ProHoster > Blog > Administratioun > Erstellt eng Passwuert Politik am Linux

Erstellt eng Passwuert Politik am Linux

Moien nach eng Kéier! D'Coursen am neie Coursgrupp fänken muer un "Linux Administrator", an dëser Hisiicht publizéieren mir en nëtzlechen Artikel zum Thema.

Erstellt eng Passwuert Politik am Linux

Am virege Tutorial hu mir Iech gesot wéi Dir benotzt pam_cracklibfir Passwierder op Systemer méi komplex ze maachen Red Hat 6 oder CentOS. Am Red Hat 7 pam_pwquality ersat cracklib wéi pam Standardmodul fir Passwierder ze kontrolléieren. Modul pam_pwquality och ënnerstëtzt op Ubuntu an CentOS, wéi och vill aner OSes. Dëse Modul mécht et einfach Passwuert Politiken ze schafen fir sécherzestellen, datt Benotzer Är Passwuert Stäerkt Standarden akzeptéieren.

Fir eng laang Zäit war déi gemeinsam Approche fir Passwierder de Benotzer ze zwéngen, grouss, kleng, Zuelen oder aner Symboler ze benotzen. Dës Basisregele fir Passwuert Komplexitéit goufen an de leschten zéng Joer wäit gefördert. Et gouf vill Diskussioun iwwer ob dëst gutt Praxis ass oder net. D'Haaptargument géint sou komplex Konditiounen ze setzen war datt d'Benotzer Passwierder op Stécker Pabeier schreiwen an onsécher späicheren.

Eng aner Politik, déi viru kuerzem a Fro gestallt gouf, forcéiert d'Benotzer hir Passwierder all x Deeg z'änneren. Et goufen e puer Studien déi gewisen hunn datt dëst och schiedlech ass fir d'Sécherheet.

Vill Artikele sinn zum Thema vun dësen Diskussiounen geschriwwen, déi deen een oder anere Standpunkt ënnersträichen. Awer dëst ass net wat mir an dësem Artikel diskutéieren. Dësen Artikel schwätzt iwwer wéi Dir d'Passwuertkomplexitéit korrekt setzt anstatt d'Sécherheetspolitik ze managen.

Passwuert Politik Astellunge

Hei ënnen gesitt Dir d'Passwuertpolitikoptiounen an eng kuerz Beschreiwung vun all. Vill vun hinnen sinn ähnlech wéi d'Parameteren am Modul cracklib. Dës Approche mécht et méi einfach Är Politiken aus dem Legacy System ze portéieren.

  • Et deet mir leed - D'Zuel vun den Zeechen an Ärem neie Passwuert, déi NET an Ärem alen Passwuert sollte sinn. (Standard 5)
  • minlen - Minimum Passwuert Längt. (Standard 9)
  • ukredit – Déi maximal Unzuel u Kreditter fir grouss Buschtawen ze benotzen (wann Parameter > 0), oder déi minimal erfuerderlech Unzuel u grouss Buschtawen (wann Parameter < 0). Default ass den 1.
  • lkredit - Déi maximal Unzuel u Kreditter fir kleng Buschtawen ze benotzen (wann Parameter > 0), oder déi minimal erfuerderlech Unzuel u kleng Buschtawen (wann Parameter < 0). Default ass den 1.
  • kredit - Déi maximal Unzuel u Kreditter fir Zifferen ze benotzen (wann Parameter > 0), oder déi minimal erfuerderlech Zuel vun Zifferen (wann Parameter < 0). Default ass 1.
  • hie gleeft - Déi maximal Unzuel u Kreditter fir aner Symboler ze benotzen (wann Parameter > 0), oder déi minimal erfuerderlech Unzuel vun anere Symboler (wann Parameter < 0). Default ass den 1.
  • minclass - Setzt d'Zuel vun de Klassen erfuerderlech. Klassen enthalen déi uewe genannte Parameteren (Uewerkuerzeeche, kleng Buschtawen, Zuelen, aner Zeechen). Standard ass 0.
  • max widderhuelen - Déi maximal Unzuel vun Mol e Charakter kann an engem Passwuert widderholl ginn. Standard ass 0.
  • maxclass widderhuelen - Déi maximal Unzuel vun hannereneen Zeechen an enger Klass. Standard ass 0.
  • gecoscheck - Kontrolléiert ob d'Passwuert Wierder aus de GECOS-Strings vum Benotzer enthält. (Benotzer Informatiounen, dh richtegen Numm, Standuert, etc.) Standard ass 0 (aus).
  • diktpath - Loosst eis an d'Cracklib Dictionnairen goen.
  • badwords - Raum getrennte Wierder déi a Passwierder verbueden sinn (Firmanumm, d'Wuert "Passwuert", asw.).

Wann d'Konzept vu Prêten komesch kléngt, ass et an der Rei, et ass normal. Mir wäerte méi iwwer dëst an de folgende Rubriken schwätzen.

