Sveiks atkal! RÄ«t sÄkas nodarbÄ«bas jaunajÄ kursu grupÄ
IepriekÅ”ÄjÄ apmÄcÄ«bÄ mÄs teicÄm, kÄ lietot pam_cracklib
lai padarÄ«tu paroles sistÄmÄs sarežģītÄkas pam_pwquality
aizstÄts cracklib
kÄ pam
noklusÄjuma modulis paroļu pÄrbaudei. Modulis pam_pwquality
atbalsta arÄ« Ubuntu un CentOS, kÄ arÄ« daudzas citas operÄtÄjsistÄmas. Å is modulis ļauj viegli izveidot paroļu politikas, lai nodroÅ”inÄtu, ka lietotÄji pieÅem jÅ«su paroles stipruma standartus.
Ilgu laiku izplatÄ«ta pieeja parolÄm bija piespiest lietotÄju lietot lielos, mazos, ciparus vai citus simbolus. Å ie paroles sarežģītÄ«bas pamatnoteikumi ir plaÅ”i popularizÄti pÄdÄjo desmit gadu laikÄ. Ir bijis daudz diskusiju par to, vai tÄ ir laba prakse vai nÄ. Galvenais arguments pret Å”Ädu sarežģītu nosacÄ«jumu uzstÄdÄ«Å”anu bija tas, ka lietotÄji pieraksta paroles uz papÄ«ra lapiÅÄm un glabÄ tÄs nedroÅ”i.
VÄl viena politika, kas nesen tika apÅ”aubÄ«ta, liek lietotÄjiem mainÄ«t paroles ik pÄc x dienÄm. Ir veikti daži pÄtÄ«jumi, kas liecina, ka tas arÄ« kaitÄ droŔībai.
Par Å”o diskusiju tÄmu ir tapuÅ”i daudzi raksti, kas pamato vienu vai otru viedokli. Bet tas nav tas, ko mÄs apspriedÄ«sim Å”ajÄ rakstÄ. Å ajÄ rakstÄ tiks runÄts par to, kÄ pareizi iestatÄ«t paroles sarežģītÄ«bu, nevis pÄrvaldÄ«t droŔības politiku.
Paroles politikas iestatījumi
TÄlÄk redzÄsit paroļu politikas opcijas un Ä«su katras no tÄm aprakstu. Daudzi no tiem ir lÄ«dzÄ«gi moduļa parametriem cracklib
. Å Ä« pieeja atvieglo politiku pÄrneÅ”anu no mantotÄs sistÄmas.
- difok ā JaunÄs paroles rakstzÄ«mju skaits, kam NAV jÄbÅ«t jÅ«su vecajÄ parolÄ. (NoklusÄjums 5)
- minle - MinimÄlais paroles garums. (NoklusÄjums 9)
- kredÄ«ts ā MaksimÄlais kredÄ«tpunktu skaits lielo burtu lietoÅ”anai (ja parametrs > 0) vai minimÄlais nepiecieÅ”amais lielo burtu skaits (ja parametrs < 0). NoklusÄjums ir 1.
- lkredÄ«ts ā maksimÄlais kredÄ«tpunktu skaits mazo burtu lietoÅ”anai (ja parametrs > 0) vai minimÄlais nepiecieÅ”amais mazo burtu skaits (ja parametrs < 0). NoklusÄjums ir 1.
- dkredÄ«ts ā maksimÄlais kredÄ«tpunktu skaits ciparu lietoÅ”anai (ja parametrs > 0) vai minimÄlais nepiecieÅ”amais ciparu skaits (ja parametrs < 0). NoklusÄjums ir 1.
- kredÄ«ts ā maksimÄlais kredÄ«tpunktu skaits citu simbolu lietoÅ”anai (ja parametrs > 0) vai minimÄlais nepiecieÅ”amais citu simbolu skaits (ja parametrs < 0). NoklusÄjums ir 1.
