ProHoster > blog > Gweinyddiaeth > Creu Polisi Cyfrinair yn Linux

Creu Polisi Cyfrinair yn Linux

Helo eto! Mae dosbarthiadau yn y grŵp cwrs newydd yn dechrau yfory "Gweinyddwr Linux", yn hyn o beth, rydym yn cyhoeddi erthygl ddefnyddiol ar y pwnc.

Creu Polisi Cyfrinair yn Linux

Yn y tiwtorial blaenorol fe wnaethom ddweud wrthych sut i ddefnyddio pam_cracklibi wneud cyfrineiriau ar systemau yn fwy cymhleth Het Goch 6 neu CentOS. Yn Red Hat 7 pam_pwquality disodli cracklib fel pam modiwl rhagosodedig ar gyfer gwirio cyfrineiriau. Modiwl pam_pwquality cefnogi hefyd ar Ubuntu a CentOS, yn ogystal â llawer o OSes eraill. Mae'r modiwl hwn yn ei gwneud hi'n hawdd creu polisïau cyfrinair i sicrhau bod defnyddwyr yn derbyn eich safonau cryfder cyfrinair.

Am gyfnod hir, yr ymagwedd gyffredin at gyfrineiriau oedd gorfodi'r defnyddiwr i ddefnyddio priflythrennau, llythrennau bach, rhifau, neu symbolau eraill. Mae'r rheolau sylfaenol hyn ar gyfer cymhlethdod cyfrinair wedi'u hyrwyddo'n eang dros y deng mlynedd diwethaf. Bu llawer o drafod a yw hyn yn arfer da ai peidio. Y brif ddadl yn erbyn gosod amodau mor gymhleth oedd bod defnyddwyr yn ysgrifennu cyfrineiriau ar ddarnau o bapur ac yn eu storio'n ansicr.

Mae polisi arall sydd wedi cael ei gwestiynu yn ddiweddar yn gorfodi defnyddwyr i newid eu cyfrineiriau bob x diwrnod. Mae rhai astudiaethau wedi dangos bod hyn hefyd yn niweidiol i ddiogelwch.

Mae llawer o erthyglau wedi'u hysgrifennu ar bwnc y trafodaethau hyn, sy'n cadarnhau un safbwynt neu'r llall. Ond nid dyma'r hyn y byddwn yn ei drafod yn yr erthygl hon. Bydd yr erthygl hon yn sôn am sut i osod y cymhlethdod cyfrinair yn gywir yn hytrach na rheoli'r polisi diogelwch.

Gosodiadau Polisi Cyfrinair

Isod fe welwch yr opsiynau polisi cyfrinair a disgrifiad byr o bob un. Mae llawer ohonynt yn debyg i'r paramedrau yn y modiwl cracklib. Mae'r dull hwn yn ei gwneud hi'n haws trosglwyddo'ch polisïau o'r system etifeddiaeth.

