პაროლის პოლიტიკის შექმნა Linux-ში

Გამარჯობა კიდევ! ახალი კურსის ჯგუფში მეცადინეობები ხვალ იწყება "ლინუქსის ადმინისტრატორი", ამასთან დაკავშირებით ვაქვეყნებთ სასარგებლო სტატიას თემაზე.

წინა გაკვეთილზე ჩვენ გითხარით, როგორ გამოიყენოთ pam_cracklibრომ სისტემაზე პაროლები უფრო რთული იყოს წითელი ქუდი 6 ან CentOS. წითელ ქუდში 7 pam_pwquality შეცვალა cracklib როგორც pam ნაგულისხმევი მოდული პაროლების შესამოწმებლად. მოდული pam_pwquality ასევე მხარდაჭერა Ubuntu-სა და CentOS-ზე, ისევე როგორც ბევრ სხვა OS-ზე. ეს მოდული აადვილებს პაროლის პოლიტიკის შექმნას, რათა მომხმარებლები დაეთანხმონ თქვენი პაროლის სიძლიერის სტანდარტებს.

დიდი ხნის განმავლობაში, პაროლების მიმართ გავრცელებული მიდგომა იყო მომხმარებლის იძულება გამოიყენოს დიდი, პატარა, რიცხვები ან სხვა სიმბოლოები. პაროლის სირთულის ეს ძირითადი წესები ფართოდ გავრცელდა ბოლო ათი წლის განმავლობაში. ბევრი მსჯელობა იყო იმის შესახებ, არის თუ არა ეს კარგი პრაქტიკა. ასეთი რთული პირობების დაწესების წინააღმდეგ მთავარი არგუმენტი იყო ის, რომ მომხმარებლები წერდნენ პაროლებს ფურცლებზე და ინახავდნენ მათ დაუცველად.

კიდევ ერთი პოლიტიკა, რომელიც ახლახან კითხვის ნიშნის ქვეშ დადგა, აიძულებს მომხმარებლებს შეცვალონ პაროლები ყოველ x დღეში. იყო გარკვეული კვლევები, რომლებმაც აჩვენეს, რომ ეს ასევე საზიანოა უსაფრთხოებისთვის.

ამ დისკუსიების თემაზე მრავალი სტატია დაიწერა, რომლებიც ამა თუ იმ თვალსაზრისს ასაბუთებს. მაგრამ ეს არ არის ის, რასაც ამ სტატიაში განვიხილავთ. ამ სტატიაში ვისაუბრებთ იმაზე, თუ როგორ სწორად დააყენოთ პაროლის სირთულე, ვიდრე მართოთ უსაფრთხოების პოლიტიკა.

პაროლის პოლიტიკის პარამეტრები

ქვემოთ ნახავთ პაროლის პოლიტიკის ვარიანტებს და თითოეულის მოკლე აღწერას. ბევრი მათგანი მსგავსია მოდულის პარამეტრებთან cracklib. ეს მიდგომა აადვილებს თქვენი პოლიტიკის პორტირებას ძველი სისტემიდან.

