ProHoster > Blog > fitantanan-draharaha > Mamorona politikan'ny tenimiafina amin'ny Linux

Mamorona politikan'ny tenimiafina amin'ny Linux

Miarahaba indray! Manomboka rahampitso ny fampianarana ao amin'ny vondrona taranja vaovao "Linux Administrator", amin'io lafiny io, dia mamoaka lahatsoratra mahasoa momba ny lohahevitra izahay.

Mamorona politikan'ny tenimiafina amin'ny Linux

Ao amin'ny lesona teo aloha dia nilaza taminao ny fomba fampiasana pam_cracklibmba hahatonga ny tenimiafina amin'ny rafitra sarotra kokoa Satroka mena 6 na CentOS. Ao amin'ny Red Hat 7 pam_pwquality nosoloana cracklib toy ny pam maody default ho an'ny fanamarinana ny tenimiafina. Module pam_pwquality tohana ihany koa amin'ny Ubuntu sy CentOS, ary koa OS maro hafa. Ity maody ity dia manamora ny famoronana politikan'ny tenimiafina mba hahazoana antoka fa eken'ny mpampiasa ny fenitry ny tanjaky ny tenimiafinao.

Nandritra ny fotoana ela, ny fomba fanao mahazatra amin'ny tenimiafina dia ny fanerena ny mpampiasa hampiasa litera lehibe, litera kely, isa, na marika hafa. Ireo fitsipika fototra momba ny fahasarotan'ny tenimiafina ireo dia nampiroborobo be nandritra ny folo taona lasa. Be dia be ny adihevitra momba ny fampiharana tsara na tsia. Ny tena tohan-kevitra hanoherana ny fametrahana fepetra sarotra toy izany dia ny fanoratana ny tenimiafina amin'ny taratasy sy ny fitahirizana azy ireo amin'ny fomba tsy azo antoka.

Politika iray hafa izay vao haingana no nametrahana fanontaniana dia manery ny mpampiasa hanova ny tenimiafina isaky ny x andro. Efa nisy ny fanadihadiana nampiseho fa manimba ny fiarovana ihany koa izany.

Maro ny lahatsoratra nosoratana momba ny lohahevitr'ireo fifanakalozan-kevitra ireo, izay manamafy ny fomba fijery iray na hafa. Tsy izany anefa no hodinihintsika ato amin’ity lahatsoratra ity. Ity lahatsoratra ity dia hiresaka momba ny fomba fametrahana tsara ny fahasarotan'ny tenimiafina fa tsy ny fitantanana ny politika fiarovana.

Fikirana politika tenimiafina

Ho hitanao eto ambany ny safidy politika momba ny tenimiafina sy ny famaritana fohy ny tsirairay. Maro amin'izy ireo no mitovy amin'ny masontsivana ao amin'ny module cracklib. Ity fomba ity dia manamora ny fampitana ny politikanao amin'ny rafitra lova.

