Birdaha salam! Sabahdan yeni kurs qrupunda dərslər başlayır , bununla əlaqədar olaraq mövzu ilə bağlı faydalı məqalə dərc edirik.
Əvvəlki dərslikdə sizə necə istifadə edəcəyinizi söylədik pam_cracklibsistemlərdə parolları daha mürəkkəb etmək və ya CentOS. Red Hat 7-də pam_pwquality əvəz etdi cracklib kimi pam parolları yoxlamaq üçün standart modul. Modul pam_pwquality Ubuntu və CentOS-da, eləcə də bir çox digər əməliyyat sistemlərində dəstəklənir. Bu modul istifadəçilərin parolunuzun gücü standartlarınızı qəbul etmələrini təmin etmək üçün parol siyasəti yaratmağı asanlaşdırır.
Uzun müddət parollara ümumi yanaşma istifadəçini böyük, kiçik hərf, rəqəm və ya digər simvollardan istifadə etməyə məcbur etmək idi. Şifrə mürəkkəbliyi üçün bu əsas qaydalar son on il ərzində geniş şəkildə təbliğ edilmişdir. Bunun yaxşı təcrübə olub-olmaması ilə bağlı çoxlu müzakirələr aparılıb. Belə mürəkkəb şərtlərin qoyulmasına qarşı əsas arqument istifadəçilərin parolları kağız parçalarına yazması və onları təhlükəsiz saxlaması idi.
Bu yaxınlarda şübhə altına alınan başqa bir siyasət istifadəçiləri hər x gündə parollarını dəyişməyə məcbur edir. Bunun da təhlükəsizliyə zərər verdiyini göstərən bəzi araşdırmalar var.
Bu müzakirələrin mövzusu ilə bağlı bu və ya digər nöqteyi-nəzəri əsaslandıran çoxlu məqalələr yazılıb. Ancaq bu məqalədə müzakirə edəcəyimiz şey bu deyil. Bu məqalə təhlükəsizlik siyasətini idarə etməkdənsə, parol mürəkkəbliyini necə düzgün qurmaq barədə danışacaq.
Parol Siyasəti Parametrləri
Aşağıda parol siyasəti seçimlərini və hər birinin qısa təsvirini görəcəksiniz. Onların bir çoxu moduldakı parametrlərə bənzəyir cracklib. Bu yanaşma siyasətlərinizi köhnə sistemdən köçürməyi asanlaşdırır.
- Bağışlayın – Yeni parolunuzda köhnə parolunuzda olmamalı olan simvolların sayı. (Defolt 5)
- minlen - Minimum parol uzunluğu. (Defolt 9)
- kredit – Böyük hərflərdən istifadə üçün kreditlərin maksimum sayı (parametr > 0 olarsa) və ya minimum tələb olunan böyük hərflərin sayı (parametr < 0 olarsa). Defolt 1-dir.
- kredit — Kiçik hərflərdən istifadə üçün kreditlərin maksimum sayı (parametr > 0 olarsa) və ya kiçik hərflərin minimum tələb olunan sayı (parametr < 0 olarsa). Defolt 1-dir.
- kredit — Rəqəmlərdən istifadə üçün kreditlərin maksimum sayı (parametr > 0 olarsa) və ya minimum tələb olunan rəqəm sayı (parametr < 0 olarsa). Defolt 1-dir.
- inanır — Digər simvollardan istifadə üçün kreditlərin maksimum sayı (parametr > 0 olarsa) və ya digər simvolların minimum tələb olunan sayı (parametr < 0 olarsa). Defolt 1-dir.
- minclass – Tələb olunan siniflərin sayını təyin edir. Siniflərə yuxarıdakı parametrlər (böyük hərflər, kiçik hərflər, rəqəmlər, digər simvollar) daxildir. Defolt 0-dır.
- maksimum təkrar – Parolda simvolun təkrarlana biləcəyi maksimum sayı. Defolt 0-dır.
- maxclassrepeat — Bir sinifdə ardıcıl simvolların maksimum sayı. Defolt 0-dır.
- gecoscheck – Parolda istifadəçinin GECOS sətirlərindən hər hansı sözlərin olub-olmadığını yoxlayır. (İstifadəçi məlumatı, yəni əsl adı, yeri və s.) Defolt 0-dır (deaktivdir).
- diktpath – Gəlin cracklib lüğətlərinə keçək.
- pis sözlər – Parollarda qadağan olunmuş boşluqlarla ayrılmış sözlər (Şirkətin adı, “parol” sözü və s.).
Kredit anlayışı qəribə səslənirsə, eybi yoxdur, normaldır. Bu barədə sonrakı bölmələrdə daha çox danışacağıq.
Parol Siyasəti Konfiqurasiyası
Konfiqurasiya fayllarını redaktə etməyə başlamazdan əvvəl əsas parol siyasətini əvvəlcədən yazmaq yaxşı təcrübədir. Məsələn, aşağıdakı çətinlik qaydalarından istifadə edəcəyik:
- Şifrə minimum 15 simvol uzunluğunda olmalıdır.
- Şifrədə eyni simvol iki dəfədən çox təkrarlanmamalıdır.