  • Mae'n ddrwg gen i - Nifer y nodau yn eich cyfrinair newydd NA ddylai fod yn bresennol yn eich hen gyfrinair. (Diofyn 5)
  • minlen - Hyd cyfrinair lleiaf. (Diofyn 9)
  • credyd – Uchafswm nifer y credydau ar gyfer defnyddio priflythrennau (os yw'n baramedr > 0), neu'r lleiafswm gofynnol o nodau priflythrennau (os paramedr < 0). Y rhagosodiad yw 1.
  • lcredit — Uchafswm y credydau ar gyfer defnyddio llythrennau bach (os yw'n baramedr > 0), neu'r lleiafswm gofynnol o nodau llythrennau bach (os paramedr < 0). Y rhagosodiad yw 1.
  • credyd — Uchafswm nifer y credydau ar gyfer defnyddio digidau (os paramedr > 0), neu isafswm nifer y digidau (os paramedr < 0). Y rhagosodiad yw 1.
  • mae'n credu — Uchafswm nifer y credydau am ddefnyddio symbolau eraill (os yw'n baramedr > 0), neu'r nifer lleiaf o symbolau eraill sy'n ofynnol (os paramedr < 0). Y rhagosodiad yw 1.
  • dosbarth min - Yn gosod nifer y dosbarthiadau sydd eu hangen. Mae dosbarthiadau'n cynnwys y paramedrau uchod (llythrennau mawr, llythrennau bach, rhifau, nodau eraill). Y rhagosodiad yw 0.
  • ailadrodd max - Y nifer fwyaf o weithiau y gellir ailadrodd cymeriad mewn cyfrinair. Y rhagosodiad yw 0.
  • ailadrodd maxclass — Uchafswm nifer y nodau olynol mewn un dosbarth. Y rhagosodiad yw 0.
  • gecoscheck - Yn gwirio a yw'r cyfrinair yn cynnwys unrhyw eiriau o linynnau GECOS y defnyddiwr. (Gwybodaeth defnyddiwr, h.y. enw iawn, lleoliad, ac ati) Y rhagosodiad yw 0 (i ffwrdd).
  • dictpath - Gadewch i ni fynd i eiriaduron cracklib.
  • geiriau drwg - Geiriau wedi'u gwahanu gan ofod sydd wedi'u gwahardd mewn cyfrineiriau (Enw'r cwmni, y gair "cyfrinair", ac ati).

Os yw'r cysyniad o fenthyciadau yn swnio'n rhyfedd, mae'n iawn, mae'n normal. Byddwn yn siarad mwy am hyn yn yr adrannau canlynol.

Ffurfweddu Polisi Cyfrinair

Cyn i chi ddechrau golygu ffeiliau ffurfweddu, mae'n arfer da ysgrifennu polisi cyfrinair sylfaenol ymlaen llaw. Er enghraifft, byddwn yn defnyddio'r rheolau anhawster canlynol:

  • Rhaid i'r cyfrinair fod o leiaf 15 nod.
  • Ni ddylid ailadrodd yr un nod fwy na dwywaith yn y cyfrinair.
  • Gellir ailadrodd dosbarthiadau cymeriad hyd at bedair gwaith mewn cyfrinair.
  • Rhaid i'r cyfrinair gynnwys nodau o bob dosbarth.
  • Rhaid bod gan y cyfrinair newydd 5 nod newydd o'i gymharu â'r hen un.
  • Galluogi gwiriad GECOS.
  • Gwahardd y geiriau “cyfrinair, pas, gair, putorius”

Nawr ein bod wedi gosod y polisi allan, gallwn olygu'r ffeil /etc/security/pwquality.confi gynyddu gofynion cymhlethdod cyfrinair. Isod mae ffeil enghreifftiol gyda sylwadau er mwyn deall yn well. 

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

Fel y gallech fod wedi sylwi, mae rhai paramedrau yn ein ffeil yn ddiangen. Er enghraifft, y paramedr minclass yn ddiangen gan ein bod eisoes yn defnyddio o leiaf ddau nod o'r dosbarth gan ddefnyddio meysydd [u,l,d,o]credit. Mae ein rhestr o eiriau na ellir eu defnyddio hefyd yn ddiangen, gan ein bod wedi gwahardd ailadrodd unrhyw ddosbarth 4 gwaith (mae pob gair yn ein rhestr wedi'i ysgrifennu mewn llythrennau bach). Rwyf wedi cynnwys yr opsiynau hyn dim ond i ddangos sut i'w defnyddio i ffurfweddu'ch polisi cyfrinair.
Unwaith y byddwch wedi creu eich polisi, gallwch orfodi defnyddwyr i newid eu cyfrineiriau y tro nesaf y byddant yn mewngofnodi. y system.

Peth rhyfedd arall efallai eich bod wedi sylwi yw bod y meysydd [u,l,d,o]credit cynnwys rhif negyddol. Mae hyn oherwydd bydd niferoedd sy'n fwy na neu'n hafal i 0 yn rhoi credyd am ddefnyddio'r nod yn eich cyfrinair. Os yw'r maes yn cynnwys rhif negyddol, mae'n golygu bod angen swm penodol.