  • difok - Ny isan'ny litera ao amin'ny tenimiafinao vaovao izay TSY tokony ho eo amin'ny tenimiafinao taloha. (Default 5)
  • minlen – halavan'ny tenimiafina farany ambany. (Default 9)
  • ucredit – Ny isan'ny crédit ambony indrindra amin'ny fampiasana tarehintsoratra lehibe (raha parameter > 0), na ny isa kely indrindra ilaina amin'ny litera lehibe (raha parameter <0). Default dia 1.
  • lcredit — Ny isan'ny crédit ambony indrindra amin'ny fampiasana tarehintsoratra kely (raha parameter > 0), na ny isa kely indrindra ilaina amin'ny litera kely (raha parameter <0). Default dia 1.
  • dcredit - Ny isan'ny crédit ambony indrindra amin'ny fampiasana isa (raha parameter > 0), na ny isa kely indrindra ilaina (raha parameter <0). Default dia 1.
  • ocredit - Ny isa ambony indrindra amin'ny crédit amin'ny fampiasana marika hafa (raha parameter > 0), na ny isa kely indrindra ilaina amin'ny marika hafa (raha parameter < 0). Default dia 1.
  • minclass - Mametraka ny isan'ny kilasy ilaina. Ny kilasy dia ahitana ireo mari-pamantarana etsy ambony (endri-tsoratra ambony, tarehintsoratra kely, isa, tarehintsoratra hafa). Default dia 0.
  • maxrepeat - Ny isa ambony indrindra azo averina amin'ny tenimiafina ny toetra iray. Default dia 0.
  • maxclassrepeat — Ny isan'ny tarehintsoratra mifanesy ambony indrindra amin'ny kilasy iray. Default dia 0.
  • gecoscheck – Manamarina raha misy teny avy amin'ny tadin'ny GECOS an'ny mpampiasa ny tenimiafina. (Fampahafantarana momba ny mpampiasa, izany hoe ny tena anarana, toerana, sns.) Default dia 0 (eny).
  • dictpath – Andao ho any amin'ny diksionera cracklib.
  • badwords - Teny misaraka amin'ny habaka izay voarara amin'ny tenimiafina (Anaran'ny orinasa, ny teny hoe "password", sns.).

Raha toa ka hafahafa ny hevitra momba ny fampindramam-bola dia tsy maninona fa normal izany. Hiresaka bebe kokoa momba izany isika ao amin'ny fizarana manaraka.

Tenimiafina Politika Configuration

Alohan'ny hanombohanao hanitsy ny fisie fanefena, dia fanao tsara ny manoratra mialoha ny politikan'ny tenimiafina fototra. Ohatra, hampiasa ireto fitsipika sarotra manaraka ireto isika:

  • Ny tenimiafina dia tsy maintsy manana tarehintsoratra 15 farafahakeliny.
  • Ny toetra mitovy dia tsy tokony haverina mihoatra ny indroa ao amin'ny tenimiafina.
  • Ny kilasin'ny toetra dia azo averina in-efatra amin'ny tenimiafina.
  • Ny tenimiafina dia tsy maintsy misy tarehintsoratra avy amin'ny kilasy tsirairay.
  • Ny tenimiafina vaovao dia tsy maintsy manana tarehintsoratra 5 vaovao raha oharina amin'ny taloha.
  • Alefaso ny GECOS check.
  • Mandrara ny teny hoe “password, pass, word, putorius”

Rehefa nametraka ny politika izahay dia afaka manova ny rakitra /etc/security/pwquality.confhampitombo ny fepetra takiana amin'ny tenimiafina. Ity ambany ity misy rakitra ohatra misy fanehoan-kevitra ho an'ny fahatakarana tsara kokoa. 

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

Araka ny efa tsikaritrareo dia tsy ampy ny masontsivana sasany ao amin'ny rakitray. Ohatra, ny parameter minclass dia mihemotra satria efa mampiasa tarehintsoratra roa farafahakeliny avy amin'ny kilasy mampiasa saha isika [u,l,d,o]credit. Ny lisitr'ireo teny tsy azo ampiasaina dia miverimberina ihany koa, satria voarara ny mamerina in-4 ny kilasy rehetra (ny teny rehetra ao amin'ny lisitray dia voasoratra amin'ny litera kely). Nampidiriko ireto safidy ireto mba hampisehoana ny fomba fampiasana azy ireo handrindrana ny politikan'ny tenimiafinao.
Rehefa avy namorona ny politikanao ianao dia azonao atao ny manery ny mpampiasa hanova ny tenimiafinao amin'ny manaraka rehefa miditra izy ireo. ny rafitra.

Zavatra hafahafa hafa mety ho voamarikao dia ny saha [u,l,d,o]credit misy isa ratsy. Izany dia satria ny isa lehibe kokoa na mitovy amin'ny 0 dia hanome crédit amin'ny fampiasana ny endri-tsoratra amin'ny tenimiafinao. Raha misy isa négatif ny saha, midika izany fa ilaina ny habe iray.