- minklase ā Iestata nepiecieÅ”amo nodarbÄ«bu skaitu. KlasÄs ietilpst iepriekÅ” minÄtie parametri (lielie burti, mazie burti, cipari, citas rakstzÄ«mes). NoklusÄjums ir 0.
- maks.atkÄrtot ā MaksimÄlais reižu skaits, kad parolÄ rakstzÄ«me var tikt atkÄrtota. NoklusÄjums ir 0.
- max klases atkÄrtojums ā maksimÄlais secÄ«go rakstzÄ«mju skaits vienÄ klasÄ. NoklusÄjums ir 0.
- gecoscheck ā PÄrbauda, āāvai parole nesatur vÄrdus no lietotÄja GECOS virknÄm. (LietotÄja informÄcija, t.i., Ä«stais vÄrds, atraÅ”anÄs vieta utt.) NoklusÄjums ir 0 (izslÄgts).
- diktÄta ceļŔ ā Ejam uz cracklib vÄrdnÄ«cÄm.
- slikti vÄrdi ā ar atstarpi atdalÄ«ti vÄrdi, kas parolÄs ir aizliegti (uzÅÄmuma nosaukums, vÄrds āparoleā utt.).
Ja kredÄ«tu jÄdziens izklausÄs dÄ«vaini, nekas, tas ir normÄli. Par to vairÄk runÄsim nÄkamajÄs sadaļÄs.
Paroles politikas konfigurÄcija
Pirms sÄkat rediÄ£Ät konfigurÄcijas failus, ieteicams iepriekÅ” pierakstÄ«t pamata paroles politiku. PiemÄram, mÄs izmantosim Å”Ädus sarežģītÄ«bas noteikumus:
- Parolei jÄbÅ«t vismaz 15 rakstzÄ«mÄm garai.
- Viena un tÄ pati rakstzÄ«me parolÄ nedrÄ«kst atkÄrtot vairÄk kÄ divas reizes.
- RakstzÄ«mju klases ar paroli var atkÄrtot lÄ«dz ÄetrÄm reizÄm.
- ParolÄ jÄbÅ«t rakstzÄ«mÄm no katras klases.
- JaunajÄ parolÄ ir jÄbÅ«t 5 jaunÄm rakstzÄ«mÄm salÄ«dzinÄjumÄ ar veco.
- IespÄjot GECOS pÄrbaudi.
- Aizliegt vÄrdus āparole, parole, vÄrds, putoriusā
Tagad, kad esam izstrÄdÄjuÅ”i politiku, varam rediÄ£Ät failu /etc/security/pwquality.conf
lai palielinÄtu paroles sarežģītÄ«bas prasÄ«bas. TÄlÄk ir sniegts faila piemÄrs ar komentÄriem labÄkai izpratnei.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius
KÄ jÅ«s, iespÄjams, pamanÄ«jÄt, daži parametri mÅ«su failÄ ir lieki. PiemÄram, parametrs minclass
ir lieks, jo mÄs jau izmantojam vismaz divas rakstzÄ«mes no klases, izmantojot laukus [u,l,d,o]credit
. MÅ«su saraksts ar vÄrdiem, kurus nevar lietot, ir arÄ« lieks, jo mÄs esam aizlieguÅ”i atkÄrtot jebkuru klasi 4 reizes (visi vÄrdi mÅ«su sarakstÄ ir rakstÄ«ti ar mazajiem burtiem). Å Ä«s opcijas esmu iekļÄvis tikai tÄpÄc, lai parÄdÄ«tu, kÄ tÄs izmantot paroles politikas konfigurÄÅ”anai.
Kad esat izveidojis politiku, varat piespiest lietotÄjus mainÄ«t paroles nÄkamajÄ pieteikÅ”anÄs reizÄ.
