ProHoster > blog > Amministrazzjoni > Ħolqien ta 'politika ta' password fil-Linux

Ħolqien ta 'politika ta' password fil-Linux

Hello mill-ġdid! Għada jibdew il-klassijiet fil-grupp il-ġdid tal-kors "Amministratur tal-Linux", f'dan ir-rigward, qed nippubblikaw artiklu utli dwar is-suġġett.

Ħolqien ta 'politika ta' password fil-Linux

Fit-tutorja preċedenti għedna kif tuża pam_cracklibbiex tagħmel il-passwords fuq is-sistemi aktar kumplessi Red Hat 6 jew CentOS. F'Red Hat 7 pam_pwquality mibdula cracklib kif pam modulu default għall-iċċekkjar tal-passwords. Modulu pam_pwquality appoġġjat ukoll fuq Ubuntu u CentOS, kif ukoll ħafna OSs oħra. Dan il-modulu jagħmilha faċli biex jinħolqu politiki dwar il-passwords biex jiżguraw li l-utenti jaċċettaw l-istandards tas-saħħa tal-password tiegħek.

Għal żmien twil, l-approċċ komuni għall-passwords kien li jġiegħel lill-utent juża b'ittri kbar, żgħar, numri, jew simboli oħra. Dawn ir-regoli bażiċi għall-kumplessità tal-password ġew promossi b'mod wiesa' matul l-aħħar għaxar snin. Kien hemm ħafna diskussjoni dwar jekk din hijiex prattika tajba jew le. L-argument ewlieni kontra l-istabbiliment ta' kundizzjonijiet kumplessi bħal dawn kien li l-utenti jikteb il-passwords fuq biċċiet tal-karti u jaħżnuhom b'mod mhux sigur.

Politika oħra li reċentement ġiet ikkontestata ġġiegħel lill-utenti jbiddlu l-passwords tagħhom kull x ijiem. Kien hemm xi studji li wrew li dan huwa wkoll ta’ detriment għas-sigurtà.

Inkitbu bosta artikli dwar is-suġġett ta’ dawn id-diskussjonijiet, li jissostanzjaw perspettiva jew oħra. Iżda dan mhuwiex dak li se niddiskutu f'dan l-artikolu. Dan l-artikolu se jitkellem dwar kif issettja b'mod korrett il-kumplessità tal-password aktar milli timmaniġġja l-politika tas-sigurtà.

Settings tal-Politika tal-Password

Hawn taħt se tara l-għażliet tal-politika tal-password u deskrizzjoni qasira ta 'kull wieħed. Ħafna minnhom huma simili għall-parametri fil-modulu cracklib. Dan l-approċċ jagħmilha aktar faċli li ttrasferixxi l-politiki tiegħek mis-sistema legacy.

  • Jiddispjaċini – In-numru ta’ karattri fil-password il-ġdida tiegħek li MHUX GĦANDHOM ikunu preżenti fil-password l-antika tiegħek. (Default 5)
  • minlen – Tul minimu tal-password. (Default 9)
  • ukreditu – In-numru massimu ta’ krediti għall-użu ta’ karattri kbar (jekk parametru > 0), jew in-numru minimu meħtieġ ta’ karattri kbar (jekk parametru < 0). Id-default huwa 1.
  • lkreditu — In-numru massimu ta' krediti għall-użu ta' karattri żgħar (jekk parametru > 0), jew in-numru minimu meħtieġ ta' karattri żgħar (jekk parametru < 0). Id-default huwa 1.
  • kreditu — In-numru massimu ta' krediti għall-użu ta' ċifri (jekk il-parametru > 0), jew in-numru minimu meħtieġ ta' ċifri (jekk il-parametru < 0). Id-default huwa 1.
  • jemmen — In-numru massimu ta' krediti għall-użu ta' simboli oħra (jekk parametru > 0), jew in-numru minimu meħtieġ ta' simboli oħra (jekk parametru < 0). Id-default huwa 1.
  • minclass – Jissettja n-numru ta' klassijiet meħtieġa. Il-klassijiet jinkludu l-parametri ta’ hawn fuq (karattri kbar, karattri minusuri, numri, karattri oħra). Default huwa 0.
  • maxrepeat – In-numru massimu ta' drabi li karattru jista' jiġi ripetut f'password. Default huwa 0.
  • maxclassrepeat — In-numru massimu ta' karattri konsekuttivi fi klassi waħda. Default huwa 0.
  • gecoscheck – Jiċċekkja jekk il-password fihx xi kliem mis-strings GECOS tal-utent. (Informazzjoni tal-utent, jiġifieri isem reali, post, eċċ.) Default huwa 0 (mitfi).
  • dictpath – Ejja mmorru għal dizzjunarji cracklib.
  • kliem ħażin – Kliem separati bi spazju li huma pprojbiti fil-passwords (Isem tal-kumpanija, il-kelma “password”, eċċ.).

Jekk il-kunċett ta 'self ħsejjes stramba, huwa okay, huwa normali. Aħna ser nitkellmu aktar dwar dan fit-taqsimiet li ġejjin.