Inona no atao hoe fampindramam-bola?

Antsoiko hoe fampindramam-bola izy ireo satria izany no mampita ny tanjony araka izay azo atao. Raha mihoatra ny 0 ny sandan'ny mari-pamantarana, dia ampianao "crédit tarehintsoratra" mitovy amin'ny "x" amin'ny halavan'ny tenimiafina. Ohatra, raha ny parameter rehetra (u,l,d,o)credit napetraka ho 1 ary ny halavan'ny tenimiafina takiana dia 6, dia mila tarehintsoratra 6 ianao mba hanomezana fahafaham-po ny halavan'ny fepetra satria ny litera lehibe, kely, tarehimarika na toetra hafa dia hanome anao crédit iray.

Raha mametraka ianao dcredit Amin'ny 2, azonao atao ny mampiasa tenimiafina manana tarehintsoratra 9 ary mahazo crédit tarehintsoratra 2 ho an'ny isa, ary mety ho 10 ny halavan'ny tenimiafina.

Jereo ity ohatra ity. Napetrako ho 13 ny halavan'ny tenimiafina, apetrako ho 2 ny dcredit, ary 0 ny zavatra hafa rehetra.

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

Tsy nahomby ny fanamarinana voalohany nataoko satria latsaky ny 13 litera ny tenimiafina. Tamin'ny manaraka dia nanova ny litera "I" ho ny isa "1" aho ary nahazo crédit roa ho an'ny isa, izay nahatonga ny tenimiafina ho 13.

Fitsapana tenimiafina

fonosana libpwquality manome ny fiasa voalaza ao amin'ny lahatsoratra. Izy io koa dia miaraka amin'ny programa pwscore, izay natao hijerena ny fahasarotan'ny tenimiafina. Nampiasainay teo ambony hanamarina ny fampindramam-bola.
Utility pwscore mamaky avy amin'ny stdin. Alefaso fotsiny ny fitaovana ary soraty ny tenimiafinao, dia hampiseho hadisoana na sanda 0 hatramin'ny 100 izany.

Ny isa momba ny kalitaon'ny tenimiafina dia mifandraika amin'ny parameter minlen ao amin'ny fichier configuration. Amin'ny ankapobeny, ny isa latsaky ny 50 dia heverina ho "tenimiafina mahazatra", ary ny isa ambony dia heverina ho "tenimiafina matanjaka". Izay tenimiafina mandalo fanamarinana kalitao (indrindra fa ny fanamarinana an-tery cracklib) dia tsy maintsy mahatohitra ny fanafihana rakibolana, ary ny tenimiafina manana isa ambony 50 miaraka amin'ny toerana minlen na dia amin'ny alàlan'ny default brute force fanafihana.

famaranana

fanitsiana pwquality - mora sy tsotra izany raha oharina amin'ny fahasahiranana amin'ny fampiasana cracklib miaraka amin'ny fanovana rakitra mivantana pam. Ao amin'ity torolàlana ity, norakofanay izay rehetra ilainao amin'ny fametrahana ny politikan'ny tenimiafina amin'ny Red Hat 7, CentOS 7, ary na dia ny rafitra Ubuntu aza. Niresaka momba ny foto-kevitra momba ny fampindramam-bola ihany koa izahay, izay zara raha voasoratra amin'ny antsipiriany, ka matetika io lohahevitra io dia tsy mazava amin'ireo izay mbola tsy nahita izany teo aloha.

loharanom-baovao:

pwquality man page
pam_pwquality pejin'olona
pwscore man page

Rohy mahasoa:

Misafidiana tenimiafina azo antoka - Bruce Schneier
Lorrie Faith Cranor dia miresaka momba ny fianarana tenimiafina ao amin'ny CMU
Ilay sariitatra xkcd malaza amin'ny Entropy

Source: www.habr.com

Add a comment