- Simvol sinifləri parolda dörd dəfəyə qədər təkrarlana bilər.
- Parolda hər sinifdən simvollar olmalıdır.
- Yeni parol köhnə ilə müqayisədə 5 yeni simvoldan ibarət olmalıdır.
- GECOS yoxlamasını aktivləşdirin.
- “parol, keçid, söz, putorius” sözlərini qadağan edin
Siyasəti tərtib etdikdən sonra faylı redaktə edə bilərik /etc/security/pwquality.confparol mürəkkəbliyi tələblərini artırmaq. Aşağıda daha yaxşı başa düşmək üçün şərhləri olan bir nümunə fayldır.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putoriusBildiyiniz kimi, faylımızdakı bəzi parametrlər lazımsızdır. Məsələn, parametr minclass lazımsızdır, çünki biz artıq sahələrdən istifadə edərək sinifdən ən azı iki simvol istifadə edirik [u,l,d,o]credit. İstifadəsi mümkün olmayan sözlər siyahımız da lazımsızdır, çünki hər hansı bir sinfi 4 dəfə təkrarlamağı qadağan etmişik (siyahımızdakı bütün sözlər kiçik hərflərlə yazılmışdır). Mən bu seçimləri yalnız parol siyasətinizi konfiqurasiya etmək üçün onlardan necə istifadə edəcəyinizi nümayiş etdirmək üçün daxil etmişəm.
Siyasətinizi yaratdıqdan sonra istifadəçiləri növbəti dəfə daxil olduqda parollarını dəyişməyə məcbur edə bilərsiniz. .
Diqqət yetirdiyiniz başqa bir qəribə şey tarlalardır [u,l,d,o]credit mənfi ədəd ehtiva edir. Bunun səbəbi, 0-dan böyük və ya ona bərabər olan rəqəmlər parolunuzdakı simvoldan istifadə üçün kredit verəcəkdir. Sahədə mənfi rəqəm varsa, bu, müəyyən bir miqdar tələb olunduğunu bildirir.
Kreditlər nədir?
Mən onları kredit adlandırıram, çünki bu, onların məqsədlərini mümkün qədər dəqiq çatdırır. Parametr dəyəri 0-dan böyükdürsə, parol uzunluğuna "x"-ə bərabər olan bir sıra "xarakter kreditləri" əlavə edirsiniz. Məsələn, bütün parametrlər (u,l,d,o)credit 1-ə təyin edin və tələb olunan parol uzunluğu 6 idi, onda uzunluq tələbini ödəmək üçün sizə 6 simvol lazımdır, çünki hər böyük, kiçik hərf, rəqəm və ya digər simvol sizə bir kredit verəcəkdir.
Quraşdırsanız dcredit 2-də nəzəri olaraq 9 simvol uzunluğunda bir parol istifadə edə və nömrələr üçün 2 simvol krediti əldə edə bilərsiniz, sonra parol uzunluğu artıq 10 ola bilər.
Bu misala baxın. Parolun uzunluğunu 13, dcrediti 2, qalan hər şeyi 0-a təyin etdim.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18Parolun uzunluğu 13 simvoldan az olduğu üçün ilk yoxlamam uğursuz oldu. Növbəti dəfə “I” hərfini “1” rəqəminə dəyişdim və şifrəni 13-ə bərabər edən nömrələr üçün iki kredit aldım.
Parol testi
Paketi libpwquality məqalədə təsvir edilən funksionallığı təmin edir. O, həmçinin bir proqramla gəlir pwscore, parol mürəkkəbliyini yoxlamaq üçün nəzərdə tutulmuşdur. Yuxarıda kreditləri yoxlamaq üçün istifadə etdik.
Kommunal pwscore -dən oxuyur . Sadəcə yardım proqramını işə salın və parolunuzu yazın, o, səhv və ya 0-dan 100-ə qədər bir dəyər göstərəcək.
Parolun keyfiyyət balı parametrlə bağlıdır minlen konfiqurasiya faylında. Ümumiyyətlə, 50-dən aşağı bal “normal parol”, ondan yuxarı bal isə “güclü parol” hesab olunur. Keyfiyyət yoxlamalarından keçən hər hansı parol (xüsusilə məcburi yoxlama cracklib) lüğət hücumlarına və parametrlə 50-dən yuxarı bal toplayan parola tab gətirməlidir minlen hətta default olaraq brute force hücumlar.
Nəticə
nizamlama pwquality - istifadənin əlverişsizliyi ilə müqayisədə asan və sadədir cracklib birbaşa fayl redaktəsi ilə pam. Bu təlimatda biz Red Hat 7, CentOS 7 və hətta Ubuntu sistemlərində parol siyasətlərini qurarkən sizə lazım olan hər şeyi əhatə etdik. Nadir hallarda ətraflı yazılan kreditlər anlayışı haqqında da danışdıq, buna görə də bu mövzu əvvəllər onunla qarşılaşmayanlar üçün çox vaxt qeyri-müəyyən qalırdı.
Mənbə:
Faydalı linklər:
Mənbə: www.habr.com