Konfigurazzjoni tal-Politika tal-Password

Qabel ma tibda teditja l-fajls tal-konfigurazzjoni, hija prattika tajba li tikteb politika bażika tal-password minn qabel. Pereżempju, se nużaw ir-regoli ta 'diffikultà li ġejjin:

  • Il-password għandu jkollha tul minimu ta' 15-il karattru.
  • L-istess karattru m'għandux jiġi ripetut aktar minn darbtejn fil-password.
  • Il-klassijiet tal-karattri jistgħu jiġu ripetuti sa erba' darbiet f'password.
  • Il-password għandu jkun fiha karattri minn kull klassi.
  • Il-password il-ġdida għandu jkollha 5 karattri ġodda meta mqabbla ma' dik l-antika.
  • Ippermetti l-kontroll GECOS.
  • Ipprojbixxi l-kliem "password, pass, word, putorius"

Issa li għamilna l-politika, nistgħu neditjaw il-fajl /etc/security/pwquality.confbiex iżżid ir-rekwiżiti tal-kumplessità tal-password. Hawn taħt hemm fajl eżempju b'kummenti għal fehim aħjar. 

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

Kif forsi innotajt, xi parametri fil-fajl tagħna huma żejda. Per eżempju, il-parametru minclass hija żejda peress li diġà nużaw mill-inqas żewġ karattri mill-klassi li tuża fields [u,l,d,o]credit. Il-lista tagħna ta' kliem li ma jistgħux jintużaw hija żejda wkoll, peress li pprojbijna li nirrepeti kwalunkwe klassi 4 darbiet (il-kliem kollu fil-lista tagħna jinkiteb b'ittri żgħar). Inkludejt dawn l-għażliet biss biex nuri kif tużahom biex tikkonfigura l-politika tal-password tiegħek.
Ladarba tkun ħloqt il-politika tiegħek, tista' ġġiegħel lill-utenti jibdlu l-passwords tagħhom ladarba li jmiss jidħlu. is-sistema.

Ħaġa oħra stramba li forsi ndunajt hija li l-għelieqi [u,l,d,o]credit fihom numru negattiv. Dan għaliex numri akbar minn jew ugwali għal 0 jagħtu kreditu għall-użu tal-karattru fil-password tiegħek. Jekk il-qasam ikun fih numru negattiv, dan ifisser li hija meħtieġa ċerta kwantità.

X'inhu s-self?

Insejħilhom self għax dan iwassal l-iskop tagħhom bl-aktar mod preċiż possibbli. Jekk il-valur tal-parametru huwa akbar minn 0, inti żżid numru ta '"krediti tal-karattri" ugwali għal "x" mat-tul tal-password. Per eżempju, jekk il-parametri kollha (u,l,d,o)credit issettjat għal 1 u t-tul tal-password meħtieġ kien 6, allura jkollok bżonn 6 karattri biex tissodisfa r-rekwiżit tat-tul għaliex kull karattru kbir, żgħir, ċifra jew karattru ieħor jagħtik kreditu wieħed.

Jekk tinstalla dcredit f'2, teoretikament tista' tuża password li hija twila 9 karattri u tikseb 2 krediti ta' karattri għan-numri, u allura t-tul tal-password jista' jkun diġà 10.

Ħares lejn dan l-eżempju. Issettja t-tul tal-password għal 13, issettja dcredit għal 2, u kull ħaġa oħra għal 0.

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

L-ewwel kontroll tiegħi falla minħabba li l-password kienet twila inqas minn 13-il karattru. Id-darba li jmiss bdejt l-ittra "I" għan-numru "1" u rċevejt żewġ krediti għan-numri, li għamlu l-password ugwali għal 13.

Ittestjar tal-password

Pakkett libpwquality jipprovdi l-funzjonalità deskritta fl-artikolu. Jiġi wkoll bi programm pwscore, li hija mfassla biex tiċċekkja l-kumplessità tal-password. Użajna hawn fuq biex niċċekkjaw is-self.
Utilità pwscore jaqra minn stdin. Sempliċement ħaddem l-utilità u ikteb il-password tiegħek, se turi żball jew valur minn 0 sa 100.

Il-punteġġ tal-kwalità tal-password huwa relatat mal-parametru minlen fil-fajl tal-konfigurazzjoni. B'mod ġenerali, punteġġ ta 'inqas minn 50 huwa meqjus bħala "password normali", u punteġġ 'il fuq huwa meqjus bħala "password b'saħħitha". Kwalunkwe password li tgħaddi mill-kontrolli tal-kwalità (speċjalment verifika sfurzata cracklib) għandhom jifilħu attakki dizzjunarju, u password b'punteġġ ogħla minn 50 bl-issettjar minlen anke b'mod awtomatiku brute force attakki.

Konklużjoni

aġġustament pwquality – huwa faċli u sempliċi meta mqabbel mal-inkonvenjent tal-użu cracklib b'editjar dirett tal-fajls pam. F'din il-gwida, koprejna dak kollu li għandek bżonn meta twaqqaf politiki tal-password fuq Red Hat 7, CentOS 7, u anke sistemi Ubuntu. Tkellimna wkoll dwar il-kunċett tas-self, li rari jinkiteb dwaru fid-dettall, għalhekk dan is-suġġett spiss baqa’ mhux ċar għal dawk li ma kinux iltaqgħu miegħu qabel.

Sorsi:

paġna man pwquality
pam_pwquality man page
paġna man pwscore

Ħoloq utli:

Għażla ta' Passwords Sikura - Bruce Schneier
Lorrie Faith Cranor tiddiskuti l-istudji tal-password tagħha fis-CMU
Il-kartun xkcd Infami fuq Entropija

Sors: www.habr.com

Żid kumment