Tere jälle! Homme algavad tunnid uues kursuserühmas
Eelmises õpetuses rääkisime teile, kuidas seda kasutada pam_cracklib
süsteemide paroolide keerukamaks muutmiseks pam_pwquality
välja vahetatud cracklib
kui pam
vaikemoodul paroolide kontrollimiseks. Moodul pam_pwquality
toetatud ka Ubuntu ja CentOS-i, aga ka paljude teiste OS-ide puhul. See moodul muudab paroolipoliitikate loomise lihtsaks, et kasutajad nõustuksid teie parooli tugevusstandarditega.
Pikka aega oli levinud lähenemine paroolidele sundida kasutajat kasutama suurtähti, väiketähti, numbreid või muid sümboleid. Neid parooli keerukuse põhireegleid on viimase kümne aasta jooksul laialdaselt propageeritud. Selle üle, kas see on hea tava või mitte, on palju arutatud. Peamine argument nii keeruliste tingimuste seadmise vastu oli see, et kasutajad kirjutavad paroolid paberitükkidele üles ja hoiavad neid ebakindlalt.
Teine hiljuti kahtluse alla seatud poliitika sunnib kasutajaid iga x päeva tagant oma paroole muutma. Mõned uuringud on näidanud, et see kahjustab ka ohutust.
Nende arutelude teemal on kirjutatud palju artikleid, mis üht või teist seisukohta põhjendavad. Kuid see pole see, mida me selles artiklis arutame. See artikkel räägib sellest, kuidas turvapoliitika haldamise asemel parooli keerukust õigesti määrata.
Paroolipoliitika seaded
Allpool näete paroolipoliitika valikuid ja nende lühikirjeldust. Paljud neist on sarnased mooduli parameetritega cracklib
. See lähenemisviis hõlbustab teie poliitikate teisaldamist pärandsüsteemist.
- mul on kahju – Tähemärkide arv teie uues paroolis, mis EI TOHI teie vanas paroolis esineda. (Vaikimisi 5)
- minlen - Minimaalne parooli pikkus. (Vaikimisi 9)
- krediit – Maksimaalne krediitide arv suurtähtede kasutamiseks (kui parameeter > 0) või minimaalne nõutav suurtähtede arv (kui parameeter < 0). Vaikimisi on 1.
- lkrediit — Maksimaalne krediitide arv väiketähtede kasutamiseks (kui parameeter > 0) või minimaalne nõutav väiketähtede arv (kui parameeter < 0). Vaikimisi on 1.
- krediit — maksimaalne krediite arv numbrite kasutamiseks (kui parameeter > 0) või minimaalne nõutav numbrite arv (kui parameeter < 0). Vaikimisi on 1.
- ta usub — Maksimaalne krediitide arv muude sümbolite kasutamiseks (kui parameeter > 0) või minimaalne nõutav muude sümbolite arv (kui parameeter < 0). Vaikimisi on 1.
- minklass – Määrab vajalike klasside arvu. Klassid sisaldavad ülaltoodud parameetreid (suurtähed, väiketähed, numbrid, muud märgid). Vaikimisi on 0.
- max kordus – Maksimaalne korduste arv, kui tähemärki saab paroolis korrata. Vaikimisi on 0.
- max klassikordus — järjestikuste märkide maksimaalne arv ühes klassis. Vaikimisi on 0.
- gekosheck – Kontrollib, kas parool sisaldab sõnu kasutaja GECOS-stringidest. (Kasutaja teave, st tegelik nimi, asukoht jne) Vaikimisi on 0 (väljas).
- diktaatrada – Läheme cracklibi sõnaraamatute juurde.
- BADWORDS – Tühikuga eraldatud sõnad, mis on paroolides keelatud (ettevõtte nimi, sõna “parool” jne).
Kui laenude mõiste kõlab imelikult, pole midagi, see on normaalne. Sellest räägime lähemalt järgmistes osades.
Paroolipoliitika konfigureerimine
Enne konfiguratsioonifailide redigeerimise alustamist on hea tava paroolide põhipoliitika eelnevalt kirja panna. Näiteks kasutame järgmisi raskusastme reegleid:
- Parool peab olema vähemalt 15 tähemärgi pikkune.
