ProHoster > Π‘Π»ΠΎΠ³ > administratio > Creando Password Policy in Linux

Creando Password Policy in Linux

Salve iterum! Classes in novum cursum coetus incipit cras "Administrator Linux"qua in re utilem rem de re publicamus.

Creando Password Policy in Linux

In priore discessionem tibi fecimus uti pam_cracklibut passwords in systemata magis universa Red Hat 6 or CentOS. In Rubrum Hat 7 pam_pwquality reposita cracklib quod pam default moduli pro reprehendo passwords. OMNIBUS pam_pwquality tum Ubuntu et CentOS, ac multa alia OSes. Modus hic modulus faciliorem reddendi tesseram agendi rationem facit ut utentes tesserae tuae signa roboris accipiant.

Diu communis accessus ad passwords erat utentis utentis auto, lowercase, numeris vel aliis symbolis cogeret. Hae regulae fundamentales multiplicitatis tesserae per decem annos late promotae sunt. Multum disputatum est utrum hoc bonum sit usu necne. Argumentum principale contra tales conditiones implicatas erat ut utentes tesseras in chartis scriberent et eas in incerto collocarent.

Aliud consilium quod nuper in dubium vocatum est copias utentium utentes mutare tesseras singulis diebus x. Fuere qui docui hoc quoque advorsum salutis studia.

Plures articuli in argumento harum disputationum conscripti sunt, quae unam sententiam vel aliam confirmant. Sed hoc non est quod in hoc articulo dicturi sumus. Hic articulus loquetur quomodo tesseram multiplicitatem rectius explicabit quam consilium securitatis administrare.

Password Policy Occasus

Infra videbis optiones tesseras et brevem cuiusque descriptionem. Earum multi similes parametris in modulo sunt cracklib. Hic aditus faciliorem reddit rationes tuas ex legato portendi.

  • difok - Numerus characterum in tessera nova tua quae in vetere tessera tua adesse non debet. (default 5)
  • minlen - Minimum longitudinem password. (default 9)
  • ucredit - Maximus numerus creditorum pro utendo characteribus autocinetis (si modulo > 0), vel minimus numerus personarum auto- rarum requisitus (si modulus <0). Default is 1 .
  • lcredit - Maximus numerus creditorum ad lowercase litteras utens (si modularis> 0), vel minimum numerum lowercase characteres (si modulus <0). Default is 1 .
  • dcredit β€” Maximus numerus creditorum pro utendo digitorum (si modulo > 0), vel minimus numerus digitorum requisitus (si modulus <0). Default is 1 .
  • ocredit β€” Maximus numerus creditorum pro aliis symbolis utendis (si modulus >0), vel numerus minimus numerus aliorum symbolorum (si modulus <0). Default is 1 .
  • minclass - ponit numerum classes requiritur. Classes parametros superiores includunt (characteres casus superiores, casus inferiores characteres, numeri, aliae notae). Default 0 est.
  • maxrepeat - Maximus pluries character in tessera repeti potest. Default 0 est.
  • maxclassrepeat β€” Maximus numerus characteres consecutivorum in uno genere. Default 0 est.
  • gecoscheck – SCUTULATUM num tessera contineat aliqua verba e chordis GECOS utentis. (User informationes, i.e. real name, location, etc.) Default is 0 (off).
  • dictpath - Eamus ad dictionaria cracklib.
  • badwords – Spatium separatum verba quae in passwords prohibentur (Nomen Societatis, verbum "password" etc.

Si mutui conceptus mirum sonat, bene est, suus normalis. Plura de hac in sectionibus dicemus.

Password Policy configurationis

Priusquam incipias schemata configurationem edere, bonum usus est ut in antecessum consilium tesserae fundamentalis scriberet. Exempli causa utemur sequenti difficultate regulae;

  • Tesseras debet habere minimum longitudinem XV ingenia.
  • Eadem indoles in tessera non plus quam bis repetenda est.
  • Characteres classes in tessera usque quater repeti possunt.
  • Tesseras characteres ex unoquoque genere continere debet.
  • Tessera nova debet habere 5 novas ingenia cum veteri comparata.
  • Admitte GECOS reprehendo.
  • Prohibe verba "password, pass, verbum, putorius".

