ProHoster > Dienoraštis > Administravimas > Slaptažodžio politikos kūrimas sistemoje „Linux“.

Slaptažodžio politikos kūrimas sistemoje „Linux“.

Labas dar kartą! Rytoj prasidės pamokos naujoje kursų grupėje "Linux administratorius", šiuo klausimu publikuojame naudingą straipsnį šia tema.

Slaptažodžio politikos kūrimas sistemoje „Linux“.

Ankstesnėje pamokoje mes jums pasakėme, kaip naudoti pam_cracklibkad slaptažodžiai sistemose būtų sudėtingesni Raudona kepurė 6 arba CentOS. „Red Hat 7“. pam_pwquality pakeistas cracklib kaip pam numatytasis slaptažodžių tikrinimo modulis. Modulis pam_pwquality taip pat palaikoma Ubuntu ir CentOS, taip pat daugelyje kitų OS. Šis modulis leidžia lengvai sukurti slaptažodžių politiką, kad vartotojai sutiktų su slaptažodžio stiprumo standartais.

Ilgą laiką įprastas požiūris į slaptažodžius buvo priversti vartotoją naudoti didžiąsias, mažąsias raides, skaičius ar kitus simbolius. Šios pagrindinės slaptažodžio sudėtingumo taisyklės buvo plačiai reklamuojamos per pastaruosius dešimt metų. Daug diskutuota, ar tai gera praktika, ar ne. Pagrindinis argumentas prieš tokių sudėtingų sąlygų nustatymą buvo tai, kad vartotojai užrašo slaptažodžius ant popieriaus lapų ir nesaugiai juos saugo.

Kita politika, kuri neseniai buvo suabejota, verčia vartotojus keisti slaptažodžius kas x dienas. Buvo atlikti kai kurie tyrimai, kurie parodė, kad tai taip pat kenkia saugumui.

Šių diskusijų tema parašyta daug straipsnių, kurie pagrindžia vieną ar kitą požiūrį. Tačiau šiame straipsnyje aptarsime ne tai. Šiame straipsnyje bus kalbama apie tai, kaip teisingai nustatyti slaptažodžio sudėtingumą, o ne valdyti saugos politiką.

Slaptažodžio politikos nustatymai

Žemiau matysite slaptažodžių politikos parinktis ir trumpą kiekvieno iš jų aprašymą. Daugelis jų yra panašūs į modulio parametrus cracklib. Šis metodas leidžia lengviau perkelti politiką iš senosios sistemos.

  • difok – Naujojo slaptažodžio simbolių skaičius, kurių senajame slaptažodyje NETURI būti. (numatytasis 5)
  • minlen – Minimalus slaptažodžio ilgis. (Numatytasis 9)
  • kreditas – Didžiausias kreditų skaičius naudojant didžiąsias raides (jei parametras > 0) arba minimalus reikalingas didžiųjų raidžių skaičius (jei parametras < 0). Numatytasis yra 1.
  • lkreditas — Didžiausias kreditų skaičius naudojant mažąsias raides (jei parametras > 0) arba mažiausias reikalingas mažųjų raidžių skaičius (jei parametras < 0). Numatytasis yra 1.
  • kreditas — Didžiausias kreditų skaičius už skaitmenų naudojimą (jei parametras > 0) arba minimalus reikalingas skaitmenų skaičius (jei parametras < 0). Numatytasis yra 1.
  • kredituoti — Didžiausias kreditų skaičius už kitų simbolių naudojimą (jei parametras > 0) arba minimalus reikiamas kitų simbolių skaičius (jei parametras < 0). Numatytasis yra 1.
  • minklase – Nustato reikalingų klasių skaičių. Klasės apima aukščiau nurodytus parametrus (didžiąsias raides, mažąsias raides, skaičius, kitus simbolius). Numatytoji vertė yra 0.
  • maksimalus pakartojimas – Didžiausias simbolis gali būti kartojamas slaptažodžiu. Numatytoji vertė yra 0.
  • maksimalus pakartojimas — Didžiausias iš eilės einančių simbolių skaičius vienoje klasėje. Numatytoji vertė yra 0.
  • gecoscheck – Patikrina, ar slaptažodyje nėra žodžių iš vartotojo GECOS eilučių. (Vartotojo informacija, t. y. tikras vardas, vieta ir kt.) Numatytoji reikšmė yra 0 (išjungta).
  • diktatas – Eikime į cracklib žodynus.
  • blogi žodžiai – Slaptažodžiuose draudžiami tarpais atskirti žodžiai (įmonės pavadinimas, žodis „slaptažodis“ ir kt.).

Jei paskolų samprata skamba keistai, tai gerai, tai normalu. Daugiau apie tai kalbėsime kituose skyriuose.