Beth yw benthyciadau?

Rwy’n eu galw’n fenthyciadau oherwydd mae hynny’n cyfleu eu diben mor gywir â phosibl. Os yw gwerth y paramedr yn fwy na 0, rydych chi'n ychwanegu nifer o "credydau cymeriad" sy'n hafal i "x" i hyd y cyfrinair. Er enghraifft, os yw'r holl baramedrau (u,l,d,o)credit gosod i 1 a'r hyd cyfrinair gofynnol oedd 6, yna bydd angen 6 nod arnoch i fodloni'r gofyniad hyd oherwydd bydd pob priflythrennau, llythrennau bach, digid neu nodau eraill yn rhoi un credyd i chi.

Os ydych yn gosod dcredit yn 2, yn ddamcaniaethol fe allech chi ddefnyddio cyfrinair sy'n 9 nod o hyd a chael credydau 2 nod ar gyfer rhifau, ac yna gallai hyd y cyfrinair fod yn 10 eisoes.

Edrychwch ar yr enghraifft hon. Gosodais hyd y cyfrinair i 13, gosodais dcredit i 2, a phopeth arall i 0.

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

Methodd fy siec cyntaf oherwydd bod y cyfrinair yn llai na 13 nod o hyd. Y tro nesaf newidiais y llythyren “I” i’r rhif “1” a derbyn dau gredyd am y rhifau, a oedd yn gwneud y cyfrinair yn hafal i 13.

Profi cyfrinair

Pecyn libpwquality yn darparu'r swyddogaeth a ddisgrifir yn yr erthygl. Mae hefyd yn dod gyda rhaglen pwscore, sydd wedi'i gynllunio i wirio cymhlethdod cyfrinair. Fe'i defnyddiwyd uchod i wirio benthyciadau.
Cyfleustodau pwscore yn darllen o stdin. Dim ond rhedeg y cyfleustodau ac ysgrifennu eich cyfrinair, bydd yn dangos gwall neu werth o 0 i 100.

Mae sgôr ansawdd y cyfrinair yn gysylltiedig â'r paramedr minlen yn y ffeil ffurfweddu. Yn gyffredinol, mae sgôr o lai na 50 yn cael ei ystyried yn “gyfrinair arferol”, ac mae sgôr uwch na hynny yn cael ei ystyried yn “gyfrinair cryf”. Unrhyw gyfrinair sy'n pasio gwiriadau ansawdd (yn enwedig dilysu gorfodol cracklib) rhaid iddo wrthsefyll ymosodiadau geiriadur, a chyfrinair â sgôr uwch na 50 gyda'r gosodiad minlen hyd yn oed yn ddiofyn brute force ymosodiadau.

Casgliad

addasiad pwquality - mae'n hawdd ac yn syml o'i gymharu â'r anghyfleustra i'w ddefnyddio cracklib gyda golygu ffeiliau yn uniongyrchol pam. Yn y canllaw hwn, rydym wedi ymdrin â phopeth y bydd ei angen arnoch wrth sefydlu polisïau cyfrinair ar systemau Red Hat 7, CentOS 7, a hyd yn oed Ubuntu. Buom hefyd yn siarad am y cysyniad o fenthyciadau, na chaiff ei ysgrifennu'n fanwl yn aml, felly roedd y pwnc hwn yn aml yn parhau i fod yn aneglur i'r rhai nad oeddent wedi dod ar eu traws o'r blaen.

Ffynonellau:

tudalen dyn pwquality
tudalen dyn pam_pwquality
tudalen dyn pwscore

Dolenni defnyddiol:

Dewis Cyfrineiriau Diogel - Bruce Schneier
Lorrie Faith Cranor yn trafod ei hastudiaethau cyfrinair yn CMU
Yr Infamous xkcd cartŵn ar Entropy

Ffynhonnell: hab.com

Ychwanegu sylw