Dîsa silav! Dersên koma qursa nû sibê dest pê dikin , di vî warî de, em li ser mijarê gotarek kêrhatî diweşînin.
Di dersa berê de me ji we re got ka meriv çawa bikar tîne pam_cracklibji bo ku şîfreyên li ser pergalên tevlihevtir bikin an CentOS. Di Red Hat 7 de pam_pwquality veguherandin cracklib dema pam modula xwerû ji bo kontrolkirina şîfreyan. Module pam_pwquality di heman demê de li ser Ubuntu û CentOS, û hem jî gelek OS-yên din piştgirî kirin. Ev modul çêkirina polîtîkayên şîfreyê hêsan dike da ku pê ewle bibe ku bikarhêner standardên hêza şîfreya we qebûl dikin.
Demek dirêj, nêzîkatiya hevpar a şîfreyan ew bû ku bikarhêner neçar bike ku tîpên mezin, piçûk, hejmar, an sembolên din bikar bîne. Van qaîdeyên bingehîn ji bo tevliheviya şîfreyê di deh salên borî de bi berfirehî hatine pêşve xistin. Li ser vê yekê ku ev pratîk baş e an na gelek nîqaş hatin kirin. Argumana sereke ya li dijî danîna şert û mercên wusa tevlihev ev bû ku bikarhêner şîfreyan li ser kaxezan dinivîsin û wan bi nebawer hilînin.
Siyasetek din a ku vê dawiyê ketiye nav pirsê, bikarhêneran neçar dike ku her x rojan şîfreyên xwe biguhezînin. Hin lêkolîn hene ku nîşan didin ku ev jî zirarê dide ewlehiyê.
Li ser mijara van nîqaşan gelek gotar hatine nivîsandin, ku yek an jî nêrînek din piştrast dikin. Lê ev ne ya ku em ê di vê gotarê de nîqaş bikin. Ev gotar dê li ser çawa bi rêkûpêk tevliheviya şîfreyê saz bike li şûna birêvebirina siyaseta ewlehiyê biaxive.
Mîhengên Siyaseta Şîfreyê
Li jêr hûn ê vebijarkên polîtîkaya şîfreyê û ravekek kurt a her yekê bibînin. Gelek ji wan bi pîvanên di modulê de ne cracklib. Ev nêzîkatî veguhestina polîtîkayên xwe ji pergala mîras hêsantir dike.
- difok - Hejmara tîpên di şîfreya weya nû de ku divê di şîfreya weya kevn de NE be. (Benda 5)
- minlen - Dirêjahiya şîfreya herî kêm. (Pêşengkirin 9)
- ucredit - Hejmara herî zêde ya krediyan ji bo karanîna tîpên mezin (eger parametre > 0), an hindiktirîn hejmara pêdivî ya tîpên mezin (heke parametre < 0). Pêşniyaz 1 e.
- lkredî - Hejmara herî zêde ya krediyan ji bo karanîna tîpên piçûk (heke parametre > 0), an hindiktirîn hejmara tîpên piçûk (heke parametre < 0) hewce dike. Pêşniyaz 1 e.
- dcredit - Hejmara herî zêde ya kredîyan ji bo karanîna reqeman (heke parametre > 0), an hejmara herî hindik a reqeman (heke parametre < 0). Pêşniyaz 1 e.
- credit - Hejmara herî zêde ya kredîyan ji bo karanîna sembolên din (heke parametre > 0), an hejmara herî hindik a pêdivî ya sembolên din (heke parametre < 0). Pêşniyaz 1 e.
- minclass - Hejmara dersên pêwîst destnîşan dike. Ders pîvanên jorîn (karakterên jor, tîpên piçûk, hejmar, tîpên din) vedigirin. Standard 0 e.
- maxrepeat - Hejmara herî zêde ya ku karakterek di şîfreyekê de dikare were dubare kirin. Standard 0 e.
- maxclassrepeat - Hejmara herî zêde ya tîpên li pey hev di yek polê de. Standard 0 e.
- gecoscheck - Kontrol dike ka şîfre ji rêzikên GECOS-ê yên bikarhêner peyvek heye an na. (Agahdariya bikarhêner, ango navê rastîn, cîh, hwd.) Pêşniyaz 0 e (nekêşî).
- dictpath – Em herin ferhengên cracklib.
- gotinên xerab - Peyvên cihê-veqetandî yên ku di şîfreyan de qedexe ne (Navê pargîdaniyê, peyva "şîfre" û hwd.).
Ger têgeha deynan xerîb xuya dike, baş e, ew normal e. Em ê li ser vê yekê di beşên jêrîn de bêtir biaxivin.
Veavakirina Siyaseta Şîfreyê
Berî ku hûn dest bi guherandina pelên mîhengê bikin, pratîkek baş e ku hûn pêşî li polîtîkaya şîfreya bingehîn binivîsin. Mînakî, em ê qaîdeyên dijwariya jêrîn bikar bînin:
- Divê şîfre herî kêm 15 tîpan hebe.
- Divê heman karakter di şîfreyê de du caran zêdetir neyê dubare kirin.