VÄl viena dÄ«vaina lieta, ko jÅ«s, iespÄjams, pamanÄ«jÄt, ir tas, ka lauki [u,l,d,o]credit
satur negatÄ«vu skaitli. Tas ir tÄpÄc, ka skaitļi, kas ir lielÄki vai vienÄdi ar 0, norÄda uz rakstzÄ«mes izmantoÅ”anu jÅ«su parolÄ. Ja laukÄ ir negatÄ«vs skaitlis, tas nozÄ«mÄ, ka ir nepiecieÅ”ams noteikts daudzums.
Kas ir aizdevumi?
Es tos saucu par aizdevumiem, jo āātas pÄc iespÄjas precÄ«zÄk atspoguļo to mÄrÄ·i. Ja parametra vÄrtÄ«ba ir lielÄka par 0, paroles garumam jÄpievieno "rakstzÄ«mju kredÄ«tu" skaits, kas vienÄds ar "x". PiemÄram, ja visi parametri (u,l,d,o)credit
iestatīts uz 1 un nepiecieŔamais paroles garums bija 6, tad jums būs nepiecieŔamas 6 rakstzīmes, lai izpildītu garuma prasību, jo katrs lielais, mazais burts, cipars vai cita rakstzīme pieŔķirs jums vienu kredītu.
Ja instalÄjat dcredit
pie 2 teorÄtiski varÄtu izmantot paroli, kura ir 9 rakstzÄ«mes gara un par cipariem saÅemt 2 rakstzÄ«mju kredÄ«tus, un tad paroles garums jau varÄtu bÅ«t 10.
Apskatiet Å”o piemÄru. Es iestatÄ«ju paroles garumu uz 13, dcredit uz 2 un visu pÄrÄjo uz 0.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18
Mana pirmÄ pÄrbaude neizdevÄs, jo parole bija mazÄka par 13 rakstzÄ«mÄm. NÄkamajÄ reizÄ nomainÄ«ju burtu āIā pret skaitli ā1ā un par cipariem saÅÄmu divus kredÄ«tpunktus, kÄ rezultÄtÄ parole bija vienÄda ar 13.
Paroles pÄrbaude
Paka libpwquality
nodroÅ”ina rakstÄ aprakstÄ«to funkcionalitÄti. Tam ir arÄ« programma pwscore
, kas paredzÄts paroles sarežģītÄ«bas pÄrbaudei. MÄs to izmantojÄm iepriekÅ”, lai pÄrbaudÄ«tu aizdevumus.
Lietderība pwscore
skan no
Paroles kvalitÄtes rÄdÄ«tÄjs ir saistÄ«ts ar parametru minlen
konfigurÄcijas failÄ. Parasti rezultÄts, kas ir mazÄks par 50, tiek uzskatÄ«ts par āparastu paroliā, un rezultÄts, kas pÄrsniedz to, tiek uzskatÄ«ts par āspÄcÄ«gu paroliā. Jebkura parole, kas iztur kvalitÄtes pÄrbaudes (Ä«paÅ”i piespiedu verifikÄciju cracklib
) ir jÄiztur vÄrdnÄ«cu uzbrukumi un parole ar punktu skaitu virs 50 ar iestatÄ«jumu minlen
pat pÄc noklusÄjuma brute force
uzbrukumiem.
SecinÄjums
koriÄ£ÄÅ”ana pwquality
ā tas ir viegli un vienkÄrÅ”i, salÄ«dzinot ar lietoÅ”anas neÄrtÄ«bÄm cracklib
ar tieÅ”u failu rediÄ£ÄÅ”anu pam
. Å ajÄ rokasgrÄmatÄ mÄs esam apskatÄ«juÅ”i visu, kas jums bÅ«s nepiecieÅ”ams, iestatot paroļu politikas Red Hat 7, CentOS 7 un pat Ubuntu sistÄmÄs. RunÄjÄm arÄ« par kredÄ«tu jÄdzienu, par kuru reti tiek rakstÄ«ts sÄ«kÄk, tÄpÄc Ŕī tÄma nereti palika neskaidra tiem, kas ar to iepriekÅ” nebija saskÄruÅ”ies.
Avoti:
Noderīgas saites:
Avots: www.habr.com