Kaixo berriro! Bihar hasiko dira ikastaroko talde berriko klaseak
Aurreko tutorialean nola erabili esan genizuen pam_cracklib
sistemetako pasahitzak konplexuagoak egiteko pam_pwquality
ordezkatu cracklib
gisa pam
pasahitzak egiaztatzeko modulu lehenetsia. Modulua pam_pwquality
Ubuntu eta CentOS-en ere onartzen da, baita beste sistema eragile askotan ere. Modulu honek pasahitzen politikak sortzea errazten du erabiltzaileek zure pasahitzen sendotasunaren estandarrak onartzen dituztela ziurtatzeko.
Denbora luzez, pasahitzen ohiko ikuspegia erabiltzailea maiuskulak, minuskulak, zenbakiak edo beste sinbolo batzuk erabiltzera behartzea izan zen. Pasahitzaren konplexutasunari buruzko oinarrizko arau hauek asko sustatu dira azken hamar urteotan. Asko eztabaidatu da praktika ona den ala ez. Baldintza konplexuak ezartzearen aurkako argudio nagusia erabiltzaileek pasahitzak paper zatietan idaztea eta segurtasunik gabe gordetzea zen.
Duela gutxi zalantzan jarri den beste politika batek x egunez behin pasahitzak aldatzera behartzen ditu erabiltzaileak. Hori segurtasunerako ere kaltegarria dela frogatu duten ikerketa batzuk egon dira.
Eztabaida horien gaiaren inguruan artikulu asko idatzi dira, ikuspuntu bat edo beste frogatzen dutenak. Baina hori ez da artikulu honetan eztabaidatuko duguna. Artikulu honek pasahitzaren konplexutasuna behar bezala nola ezartzeari buruz hitz egingo du segurtasun politika kudeatu beharrean.
Pasahitzen politikaren ezarpenak
Jarraian pasahitzen politikaren aukerak eta bakoitzaren deskribapen laburra ikusiko dituzu. Horietako asko moduluko parametroen antzekoak dira cracklib
. Ikuspegi honi esker, zure politikak lehengo sistematik eramatea errazten du.
- difok β Pasahitz berriko pasahitz zaharrean egon behar ez den karaktere kopurua. (Lehenetsia 5)
- minlen β Pasahitzaren gutxieneko luzera. (Lehenetsia 9)
- ukreditu β Karaktere larriak erabiltzeko gehieneko kreditu kopurua (parametroa > 0 bada), edo behar den gutxieneko karaktere larriz (parametroa < 0 bada). Lehenetsia 1 da.
- lkreditua β Karaktere xeheak erabiltzeko gehieneko kreditu kopurua (parametroa > 0 bada), edo gutxieneko behar den karaktere xeheen kopurua (parametroa < 0 bada). Lehenetsia 1 da.
- kreditua β Zifrak erabiltzeko gehienezko kreditu-kopurua (parametroa > 0 bada), edo behar den gutxieneko zifra-kopurua (parametroa < 0 bada). Lehenetsia 1 da.
- okreditu β Beste sinbolo batzuk erabiltzeko gehienezko kreditu kopurua (parametroa > 0 bada), edo beste ikur batzuen gutxieneko behar den kopurua (parametroa < 0 bada). Lehenetsia 1 da.
- minclass β Beharrezko klase kopurua ezartzen du. Klaseek goiko parametroak barne hartzen dituzte (maiuskulak, minuskulak, zenbakiak, beste karaktere batzuk). Lehenetsia 0 da.
- maxerrepikatu β Pasahitz batean karaktere bat errepika daitekeen gehieneko aldiz. Lehenetsia 0 da.
- maxclassrepeat β Klase batean segidako karaktereen gehienezko kopurua. Lehenetsia 0 da.
- gecoscheck β Pasahitzak erabiltzailearen GECOS kateetako hitzik duen egiaztatzen du. (Erabiltzailearen informazioa, hau da, benetako izena, kokapena, etab.) Lehenetsia 0 da (desaktibatuta).
- dictpath β Goazen cracklib hiztegietara.
- hitz txarrak β Pasahitzetan debekatuta dauden zuriunez bereizitako hitzak (Enpresaren izena, βpasahitzaβ hitza, etab.).
Mailegu kontzeptua arraroa bada, ondo dago, normala da. Honi buruz gehiago hitz egingo dugu hurrengo ataletan.
Pasahitzen politikaren konfigurazioa
Konfigurazio-fitxategiak editatzen hasi aurretik, praktika ona da oinarrizko pasahitzen politika aldez aurretik idaztea. Adibidez, zailtasun-arau hauek erabiliko ditugu:
- Pasahitzak 15 karaktere izan behar ditu gutxienez.
- Karaktere bera ez da pasahitzean bi aldiz baino gehiago errepikatu behar.