Passwuert Politik Configuratioun

Ier Dir ufänkt Konfiguratiounsdateien z'änneren, ass et eng gutt Praxis fir am Viraus eng Basis Passwuertpolitik opzeschreiwen. Zum Beispill benotze mir déi folgend Schwieregkeetsregelen:

  • D'Passwuert muss mindestens 15 Zeechen hunn.
  • Dee selwechte Charakter soll net méi wéi zweemol am Passwuert widderholl ginn.
  • Charakter Klassen kënne bis zu véier Mol an engem Passwuert widderholl ginn.
  • D'Passwuert muss Zeechen aus all Klass enthalen.
  • Dat neit Passwuert muss 5 nei Zeechen am Verglach zum alen hunn.
  • Aktivéiert GECOS Check.
  • Verbitt d'Wierder "Passwuert, Pass, Wuert, Putorius"

Elo datt mir d'Politik geluecht hunn, kënne mir de Fichier änneren /etc/security/pwquality.confPasswuert Komplexitéit Ufuerderunge ze erhéijen. Drënner ass e Beispill Fichier mat Kommentaren fir besser Verständnis. 

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

Wéi Dir vläicht gemierkt hutt, sinn e puer Parameteren an eiser Datei redundant. Zum Beispill, de Parameter minclass ass iwwerflësseg well mir scho mindestens zwee Zeechen aus der Klass benotze mat Felder [u,l,d,o]credit. Eis Lëscht vu Wierder, déi net benotzt kënne ginn, ass och iwwerflësseg, well mir all Klass 4 Mol widderhuelen verbueden hunn (all Wierder an eiser Lëscht sinn a klenge Buschtawen geschriwwen). Ech hunn dës Optiounen nëmme mat abegraff fir ze weisen wéi Dir se benotzt fir Är Passwuertpolitik ze konfiguréieren.
Wann Dir Är Politik erstallt hutt, kënnt Dir d'Benotzer forcéieren hir Passwierder ze änneren déi nächst Kéier wann se aloggen. de System.

Eng aner komesch Saach, déi Dir gemierkt hutt, ass datt d'Felder [u,l,d,o]credit enthalen eng negativ Zuel. Dëst ass well Zuelen méi grouss wéi oder gläich wéi 0 Kreditt ginn fir de Charakter an Ärem Passwuert ze benotzen. Wann d'Feld eng negativ Zuel enthält, heescht et datt eng gewësse Quantitéit erfuerderlech ass.

Wat sinn Prêten?

Ech nennen se Prêten well dat hiren Zweck sou genau wéi méiglech vermëttelt. Wann de Parameterwäert méi wéi 0 ass, füügt Dir eng Zuel vun "Charakter Credits" gläich wéi "x" un d'Passwuertlängt. Zum Beispill, wann all Parameteren (u,l,d,o)credit op 1 gesat an déi erfuerderlech Passwuertlängt war 6, da braucht Dir 6 Zeechen fir d'Längtfuerderung ze erfëllen, well all grouss Buschtawen, kleng Buschtawen, Zifferen oder aner Zeechen Iech e Kreditt ginn.

Wann Dir installéiert dcredit um 2, Dir kënnt theoretesch e Passwuert benotzen dat 9 Zeeche laang ass a kritt 2 Charakterkreditter fir Zuelen, an da kéint d'Passwuertlängt scho 10 sinn.

Kuckt dëst Beispill. Ech setzen d'Passwuertlängt op 13, setzen dcredit op 2, an alles anescht op 0.

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

Meng éischt Scheck ass gescheitert well d'Passwuert manner wéi 13 Zeechen laang war. Déi nächst Kéier hunn ech de Bréif "I" op d'Nummer "1" geännert an zwee Krediter fir d'Zuelen kritt, wat d'Passwuert gläich wéi 13 gemaach huet.

Passwuert Testen

Package libpwquality bitt d'Funktionalitéit déi am Artikel beschriwwe gëtt. Et kënnt och mat engem Programm pwscore, déi entwéckelt ass fir d'Komplexitéit vum Passwuert ze kontrolléieren. Mir hunn et uewen benotzt fir Prêten ze kontrolléieren.
Utility pwscore liest aus stdin. Fuert just den Utility a schreift Äert Passwuert, et weist e Feeler oder e Wäert vun 0 bis 100.

De Passwuertqualitéit Score ass mam Parameter verbonnen minlen an der Konfiguratiounsdatei. Am Allgemengen gëtt e Score manner wéi 50 als "normalt Passwuert" ugesinn, an e Score uewen gëtt als "staark Passwuert" ugesinn. All Passwuert dat Qualitéitskontrolle passéiert (besonnesch forcéiert Verifikatioun cracklib) muss Wierderbuch Attacke widderstoen, an e Passwuert mat engem Score iwwer 50 mat der Astellung minlen souguer par défaut brute force Attacken.

Konklusioun

Upassung pwquality - et ass einfach an einfach am Verglach zum Nodeel vum Gebrauch cracklib mat direkten Fichier Redaktioun pam. An dësem Guide hu mir alles ofgedeckt wat Dir braucht wann Dir Passwuertpolitiken op Red Hat 7, CentOS 7, a souguer Ubuntu Systemer opstellt. Mir hunn och iwwer d'Konzept vu Prêten geschwat, iwwer dat seelen am Detail geschriwwe gëtt, sou datt dëst Thema dacks onkloer bliwwen ass fir déi, déi et net virdru begéint hunn.

Quell:

pwquality Mann Säit
pam_pwquality Mann Säit
pwscore Mann Säit

Nëtzlech Adressen:

Wielt sécher Passwierder - Bruce Schneier
Lorrie Faith Cranor diskutéiert hir Passwuert Studien um CMU
Den Infamous xkcd Cartoon iwwer Entropie

Source: will.com

Setzt e Commentaire