Halló aftur! Kennsla í nýja námskeiðshópnum hefst á morgun , í þessu sambandi erum við að birta gagnlega grein um efnið.
Í fyrri kennslunni sögðum við þér hvernig á að nota pam_cracklibtil að gera lykilorð á kerfum flóknari eða CentOS. Í Red Hat 7 pam_pwquality skipt út cracklib sem pam sjálfgefin eining til að athuga lykilorð. Eining pam_pwquality einnig stutt á Ubuntu og CentOS, sem og mörgum öðrum stýrikerfum. Þessi eining gerir það auðvelt að búa til lykilorðastefnur til að tryggja að notendur samþykki styrkleikastaðla þína.
Í langan tíma var algeng aðferð við lykilorð að þvinga notandann til að nota hástafi, lágstafi, tölustafi eða önnur tákn. Þessar grunnreglur um flókið lykilorð hafa verið kynntar víða á síðustu tíu árum. Mikið hefur verið rætt um hvort þetta séu góð vinnubrögð eða ekki. Helstu rökin gegn því að setja svo flókin skilyrði voru þau að notendur skrifuðu niður lykilorð á blað og geymdu þau á óöruggan hátt.
Önnur stefna sem nýlega hefur verið dregin í efa neyðir notendur til að breyta lykilorðum sínum á x daga fresti. Það hafa verið nokkrar rannsóknir sem hafa sýnt að þetta er einnig skaðlegt fyrir öryggi.
Margar greinar hafa verið skrifaðar um efni þessara umræðna sem rökstyðja eitt eða annað sjónarmið. En þetta er ekki það sem við munum ræða í þessari grein. Þessi grein mun tala um hvernig á að stilla lykilorðið á réttan hátt frekar en að stjórna öryggisstefnunni.
Stillingar lykilorðastefnu
Hér að neðan sérðu valkostina fyrir lykilorðastefnuna og stutta lýsingu á hverjum og einum. Margar þeirra eru svipaðar breytunum í einingunni cracklib. Þessi nálgun gerir það auðveldara að flytja stefnur þínar frá gamla kerfinu.
- difok - Fjöldi stafa í nýja lykilorðinu þínu sem ætti EKKI að vera til staðar í gamla lykilorðinu þínu. (Sjálfgefið 5)
- minlen - Lágmarkslengd lykilorðs. (Sjálfgefið 9)
- ucredit – Hámarksfjöldi eininga fyrir notkun hástafa (ef færibreyta > 0), eða lágmarksfjöldi hástafa sem krafist er (ef færibreyta < 0). Sjálfgefið er 1.
- lkredit — Hámarksfjöldi eininga til að nota lágstafi (ef færibreyta > 0), eða lágmarksfjöldi lágstafa sem krafist er (ef færibreyta < 0). Sjálfgefið er 1.
- dkredit — Hámarksfjöldi eininga til að nota tölustafi (ef færibreyta > 0), eða lágmarksfjöldi tölustafa (ef færibreyta < 0). Sjálfgefið er 1.
- occredit — Hámarksfjöldi eininga fyrir notkun annarra tákna (ef færibreyta > 0), eða lágmarksfjöldi annarra tákna sem krafist er (ef færibreyta < 0). Sjálfgefið er 1.
- mínklassi – Stillir fjölda námskeiða sem þarf. Flokkar innihalda ofangreindar breytur (hástafir, lágstafir, tölur, aðrir stafir). Sjálfgefið er 0.
- hámarksendurtaka – Hámarksfjöldi skipta sem hægt er að endurtaka staf í lykilorði. Sjálfgefið er 0.
- maxclassendurtaka — Hámarksfjöldi stafa í röð í einum flokki. Sjálfgefið er 0.
- gecocheck – Athugar hvort lykilorðið inniheldur einhver orð úr GECOS strengjum notandans. (Notandaupplýsingar, þ.e. raunverulegt nafn, staðsetning osfrv.) Sjálfgefið er 0 (slökkt).
- dictpath - Við skulum fara í cracklib orðabækur.
- slæm orð – Orð aðskilin með bili sem eru bönnuð í lykilorðum (fyrirtækjanafn, orðið „lykilorð“ o.s.frv.).
Ef hugtakið lán hljómar undarlega er það allt í lagi, það er eðlilegt. Við munum tala meira um þetta í eftirfarandi köflum.
Stilling lykilorðastefnu
Áður en þú byrjar að breyta stillingarskrám er gott að skrifa niður grunnreglur um lykilorð fyrirfram. Til dæmis munum við nota eftirfarandi erfiðleikareglur:
- Lykilorðið verður að vera að lágmarki 15 stafir að lengd.
