ProHoster > Blog > Administrazioa > Pasahitz politika bat sortzea Linux-en

Pasahitz politika bat sortzea Linux-en

Kaixo berriro! Bihar hasiko dira ikastaroko talde berriko klaseak "Linux administratzailea", ildo horretatik, gaiari buruzko artikulu baliagarri bat argitaratzen ari gara.

Pasahitz politika bat sortzea Linux-en

Aurreko tutorialean nola erabili esan genizuen pam_cracklibsistemetako pasahitzak konplexuagoak egiteko Red Hat 6 edo CentOS. Red Hat 7n pam_pwquality ordezkatu cracklib gisa pam pasahitzak egiaztatzeko modulu lehenetsia. Modulua pam_pwquality Ubuntu eta CentOS-en ere onartzen da, baita beste sistema eragile askotan ere. Modulu honek pasahitzen politikak sortzea errazten du erabiltzaileek zure pasahitzen sendotasunaren estandarrak onartzen dituztela ziurtatzeko.

Denbora luzez, pasahitzen ohiko ikuspegia erabiltzailea maiuskulak, minuskulak, zenbakiak edo beste sinbolo batzuk erabiltzera behartzea izan zen. Pasahitzaren konplexutasunari buruzko oinarrizko arau hauek asko sustatu dira azken hamar urteotan. Asko eztabaidatu da praktika ona den ala ez. Baldintza konplexuak ezartzearen aurkako argudio nagusia erabiltzaileek pasahitzak paper zatietan idaztea eta segurtasunik gabe gordetzea zen.

Duela gutxi zalantzan jarri den beste politika batek x egunez behin pasahitzak aldatzera behartzen ditu erabiltzaileak. Hori segurtasunerako ere kaltegarria dela frogatu duten ikerketa batzuk egon dira.

Eztabaida horien gaiaren inguruan artikulu asko idatzi dira, ikuspuntu bat edo beste frogatzen dutenak. Baina hori ez da artikulu honetan eztabaidatuko duguna. Artikulu honek pasahitzaren konplexutasuna behar bezala nola ezartzeari buruz hitz egingo du segurtasun politika kudeatu beharrean.

Pasahitzen politikaren ezarpenak

Jarraian pasahitzen politikaren aukerak eta bakoitzaren deskribapen laburra ikusiko dituzu. Horietako asko moduluko parametroen antzekoak dira cracklib. Ikuspegi honi esker, zure politikak lehengo sistematik eramatea errazten du.

  • difok – Pasahitz berriko pasahitz zaharrean egon behar ez den karaktere kopurua. (Lehenetsia 5)
  • minlen – Pasahitzaren gutxieneko luzera. (Lehenetsia 9)
  • ukreditu – Karaktere larriak erabiltzeko gehieneko kreditu kopurua (parametroa > 0 bada), edo behar den gutxieneko karaktere larriz (parametroa < 0 bada). Lehenetsia 1 da.
  • lkreditua β€” Karaktere xeheak erabiltzeko gehieneko kreditu kopurua (parametroa > 0 bada), edo gutxieneko behar den karaktere xeheen kopurua (parametroa < 0 bada). Lehenetsia 1 da.
  • kreditua β€” Zifrak erabiltzeko gehienezko kreditu-kopurua (parametroa > 0 bada), edo behar den gutxieneko zifra-kopurua (parametroa < 0 bada). Lehenetsia 1 da.
  • okreditu β€” Beste sinbolo batzuk erabiltzeko gehienezko kreditu kopurua (parametroa > 0 bada), edo beste ikur batzuen gutxieneko behar den kopurua (parametroa < 0 bada). Lehenetsia 1 da.
  • minclass – Beharrezko klase kopurua ezartzen du. Klaseek goiko parametroak barne hartzen dituzte (maiuskulak, minuskulak, zenbakiak, beste karaktere batzuk). Lehenetsia 0 da.
  • maxerrepikatu – Pasahitz batean karaktere bat errepika daitekeen gehieneko aldiz. Lehenetsia 0 da.
  • maxclassrepeat β€” Klase batean segidako karaktereen gehienezko kopurua. Lehenetsia 0 da.
  • gecoscheck – Pasahitzak erabiltzailearen GECOS kateetako hitzik duen egiaztatzen du. (Erabiltzailearen informazioa, hau da, benetako izena, kokapena, etab.) Lehenetsia 0 da (desaktibatuta).
  • dictpath – Goazen cracklib hiztegietara.
  • hitz txarrak – Pasahitzetan debekatuta dauden zuriunez bereizitako hitzak (Enpresaren izena, β€œpasahitza” hitza, etab.).

Mailegu kontzeptua arraroa bada, ondo dago, normala da. Honi buruz gehiago hitz egingo dugu hurrengo ataletan.