- Dersên karakteran dikarin di şîfreyek de heta çar caran bêne dubare kirin.
- Divê şîfre tîpên ji her polê hebe.
- Divê şîfreya nû li gorî ya kevn 5 tîpên nû hebin.
- Kontrola GECOS-ê çalak bike.
- Peyvên "şîfre, derbas, peyv, potorius" qedexe bikin
Naha ku me siyaset diyar kir, em dikarin pelê biguherînin /etc/security/pwquality.confji bo zêdekirina daxwazên tevliheviya şîfreyê. Li jêr pelek mînakek bi şîroveyan ji bo baştir têgihiştinê heye.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putoriusWekî ku we dîtiye, hin parametreyên di pelê me de zêde ne. Ji bo nimûne, parametre minclass zede ye ji ber ku em berê herî kêm du tîpan ji polê bi karanîna zeviyan bikar tînin [u,l,d,o]credit. Navnîşa me ya peyvên ku nayên bikar anîn jî zêde ye, ji ber ku me 4 caran dubarekirina her dersê qedexe kiriye (hemû peyvên di navnîşa me de bi tîpên piçûk têne nivîsandin). Min van vebijarkan tenê destnîşan kiriye ku nîşan bidim ka meriv çawa wan bikar tîne da ku hûn polîtîkaya şîfreya xwe mîheng bikin.
Gava ku we polîtîkaya xwe çêkir, hûn dikarin bikarhêneran neçar bikin ku gava din têkevin şîfreyên xwe biguherînin. .
Tiştekî din ê ecêb ku we ferq kiriye ev e ku zevî [u,l,d,o]credit hejmareke neyînî dihewîne. Ev ji ber ku hejmarên ji 0 mezintir an wekhev dê ji bo karanîna karaktera di şîfreya we de krediyê bidin. Ger di zeviyê de jimareyek neyînî hebe, ev tê vê wateyê ku hejmareke diyar hewce ye.
Deyn çi ne?
Ez ji wan re dibêjim deyn ji ber ku ew armanca wan bi qasî ku pêkan rast radigihîne. Ger nirxa parametreyê ji 0-ê mezintir be, hûn jimarek "kredîyên karakter" wekhev "x" li dirêjahiya şîfreyê zêde dikin. Ji bo nimûne, eger hemû parametre (u,l,d,o)credit danî ser 1 û dirêjahiya şîfreya pêwîst 6 bû, wê hingê hûn ê hewceyê 6 karakteran bikin da ku hewcedariya dirêjbûnê têr bikin ji ber ku her tîpek mezin, piçûk, jimar an karakterek din dê yek krediyê bide we.
Heke hûn saz bikin dcredit di 2 de, hûn dikarin bi teorîkî şîfreyek ku 9 tîp dirêj e bikar bînin û ji bo hejmaran 2 krediyên karakteran bistînin, û paşê dirêjahiya şîfreyê jixwe dikare bibe 10.
Li vê nimûneyê binêrin. Min dirêjahiya şîfreyê danî ser 13, dcredit danîn 2, û her tiştê din 0.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18Kontrola min a yekem têk çû ji ber ku şîfre ji 13 tîpan kêmtir bû. Cara din min tîpa "I" guhert û kir hejmara "1" û ji bo hejmaran du kredî wergirt, ku şîfreyê kir 13.
Testkirina şîfreyê
Pakêt libpwquality fonksiyona ku di gotarê de hatî destnîşan kirin peyda dike. Ew jî bi bernameyekê tê pwscore, ku ji bo kontrolkirina tevliheviya şîfreyê hatî çêkirin. Me ew li jor bikar anî da ku krediyan kontrol bikin.
Utility pwscore ji dixwîne . Tenê karûbar bimeşînin û şîfreya xwe binivîsin, ew ê xeletiyek an nirxek ji 0 heta 100 nîşan bide.
Pûana kalîteya şîfreyê bi parametreyê ve girêdayî ye minlen di pelê veavakirinê de. Bi gelemperî, xalek ji 50 kêmtir wekî "şîfreyek normal" tête hesibandin, û xalek jorîn wekî "şîfreyek bihêz" tête hesibandin. Her şîfreyek ku ji kontrolên kalîteyê derbas dibe (bi taybetî verastkirina bi zorê cracklib) divê li hember êrîşên ferhengê, û şîfreyek bi pûanek jor 50 bi mîhengê re bisekinin minlen hetta bi xweber brute force êrîşên.
encamê
ligorî pwquality - li gorî nerehetiya karanîna hêsan û hêsan e cracklib bi sererastkirina pelê rasterast pam. Di vê rêbernameyê de, me her tiştê ku hûn ê hewce bikin dema ku hûn polîtîkayên şîfreyê li ser Red Hat 7, CentOS 7, û tewra pergalên Ubuntu saz bikin vedibêjin. Me her weha behsa têgeha deynan kir, ku kêm caran bi hûrgulî li ser tê nivîsandin, ji ber vê yekê ev mijar pir caran ji bo kesên ku berê pê re rûbirû nebûne ne diyar dima.
Çavkaniyên
Zencîreyên bikêr:
Source: www.habr.com