Nunc quod consilium deposuimus, tabellam recensere possumus /etc/security/pwquality.confut proventus password multiplicitate requisita. Infra exemplum est fasciculus cum commentis ad meliorem intelligentiam. 

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

Ut notasse licet, aliquae ambitus in tabella nostra redundant. Exempli gratia, modulus minclass superuacua est quia iam utimur saltem duobus characteribus ex genere utendi agris [u,l,d,o]credit. Nostrae verborum indicem, quae adhiberi non possunt, etiam redundans est, quandoquidem quaternionibus quattuor classis repetere prohibemus (omnia verba in indice nostro characteribus minusculae conscripta sunt). Has optiones tantum includi ut demonstrarem quomodo illis utendi consilio es tesserae configurandae.
Cum consilium tuum creavisti, utentes cogere potes ut suas passwords mutent proximo tempore aperiunt. систСму.

Alterum mirum fortasse notatum est agros [u,l,d,o]credit numerus negativus continet. Causa est, quia numeri maior quam vel aequalis 0 fidem adhibebunt characteri in tessera tua. Si ager numerus negativum continet, significat certam quantitatem requiri.

Quid mutui?

Eos fenus voco, quia quam verissime rem suam importat. Si valor parametri maior est quam 0, numerum "creditorum characteris" cum "x" aequale password longitudinis addas. Exempli gratia, si omnes parametri (u,l,d,o)credit pone ad 1 et tesseram inquisitam longitudinis erat 6, tunc opus erit 6 characteribus ad satisfaciendum longitudini mandati quod singulae auto, digiti minusculae vel aliae mores tibi unam fidem dabunt.

Si install dcredit ad 2, tesseram 9 characteribus longam et 2 characteribus creditorum numerorum ac deinde longitudinis tesserae iam esse 10 posses.

Vide hoc exemplum. Tesseram longitudinis ad XIII posui, positae dcredit ad II, reliqua omnia ad 13 .

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

Primum reprehendo defecit quod signum minus quam XIII characteres diu. Postero tempore litteram "I" ad numerum "13" mutavi et duas creditas numeris accepi, quae tesseram 1 aequalem fecerunt.

Signum temptationis

sarcina libpwquality functionality praebet in articulo descripto. Etiam cum programma venit pwscorequae ad reprimendam tesseram multiplicitatem pertinet. Superius ad reprimendam mutuis usi sumus.
utilitas pwscore legit from * stdin. Modo utilitatem curro et tesseram scribe, errorem vel valorem ab 0 ad 100 ostendet.

Tesseras qualis score ad parametri minlen in configuration file. Communiter, sexaginta minus quam 50 consideratur "tessera normale", et score supra "clavem validam" existimatur. Tesseram quae transit qualitas compescit (maxime coactus verificationem" cracklib) Dictionarium sustinere debet impetus et tesseram cum sexaginta supra 50 occasu minlen etiam per defaltam brute force impetus.

conclusio,

tionibus pwquality - facilis et simplex est usui incommodo comparata cracklib cum recta lima edendis pam. In hoc duce, operuimus omnia quae opus erit cum tesserae rationes in Rubrum Hat 7, CentOS 7, et etiam systemata Ubuntu constituendo. Locuti sumus etiam de notione mutui, quod raro singillatim scribitur, quare saepe hic locus obscurus est iis qui antea non congressi sunt.

fontes:

pwquality homo page
pam_pwquality homo pagina
pwscore homo page

Utile links:

Eligens secure Passwords - Brus Schneier
Lorrie Fides Cranor de suis tesserae studiis disputat ad CMU
Infamis xkcd viverra in Entropy

Source: www.habr.com