Pasahitzen politikaren konfigurazioa

Konfigurazio-fitxategiak editatzen hasi aurretik, praktika ona da oinarrizko pasahitzen politika aldez aurretik idaztea. Adibidez, zailtasun-arau hauek erabiliko ditugu:

  • Pasahitzak 15 karaktere izan behar ditu gutxienez.
  • Karaktere bera ez da pasahitzean bi aldiz baino gehiago errepikatu behar.
  • Karaktere klaseak lau aldiz errepika daitezke pasahitz batean.
  • Pasahitzak klase bakoitzeko karaktereak izan behar ditu.
  • Pasahitz berriak 5 karaktere berri izan behar ditu zaharrarekin alderatuta.
  • Gaitu GECOS egiaztapena.
  • Debekatu "pasahitza, pasa, hitza, putorius" hitzak

Politika zehaztu dugunean, fitxategia edita dezakegu /etc/security/pwquality.confpasahitzaren konplexutasun-eskakizunak areagotzeko. Jarraian, hobeto ulertzeko iruzkinak dituen fitxategi adibide bat dago. 

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

Konturatuko zinen bezala, gure fitxategiko parametro batzuk erredundanteak dira. Adibidez, parametroa minclass erredundantea da, klaseko gutxienez bi karaktere erabiltzen baititugu eremuak erabiliz [u,l,d,o]credit. Erabili ezin diren hitzen zerrenda ere erredundantea da, edozein klase 4 aldiz errepikatzea debekatu baitugu (gure zerrendako hitz guztiak letra xehez idatzita daude). Aukera hauek zure pasahitzen politika konfiguratzeko nola erabili erakusteko bakarrik sartu ditut.
Zure politika sortu ondoren, erabiltzaileak pasahitzak aldatzera behartu ditzakezu saioa hasten duten hurrengoan. sistema.

Konturatuko zaren beste gauza bitxi bat zelaiak da [u,l,d,o]credit zenbaki negatiboa dauka. Hau da, 0 baino handiagoak edo berdinak diren zenbakiek zure pasahitzako karakterea erabiltzeagatik kreditua emango dutelako. Eremuak zenbaki negatibo bat badu, kantitate jakin bat behar dela esan nahi du.

Zer dira maileguak?

Maileguak deitzen diet horrek beren helburua ahalik eta zehatzen transmititzen duelako. Parametroaren balioa 0 baino handiagoa bada, pasahitzaren luzerari "x" adina "karaktere-kreditu" kopuru bat gehitzen diozu. Adibidez, parametro guztiak bada (u,l,d,o)credit ezarri 1ean eta beharrezko pasahitzaren luzera 6 zen, orduan 6 karaktere beharko dituzu luzera eskakizuna betetzeko, maiuskulak, minuskulak, zifrak edo beste karaktere bakoitzak kreditu bat emango dizulako.

Instalatzen baduzu dcredit 2an, teorikoki 9 karaktere dituen pasahitz bat erabil dezakezu eta zenbakietarako 2 karaktere-kredituak lor ditzakezu, eta gero pasahitzaren luzera dagoeneko 10 izan daiteke.

Begira adibide hau. Pasahitzaren luzera 13an ezarri dut, dcredit 2an eta gainerako guztia 0an.

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

Nire lehenengo egiaztapenak huts egin du pasahitzak 13 karaktere baino gutxiago zituelako. Hurrengoan, "I" letra "1" zenbakira aldatu nuen eta zenbakiengatik bi kreditu jaso nituen, eta horrek pasahitza 13ren berdina izan zuen.

Pasahitzen proba

pakete libpwquality artikuluan deskribatutako funtzionaltasuna eskaintzen du. Programa batekin ere badator pwscore, pasahitzaren konplexutasuna egiaztatzeko diseinatuta dagoena. Goian erabili dugu maileguak egiaztatzeko.
Erabilgarritasuna pwscore irakurtzen du stdin. Exekutatu utilitatea eta idatzi zure pasahitza, errore bat edo 0tik 100era bitarteko balio bat bistaratuko du.

Pasahitzaren kalitatearen puntuazioa parametroarekin erlazionatuta dago minlen konfigurazio fitxategian. Oro har, 50etik beherako puntuazioa "pasahitz normaltzat" jotzen da, eta hortik gorako puntuazioa "pasahitz sendo"tzat. Kalitate egiaztapenak gainditzen dituen edozein pasahitz (batez ere behartutako egiaztapena cracklib) hiztegi-erasoei eutsi behar die, eta ezarpenarekin 50etik gorako puntuazioa duen pasahitzak minlen lehenespenez ere brute force erasoak.

Ondorioa

doikuntza pwquality - Erraza eta erraza da erabileraren eragozpenekin alderatuta cracklib fitxategi zuzeneko edizioarekin pam. Gida honetan, Red Hat 7, CentOS 7 eta baita Ubuntu sistemetan pasahitzen politikak konfiguratzeko behar duzun guztia azaldu dugu. Mailegu kontzeptuari buruz ere hitz egin dugu, oso gutxitan idazten dena zehatz-mehatz, eta, beraz, gai hori sarritan ez zuten argi geratu aurretik topatu ez zutenentzat.

Iturriak:

pwquality man orria
pam_pwquality man orria
pwscore man orria

Esteka erabilgarriak:

Pasahitz seguruak aukeratzea - ​​Bruce Schneier
Lorrie Faith Cranorrek CMUn bere pasahitzen ikasketak aztertzen ditu
Infamous xkcd marrazki biziduna Entropy-n

Iturria: www.habr.com

Gehitu iruzkin berria