- Sami stafurinn ætti ekki að endurtaka oftar en tvisvar í lykilorðinu.
- Stafaflokkar má endurtaka allt að fjórum sinnum í lykilorði.
- Lykilorðið verður að innihalda stafi úr hverjum flokki.
- Nýja lykilorðið verður að innihalda 5 nýja stafi miðað við það gamla.
- Virkja GECOS athugun.
- Banna orðin „lykilorð, pass, orð, putorius“
Nú þegar við höfum sett stefnuna getum við breytt skránni /etc/security/pwquality.conftil að auka kröfur um flókið lykilorð. Hér að neðan er dæmi um skrá með athugasemdum til að skilja betur.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putoriusEins og þú hefur kannski tekið eftir eru sumar breytur í skránni okkar óþarfar. Til dæmis, færibreytan minclass er óþarfi þar sem við notum nú þegar að minnsta kosti tvo stafi úr bekknum sem notar reiti [u,l,d,o]credit. Listi okkar yfir orð sem ekki er hægt að nota er líka óþarfi, þar sem við höfum bannað að endurtaka hvaða flokk sem er 4 sinnum (öll orð á listanum okkar eru skrifuð með lágstöfum). Ég hef sett þessa valkosti aðeins til að sýna hvernig á að nota þá til að stilla lykilorðastefnu þína.
Þegar þú hefur búið til stefnu þína geturðu þvingað notendur til að breyta lykilorðum sínum næst þegar þeir skrá sig inn. .
Annað skrítið sem þú hefur kannski tekið eftir er að akrana [u,l,d,o]credit innihalda neikvæða tölu. Þetta er vegna þess að tölur sem eru stærri en eða jafnar og 0 munu gefa kredit fyrir að nota stafinn í lykilorðinu þínu. Ef reiturinn inniheldur neikvæða tölu þýðir það að ákveðið magn er krafist.
Hvað eru lán?
Ég kalla þau lán vegna þess að það miðlar tilgangi þeirra eins nákvæmlega og hægt er. Ef færibreytugildið er stærra en 0, bætir þú fjölda „stafaeininga“ sem jafngildir „x“ við lykilorðslengdina. Til dæmis, ef allar breytur (u,l,d,o)credit stillt á 1 og nauðsynleg lykilorðslengd var 6, þá þarftu 6 stafi til að fullnægja lengdarkröfunni því hver hástafur, lágstafur, stafur eða annar stafur gefur þér eina inneign.
Ef þú setur upp dcredit á 2 geturðu fræðilega notað lykilorð sem er 9 stafir að lengd og fengið 2 stafaeiningar fyrir tölur og þá getur lengd lykilorðsins nú þegar verið 10.
Sjáðu þetta dæmi. Ég stillti lengd lykilorðsins á 13, stillti dcredit á 2 og allt hitt á 0.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18Fyrsta athugunin mín mistókst vegna þess að lykilorðið var minna en 13 stafir að lengd. Næst þegar ég breytti bókstafnum „I“ í töluna „1“ og fékk tvær einingar fyrir tölurnar, sem gerði lykilorðið jafngilt 13.
Lykilorðsprófun
Pakkinn libpwquality veitir þá virkni sem lýst er í greininni. Það kemur líka með forriti pwscore, sem er hannað til að athuga hversu flókið lykilorð er. Við notuðum það hér að ofan til að athuga lán.
Gagnsemi pwscore les úr . Keyrðu bara tólið og skrifaðu lykilorðið þitt, það mun sýna villu eða gildi frá 0 til 100.
Gæðastig lykilorðsins er tengt færibreytunni minlen í stillingarskránni. Almennt er einkunn undir 50 talið „venjulegt lykilorð“ og stig fyrir ofan það er talið „sterkt lykilorð“. Öll lykilorð sem standast gæðaeftirlit (sérstaklega þvinguð staðfesting cracklib) verður að þola orðabókarárásir og lykilorð með einkunn yfir 50 með stillingunni minlen jafnvel sjálfgefið brute force árásir.
Ályktun
aðlögun pwquality - það er auðvelt og einfalt miðað við óþægindin við notkun cracklib með beinni skráarvinnslu pam. Í þessari handbók höfum við farið yfir allt sem þú þarft þegar þú setur upp lykilorðastefnur á Red Hat 7, CentOS 7 og jafnvel Ubuntu kerfum. Við ræddum líka hugtakið lán, sem sjaldan er skrifað ítarlega um, þannig að þetta efni var oft óljóst fyrir þá sem ekki höfðu áður kynnst því.
Heimildir:
Gagnlegar hlekkir:
Heimild: www.habr.com