- Karaktere klaseak lau aldiz errepika daitezke pasahitz batean.
- Pasahitzak klase bakoitzeko karaktereak izan behar ditu.
- Pasahitz berriak 5 karaktere berri izan behar ditu zaharrarekin alderatuta.
- Gaitu GECOS egiaztapena.
- Debekatu "pasahitza, pasa, hitza, putorius" hitzak
Politika zehaztu dugunean, fitxategia edita dezakegu /etc/security/pwquality.conf
pasahitzaren konplexutasun-eskakizunak areagotzeko. Jarraian, hobeto ulertzeko iruzkinak dituen fitxategi adibide bat dago.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius
Konturatuko zinen bezala, gure fitxategiko parametro batzuk erredundanteak dira. Adibidez, parametroa minclass
erredundantea da, klaseko gutxienez bi karaktere erabiltzen baititugu eremuak erabiliz [u,l,d,o]credit
. Erabili ezin diren hitzen zerrenda ere erredundantea da, edozein klase 4 aldiz errepikatzea debekatu baitugu (gure zerrendako hitz guztiak letra xehez idatzita daude). Aukera hauek zure pasahitzen politika konfiguratzeko nola erabili erakusteko bakarrik sartu ditut.
Zure politika sortu ondoren, erabiltzaileak pasahitzak aldatzera behartu ditzakezu saioa hasten duten hurrengoan.
Konturatuko zaren beste gauza bitxi bat zelaiak da [u,l,d,o]credit
zenbaki negatiboa dauka. Hau da, 0 baino handiagoak edo berdinak diren zenbakiek zure pasahitzako karakterea erabiltzeagatik kreditua emango dutelako. Eremuak zenbaki negatibo bat badu, kantitate jakin bat behar dela esan nahi du.
Zer dira maileguak?
Maileguak deitzen diet horrek beren helburua ahalik eta zehatzen transmititzen duelako. Parametroaren balioa 0 baino handiagoa bada, pasahitzaren luzerari "x" adina "karaktere-kreditu" kopuru bat gehitzen diozu. Adibidez, parametro guztiak bada (u,l,d,o)credit
ezarri 1ean eta beharrezko pasahitzaren luzera 6 zen, orduan 6 karaktere beharko dituzu luzera eskakizuna betetzeko, maiuskulak, minuskulak, zifrak edo beste karaktere bakoitzak kreditu bat emango dizulako.
Instalatzen baduzu dcredit
2an, teorikoki 9 karaktere dituen pasahitz bat erabil dezakezu eta zenbakietarako 2 karaktere-kredituak lor ditzakezu, eta gero pasahitzaren luzera dagoeneko 10 izan daiteke.
Begira adibide hau. Pasahitzaren luzera 13an ezarri dut, dcredit 2an eta gainerako guztia 0an.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18
Nire lehenengo egiaztapenak huts egin du pasahitzak 13 karaktere baino gutxiago zituelako. Hurrengoan, "I" letra "1" zenbakira aldatu nuen eta zenbakiengatik bi kreditu jaso nituen, eta horrek pasahitza 13ren berdina izan zuen.
Pasahitzen proba
pakete libpwquality
artikuluan deskribatutako funtzionaltasuna eskaintzen du. Programa batekin ere badator pwscore
, pasahitzaren konplexutasuna egiaztatzeko diseinatuta dagoena. Goian erabili dugu maileguak egiaztatzeko.
Erabilgarritasuna pwscore
irakurtzen du
Pasahitzaren kalitatearen puntuazioa parametroarekin erlazionatuta dago minlen
konfigurazio fitxategian. Oro har, 50etik beherako puntuazioa "pasahitz normaltzat" jotzen da, eta hortik gorako puntuazioa "pasahitz sendo"tzat. Kalitate egiaztapenak gainditzen dituen edozein pasahitz (batez ere behartutako egiaztapena cracklib
) hiztegi-erasoei eutsi behar die, eta ezarpenarekin 50etik gorako puntuazioa duen pasahitzak minlen
lehenespenez ere brute force
erasoak.
Ondorioa
doikuntza pwquality
- Erraza eta erraza da erabileraren eragozpenekin alderatuta cracklib
fitxategi zuzeneko edizioarekin pam
. Gida honetan, Red Hat 7, CentOS 7 eta baita Ubuntu sistemetan pasahitzen politikak konfiguratzeko behar duzun guztia azaldu dugu. Mailegu kontzeptuari buruz ere hitz egin dugu, oso gutxitan idazten dena zehatz-mehatz, eta, beraz, gai hori sarritan ez zuten argi geratu aurretik topatu ez zutenentzat.
Iturriak:
Esteka erabilgarriak:
Iturria: www.habr.com