• დიფოკი - სიმბოლოების რაოდენობა თქვენს ახალ პაროლში, რომელიც არ უნდა იყოს თქვენს ძველ პაროლში. (ნაგულისხმევი 5)
• მცირეწლოვანი - პაროლის მინიმალური სიგრძე. (ნაგულისხმევი 9)
• უკრედიტი – კრედიტების მაქსიმალური რაოდენობა დიდი ასოების გამოყენებისთვის (თუ პარამეტრი > 0), ან დიდი ასოების მინიმალური საჭირო რაოდენობა (თუ პარამეტრი < 0). ნაგულისხმევი არის 1.
• კრედიტი — კრედიტების მაქსიმალური რაოდენობა მცირე ასოების გამოსაყენებლად (თუ პარამეტრი > 0), ან მცირე ასოების მინიმალური საჭირო რაოდენობა (თუ პარამეტრი < 0). ნაგულისხმევი არის 1.
• დკრედიტი — კრედიტების მაქსიმალური რაოდენობა ციფრების გამოყენებისთვის (თუ პარამეტრი > 0), ან ციფრთა მინიმალური საჭირო რაოდენობა (თუ პარამეტრი < 0). ნაგულისხმევი არის 1.
• კრედიტი — სხვა სიმბოლოების გამოყენების კრედიტების მაქსიმალური რაოდენობა (თუ პარამეტრი > 0), ან სხვა სიმბოლოების მინიმალური საჭირო რაოდენობა (თუ პარამეტრი < 0). ნაგულისხმევი არის 1.
• მინკლასი - ადგენს კლასების საჭირო რაოდენობას. კლასები მოიცავს ზემოხსენებულ პარამეტრებს (ზედა ასოები, მცირე ასოები, რიცხვები, სხვა სიმბოლოები). ნაგულისხმევი არის 0.
• მაქსიმალური გამეორება - პაროლში სიმბოლოების გამეორების მაქსიმალური რაოდენობა. ნაგულისხმევი არის 0.
• მაქსიმალური კლასის გამეორება - ზედიზედ სიმბოლოების მაქსიმალური რაოდენობა ერთ კლასში. ნაგულისხმევი არის 0.
• gecoscheck – ამოწმებს, შეიცავს თუ არა პაროლი მომხმარებლის GECOS სტრიქონებიდან რომელიმე სიტყვას. (მომხმარებლის ინფორმაცია, ანუ ნამდვილი სახელი, მდებარეობა და ა.შ.) ნაგულისხმევი არის 0 (გამორთული).
• დიქტალური გზა – მოდით გადავიდეთ cracklib ლექსიკონებზე.
• ცუდი სიტყვები – სივრცეში გამოყოფილი სიტყვები, რომლებიც აკრძალულია პაროლებში (კომპანიის სახელი, სიტყვა „პაროლი“ და ა.შ.).

თუ სესხის კონცეფცია უცნაურად ჟღერს, არა უშავს, ეს ნორმალურია. ამის შესახებ უფრო მეტს ვისაუბრებთ შემდეგ თავებში.

პაროლის პოლიტიკის კონფიგურაცია

სანამ კონფიგურაციის ფაილების რედაქტირებას დაიწყებთ, კარგი პრაქტიკაა, წინასწარ ჩამოწეროთ პაროლის ძირითადი პოლიტიკა. მაგალითად, ჩვენ გამოვიყენებთ შემდეგ სირთულის წესებს:

• პაროლი უნდა შეიცავდეს მინიმუმ 15 სიმბოლოს.
• ერთი და იგივე სიმბოლო პაროლში ორჯერ მეტი არ უნდა განმეორდეს.
• სიმბოლოების კლასები შეიძლება განმეორდეს ოთხჯერ პაროლში.
• პაროლი უნდა შეიცავდეს სიმბოლოებს თითოეული კლასიდან.
• ახალ პაროლს უნდა ჰქონდეს 5 ახალი სიმბოლო ძველთან შედარებით.
• GECOS შემოწმების ჩართვა.
• აკრძალეთ სიტყვები "პაროლი, პასი, სიტყვა, პუტორიუსი"

ახლა, როდესაც ჩვენ ჩამოვაყალიბეთ პოლიტიკა, შეგვიძლია ფაილის რედაქტირება /etc/security/pwquality.confპაროლის სირთულის მოთხოვნების გაზრდის მიზნით. ქვემოთ მოცემულია მაგალითის ფაილი კომენტარებით უკეთესი გაგებისთვის.

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

როგორც თქვენ შენიშნეთ, ჩვენს ფაილში ზოგიერთი პარამეტრი ზედმეტია. მაგალითად, პარამეტრი minclass ზედმეტია, რადგან ჩვენ უკვე ვიყენებთ მინიმუმ ორ სიმბოლოს კლასიდან ველების გამოყენებით [u,l,d,o]credit. ჩვენი სიტყვების სია, რომელთა გამოყენებაც შეუძლებელია, ასევე ზედმეტია, რადგან ჩვენ ავკრძალეთ ნებისმიერი კლასის 4-ჯერ გამეორება (ჩვენს სიაში ყველა სიტყვა იწერება მცირე ასოებით). მე ჩავრთე ეს პარამეტრები მხოლოდ იმის საჩვენებლად, თუ როგორ გამოიყენოთ ისინი პაროლის პოლიტიკის კონფიგურაციისთვის.
მას შემდეგ რაც შექმნით თქვენს პოლიტიკას, შეგიძლიათ აიძულოთ მომხმარებლები შეცვალონ პაროლები მომდევნო შესვლისას. სისტემაში.