Slaptažodžio politikos konfigūracija

Prieš pradedant redaguoti konfigūracijos failus, gera praktika būtų iš anksto užsirašyti pagrindinę slaptažodžio politiką. Pavyzdžiui, naudosime šias sudėtingumo taisykles:

  • Slaptažodis turi būti ne trumpesnis kaip 15 simbolių.
  • Slaptažodyje tas pats simbolis neturėtų būti kartojamas daugiau nei du kartus.
  • Simbolių klases slaptažodžiu galima kartoti iki keturių kartų.
  • Slaptažodyje turi būti simbolių iš kiekvienos klasės.
  • Naujasis slaptažodis turi būti sudarytas iš 5 naujų simbolių, palyginti su senuoju.
  • Įgalinti GECOS patikrą.
  • Uždrausti žodžius „slaptažodis, slaptažodis, žodis, putorius“

Dabar, kai išdėstėme politiką, galime redaguoti failą /etc/security/pwquality.confpadidinti slaptažodžio sudėtingumo reikalavimus. Toliau pateikiamas failo pavyzdys su komentarais, kad būtų geriau suprasti. 

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

Kaip galbūt pastebėjote, kai kurie failo parametrai yra pertekliniai. Pavyzdžiui, parametras minclass yra perteklinis, nes jau naudojame bent du klasės simbolius naudodami laukus [u,l,d,o]credit. Mūsų žodžių, kurių vartoti negalima, sąrašas taip pat yra perteklinis, nes uždraudėme bet kurią klasę kartoti 4 kartus (visi žodžiai mūsų sąraše rašomi mažosiomis raidėmis). Įtraukiau šias parinktis tik norėdamas parodyti, kaip jas naudoti konfigūruojant slaptažodžio politiką.
Sukūrę politiką, galėsite priversti vartotojus pakeisti slaptažodžius kitą kartą prisijungdami. sistema.

Kitas keistas dalykas, kurį galbūt pastebėjote, yra tai, kad laukai [u,l,d,o]credit yra neigiamas skaičius. Taip yra todėl, kad skaičiai, didesni arba lygūs 0, reiškia simbolio naudojimą slaptažodžiui. Jei lauke yra neigiamas skaičius, tai reiškia, kad reikalingas tam tikras kiekis.

Kas yra paskolos?

Aš jas vadinu paskolomis, nes taip kuo tiksliau perteikiama jų paskirtis. Jei parametro reikšmė yra didesnė nei 0, prie slaptažodžio ilgio pridedate „simbolių kreditų“ skaičių, lygų „x“. Pavyzdžiui, jei visi parametrai (u,l,d,o)credit nustatytas į 1 ir reikalingas slaptažodžio ilgis buvo 6, tada jums reikės 6 simbolių, kad atitiktumėte ilgio reikalavimą, nes kiekviena didžioji, mažoji raidė, skaitmuo ar kitas simbolis suteiks jums vieną kreditą.

Jei įdiegiate dcredit ties 2, teoriškai galėtumėte naudoti 9 simbolių slaptažodį ir gauti 2 simbolių kreditus už skaičius, o tada slaptažodžio ilgis jau gali būti 10.

Pažvelkite į šį pavyzdį. Slaptažodžio ilgį nustačiau į 13, dcredit – 2, o visa kita – 0.

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

Mano pirmasis patikrinimas nepavyko, nes slaptažodis buvo trumpesnis nei 13 simbolių. Kitą kartą raidę „I“ pakeičiau į skaičių „1“ ir gavau du įskaitymus už skaičius, dėl kurių slaptažodis buvo lygus 13.

Slaptažodžio testavimas

Pakuotė libpwquality suteikia straipsnyje aprašytas funkcijas. Jame taip pat yra programa pwscore, kuris skirtas slaptažodžio sudėtingumui patikrinti. Aukščiau tai naudojome paskoloms patikrinti.
Naudingumas pwscore skaito iš stdin. Tiesiog paleiskite programą ir parašykite slaptažodį, jis parodys klaidą arba reikšmę nuo 0 iki 100.

Slaptažodžio kokybės balas yra susijęs su parametru minlen konfigūracijos faile. Apskritai, mažesnis nei 50 balas laikomas „įprastu slaptažodžiu“, o aukščiau esantis balas laikomas „stipriu slaptažodžiu“. Bet koks slaptažodis, kuris praeina kokybės patikrinimus (ypač priverstinį patvirtinimą cracklib) turi atlaikyti žodyno atakas ir slaptažodį, kurio balas didesnis nei 50 su nustatymu minlen net pagal nutylėjimą brute force išpuolių.

išvada

reguliavimas pwquality – tai lengva ir paprasta, palyginti su naudojimo nepatogumais cracklib su tiesioginiu failų redagavimu pam. Šiame vadove apžvelgėme viską, ko jums prireiks nustatant slaptažodžių politiką Red Hat 7, CentOS 7 ir net Ubuntu sistemose. Kalbėjome ir apie paskolų sąvoką, apie kurią retai rašoma detaliau, tad anksčiau su tuo nesusidūrusiems ši tema dažnai likdavo neaiški.

Šaltiniai:

pwquality man puslapis
pam_pwquality man puslapis
pwscore man puslapis

Naudingos nuorodos:

Saugių slaptažodžių pasirinkimas – Bruce Schneier
Lorrie Faith Cranor aptaria savo slaptažodžių studijas CMU
Liūdnai pagarsėjęs xkcd animacinis filmas apie entropiją

Šaltinis: www.habr.com

Добавить комментарий