- Sama tähemärki ei tohi paroolis korrata rohkem kui kaks korda.
- Tähemärgiklasse saab paroolis korrata kuni neli korda.
- Parool peab sisaldama iga klassi märke.
- Uues paroolis peab olema võrreldes vanaga 5 uut tähemärki.
- Lubage GECOS-i kontroll.
- Keelake sõnad "parool, parool, sõna, putorius"
Nüüd, kui oleme eeskirjad paika pannud, saame faili redigeerida /etc/security/pwquality.conf
parooli keerukuse nõuete suurendamiseks. Parema mõistmise huvides on allpool toodud näide kommentaaridega.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius
Nagu olete ehk märganud, on mõned meie failis olevad parameetrid üleliigsed. Näiteks parameeter minclass
on üleliigne, kuna me kasutame juba väljade abil vähemalt kahte klassi tähemärki [u,l,d,o]credit
. Meie nimekiri sõnadest, mida ei saa kasutada, on samuti üleliigne, kuna oleme keelanud ühegi klassi kordamise 4 korda (kõik meie loendis olevad sõnad on kirjutatud väiketähtedega). Lisasin need valikud ainult selleks, et näidata, kuidas neid oma paroolipoliitika konfigureerimiseks kasutada.
Kui olete oma poliitika loonud, saate sundida kasutajaid järgmisel sisselogimisel oma paroole muutma.
Teine kummaline asi, mida olete võib-olla märganud, on see, et põllud [u,l,d,o]credit
sisaldavad negatiivset arvu. Selle põhjuseks on asjaolu, et numbrid, mis on suuremad või võrdsed 0-ga, annavad tunnustuse teie paroolis oleva märgi kasutamisele. Kui väli sisaldab negatiivset arvu, tähendab see, et teatud kogus on nõutav.
Mis on laenud?
Nimetan neid laenudeks, sest see annab võimalikult täpselt nende eesmärgi edasi. Kui parameetri väärtus on suurem kui 0, lisate parooli pikkusele "x"-ga võrdne arv "märgikrediite". Näiteks kui kõik parameetrid (u,l,d,o)credit
seatud väärtusele 1 ja nõutav parooli pikkus oli 6, siis on pikkusenõude täitmiseks vaja 6 tähemärki, sest iga suurtäht, väiketäht, number või muu märk annab teile ühe krediiti.
Kui installite dcredit
2 juures võiks teoreetiliselt kasutada parooli, mis on 9 tähemärki pikk ja saada numbrite eest 2 tähemärki ja siis võiks parooli pikkus olla juba 10.
Vaadake seda näidet. Seadsin parooli pikkuseks 13, dcredit väärtuseks 2 ja kõigeks muuks 0.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18
Minu esimene kontroll ebaõnnestus, kuna parool oli alla 13 tähemärgi pikk. Järgmisel korral muutsin tähe “I” numbriks “1” ja sain numbrite eest kaks krediiti, mis tegi parooliks 13.
Parooli testimine
Pakk libpwquality
pakub artiklis kirjeldatud funktsioone. Kaasas ka programm pwscore
, mis on mõeldud parooli keerukuse kontrollimiseks. Kasutasime seda ülalpool laenude kontrollimiseks.
Utiliit pwscore
loeb alates
Parooli kvaliteediskoor on seotud parameetriga minlen
konfiguratsioonifailis. Üldiselt loetakse alla 50 punkti "tavaliseks parooliks" ja sellest kõrgemat tulemust "tugevaks parooliks". Mis tahes parool, mis läbib kvaliteedikontrolli (eriti sunnitud kontrolli cracklib
). minlen
isegi vaikimisi brute force
rünnakud.
Järeldus
reguleerimine pwquality
- see on lihtne ja lihtne võrreldes kasutamise ebamugavusega cracklib
faili otsese redigeerimisega pam
. Selles juhendis oleme käsitlenud kõike, mida vajate Red Hat 7, CentOS 7 ja isegi Ubuntu süsteemide paroolipoliitika seadistamisel. Rääkisime ka laenu mõistest, millest harva detailselt kirjutatakse, nii et sageli jäi see teema ebaselgeks ka neile, kes sellega varem kokku puutunud polnud.
Allikad:
Kasulikud lingid:
Allikas: www.habr.com