კიდევ ერთი უცნაური რამ, რაც შეიძლება შენიშნეთ, არის მინდვრები [u,l,d,o]credit შეიცავს უარყოფით რიცხვს. ეს იმიტომ ხდება, რომ 0-ზე მეტი ან ტოლი რიცხვები მისცემს კრედიტს თქვენს პაროლში სიმბოლოს გამოყენებაში. თუ ველი შეიცავს უარყოფით რიცხვს, ეს ნიშნავს, რომ საჭიროა გარკვეული რაოდენობა.

რა არის სესხები?

მე მათ სესხებს ვუწოდებ, რადგან ეს მათ მიზანს მაქსიმალურად ზუსტად გადმოსცემს. თუ პარამეტრის მნიშვნელობა 0-ზე მეტია, პაროლის სიგრძეს დაამატეთ "სიმბოლოების კრედიტების" ტოლი "x". მაგალითად, თუ ყველა პარამეტრი (u,l,d,o)credit დააყენეთ 1-ზე და პაროლის საჭირო სიგრძე იყო 6, მაშინ დაგჭირდებათ 6 სიმბოლო სიგრძის მოთხოვნის დასაკმაყოფილებლად, რადგან თითოეული დიდი, პატარა, ციფრი ან სხვა სიმბოლო მოგცემთ ერთ კრედიტს.

თუ დააინსტალირეთ dcredit 2-ზე, თეორიულად შეგიძლიათ გამოიყენოთ 9 სიმბოლოს სიგრძის პაროლი და მიიღოთ 2 სიმბოლოს კრედიტი რიცხვებისთვის, შემდეგ კი პაროლის სიგრძე უკვე შეიძლება იყოს 10.

შეხედე ამ მაგალითს. პაროლის სიგრძე 13-ზე დავაყენე, dcredit-ზე 2-ზე და ყველაფერი დანარჩენი 0-ზე.

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

ჩემი პირველი შემოწმება ვერ მოხერხდა, რადგან პაროლი 13 სიმბოლოზე ნაკლები იყო. შემდეგ ჯერზე შევცვალე ასო "I" რიცხვით "1" და მივიღე ორი კრედიტი ნომრებისთვის, რამაც პაროლი 13-ის ტოლი გახადა.

პაროლის ტესტირება

პაკეტი libpwquality უზრუნველყოფს სტატიაში აღწერილ ფუნქციებს. მოყვება პროგრამაც pwscore, რომელიც შექმნილია პაროლის სირთულის შესამოწმებლად. ჩვენ გამოვიყენეთ ზემოთ სესხების შესამოწმებლად.
კომუნალური pwscore კითხულობს სტდინი. უბრალოდ გაუშვით პროგრამა და ჩაწერეთ თქვენი პაროლი, ის აჩვენებს შეცდომას ან მნიშვნელობას 0-დან 100-მდე.

პაროლის ხარისხის ქულა დაკავშირებულია პარამეტრთან minlen კონფიგურაციის ფაილში. ზოგადად, 50-ზე ნაკლები ქულა განიხილება "ნორმალურ პაროლად", ხოლო ზემოთ ქულა ითვლება "ძლიერ პაროლად". ნებისმიერი პაროლი, რომელიც გადის ხარისხის შემოწმებას (განსაკუთრებით იძულებითი გადამოწმება cracklib) უნდა გაუძლოს ლექსიკონის შეტევებს და პაროლს 50-ზე მეტი ქულით პარამეტრით minlen თუნდაც ნაგულისხმევად brute force თავდასხმები.

დასკვნა

რეგულირება pwquality - მარტივი და მარტივია გამოყენების უხერხულობასთან შედარებით cracklib ფაილის პირდაპირი რედაქტირებით pam. ამ სახელმძღვანელოში ჩვენ განვიხილეთ ყველაფერი, რაც დაგჭირდებათ Red Hat 7, CentOS 7 და თუნდაც Ubuntu სისტემებზე პაროლის პოლიტიკის დაყენებისას. ასევე ვისაუბრეთ სესხის კონცეფციაზე, რაზეც დეტალურად იშვიათად წერენ, ამიტომ ეს თემა ხშირად გაუგებარი რჩებოდა მათთვის, ვისაც აქამდე არ შეხვედრია.

წყაროები:

pwquality კაცის გვერდი
pam_pwquality კაცის გვერდი
pwscore კაცის გვერდი

სასარგებლო ბმულები:

უსაფრთხო პაროლების არჩევა - ბრიუს შნაიერი
ლორი ფეით კრანორი განიხილავს თავის პაროლების შესწავლას CMU-ში
სამარცხვინო xkcd მულტფილმი ენტროპიაზე

წყარო: www.habr.com