኔ ብድር እላቸዋለሁ ምክንያቱም ያ ዓላማቸውን በተቻለ መጠን በትክክል ስለሚያስተላልፍ ነው. የመለኪያ እሴቱ ከ 0 በላይ ከሆነ፣ በይለፍ ቃል ርዝመት ላይ ከ"x" ጋር እኩል የሆኑ "የቁምፊ ክሬዲቶች" ቁጥር ይጨምራሉ። ለምሳሌ, ሁሉም መለኪያዎች ከሆኑ (u,l,d,o)credit ወደ 1 ተቀናብሯል እና የሚፈለገው የይለፍ ቃል ርዝመት 6 ነበር፣ ከዚያ የርዝመት መስፈርቱን ለማሟላት 6 ቁምፊዎች ያስፈልግዎታል ምክንያቱም እያንዳንዱ አቢይ ሆሄያት፣ ትንሽ ሆሄያት፣ አሃዝ ወይም ሌላ ቁምፊ አንድ ክሬዲት ይሰጥዎታል።
ከጫኑ dcredit 2 ላይ፣ በንድፈ ሀሳብ 9 ቁምፊዎች ርዝመት ያለው የይለፍ ቃል መጠቀም እና ለቁጥሮች ባለ 2 ቁምፊ ክሬዲት ማግኘት ይችላሉ ፣ እና ከዚያ የይለፍ ቃሉ ቀድሞውኑ 10 ሊሆን ይችላል።
ይህን ምሳሌ ተመልከት። የይለፍ ቃሉን ርዝማኔ ወደ 13፣ ዲክሬዲትን ወደ 2 አቀናጅቻለሁ፣ እና ሁሉንም ነገር 0 አድርጌዋለሁ።
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18የመጀመሪያው ቼክ አልተሳካም ምክንያቱም የይለፍ ቃሉ ከ13 ቁምፊዎች ያነሰ ርዝመት ነበረው። በሚቀጥለው ጊዜ "እኔ" የሚለውን ፊደል ወደ "1" ቁጥር ቀይሬ ለቁጥሮች ሁለት ምስጋናዎችን ተቀብያለሁ, ይህም የይለፍ ቃሉ ከ 13 ጋር እኩል እንዲሆን አድርጎታል.
የይለፍ ቃል ሙከራ
ጥቅል libpwquality በአንቀጹ ውስጥ የተገለጸውን ተግባር ያቀርባል. ከፕሮግራም ጋር አብሮ ይመጣል pwscoreየይለፍ ቃል ውስብስብነት ለመፈተሽ የተቀየሰ ነው። ብድሮችን ለማጣራት ከላይ ተጠቅመንበታል።
መገልገያ pwscore ከ ይነበባል . መገልገያውን ብቻ ያሂዱ እና የይለፍ ቃልዎን ይፃፉ ፣ ስህተት ወይም ከ 0 እስከ 100 እሴት ያሳያል።
የይለፍ ቃል የጥራት ነጥብ ከመለኪያው ጋር የተያያዘ ነው። minlen በማዋቀሪያው ፋይል ውስጥ. በአጠቃላይ ከ 50 በታች የሆነ ነጥብ እንደ "መደበኛ የይለፍ ቃል" ይቆጠራል, እና ከእሱ በላይ ያለው ነጥብ እንደ "ጠንካራ የይለፍ ቃል" ይቆጠራል. የጥራት ፍተሻዎችን የሚያልፍ ማንኛውም የይለፍ ቃል (በተለይ የግዳጅ ማረጋገጫ cracklib) የመዝገበ-ቃላት ጥቃቶችን እና ከ 50 በላይ ነጥብ ያለው የይለፍ ቃል ከማስተካከያው ጋር መቋቋም አለበት minlen በነባሪነት እንኳን brute force ጥቃቶች.
መደምደሚያ
በደንብ ማድረግ pwquality - ከአጠቃቀም ምቾት ጋር ሲነፃፀር ቀላል እና ቀላል ነው cracklib በቀጥታ ፋይል አርትዖት pam. በዚህ መመሪያ ውስጥ፣ በ Red Hat 7፣ CentOS 7 እና በኡቡንቱ ሲስተሞች ላይ የይለፍ ቃል ፖሊሲዎችን ሲያዘጋጁ የሚያስፈልጉዎትን ነገሮች ሁሉ ሸፍነናል። ስለ ብድር ጽንሰ-ሐሳብም ተነጋግረናል, እሱም ስለ ብድር እምብዛም አይጻፍም, ስለዚህ ይህ ርዕስ ከዚህ ቀደም ላላጋጠሙት ሰዎች ብዙ ጊዜ ግልጽ አልሆነም.
ምንጮች:
ጠቃሚ አገናኞች:
ምንጭ: hab.com