Hello mill-ġdid! Għada jibdew il-klassijiet fil-grupp il-ġdid tal-kors
Fit-tutorja preċedenti għedna kif tuża pam_cracklib
biex tagħmel il-passwords fuq is-sistemi aktar kumplessi pam_pwquality
mibdula cracklib
kif pam
modulu default għall-iċċekkjar tal-passwords. Modulu pam_pwquality
appoġġjat ukoll fuq Ubuntu u CentOS, kif ukoll ħafna OSs oħra. Dan il-modulu jagħmilha faċli biex jinħolqu politiki dwar il-passwords biex jiżguraw li l-utenti jaċċettaw l-istandards tas-saħħa tal-password tiegħek.
Għal żmien twil, l-approċċ komuni għall-passwords kien li jġiegħel lill-utent juża b'ittri kbar, żgħar, numri, jew simboli oħra. Dawn ir-regoli bażiċi għall-kumplessità tal-password ġew promossi b'mod wiesa' matul l-aħħar għaxar snin. Kien hemm ħafna diskussjoni dwar jekk din hijiex prattika tajba jew le. L-argument ewlieni kontra l-istabbiliment ta' kundizzjonijiet kumplessi bħal dawn kien li l-utenti jikteb il-passwords fuq biċċiet tal-karti u jaħżnuhom b'mod mhux sigur.
Politika oħra li reċentement ġiet ikkontestata ġġiegħel lill-utenti jbiddlu l-passwords tagħhom kull x ijiem. Kien hemm xi studji li wrew li dan huwa wkoll ta’ detriment għas-sigurtà.
Inkitbu bosta artikli dwar is-suġġett ta’ dawn id-diskussjonijiet, li jissostanzjaw perspettiva jew oħra. Iżda dan mhuwiex dak li se niddiskutu f'dan l-artikolu. Dan l-artikolu se jitkellem dwar kif issettja b'mod korrett il-kumplessità tal-password aktar milli timmaniġġja l-politika tas-sigurtà.
Settings tal-Politika tal-Password
Hawn taħt se tara l-għażliet tal-politika tal-password u deskrizzjoni qasira ta 'kull wieħed. Ħafna minnhom huma simili għall-parametri fil-modulu cracklib
. Dan l-approċċ jagħmilha aktar faċli li ttrasferixxi l-politiki tiegħek mis-sistema legacy.
- Jiddispjaċini – In-numru ta’ karattri fil-password il-ġdida tiegħek li MHUX GĦANDHOM ikunu preżenti fil-password l-antika tiegħek. (Default 5)
- minlen – Tul minimu tal-password. (Default 9)
- ukreditu – In-numru massimu ta’ krediti għall-użu ta’ karattri kbar (jekk parametru > 0), jew in-numru minimu meħtieġ ta’ karattri kbar (jekk parametru < 0). Id-default huwa 1.
- lkreditu — In-numru massimu ta' krediti għall-użu ta' karattri żgħar (jekk parametru > 0), jew in-numru minimu meħtieġ ta' karattri żgħar (jekk parametru < 0). Id-default huwa 1.
- kreditu — In-numru massimu ta' krediti għall-użu ta' ċifri (jekk il-parametru > 0), jew in-numru minimu meħtieġ ta' ċifri (jekk il-parametru < 0). Id-default huwa 1.
- jemmen — In-numru massimu ta' krediti għall-użu ta' simboli oħra (jekk parametru > 0), jew in-numru minimu meħtieġ ta' simboli oħra (jekk parametru < 0). Id-default huwa 1.
- minclass – Jissettja n-numru ta' klassijiet meħtieġa. Il-klassijiet jinkludu l-parametri ta’ hawn fuq (karattri kbar, karattri minusuri, numri, karattri oħra). Default huwa 0.
- maxrepeat – In-numru massimu ta' drabi li karattru jista' jiġi ripetut f'password. Default huwa 0.
- maxclassrepeat — In-numru massimu ta' karattri konsekuttivi fi klassi waħda. Default huwa 0.
- gecoscheck – Jiċċekkja jekk il-password fihx xi kliem mis-strings GECOS tal-utent. (Informazzjoni tal-utent, jiġifieri isem reali, post, eċċ.) Default huwa 0 (mitfi).
- dictpath – Ejja mmorru għal dizzjunarji cracklib.
- kliem ħażin – Kliem separati bi spazju li huma pprojbiti fil-passwords (Isem tal-kumpanija, il-kelma “password”, eċċ.).
Jekk il-kunċett ta 'self ħsejjes stramba, huwa okay, huwa normali. Aħna ser nitkellmu aktar dwar dan fit-taqsimiet li ġejjin.
Konfigurazzjoni tal-Politika tal-Password
Qabel ma tibda teditja l-fajls tal-konfigurazzjoni, hija prattika tajba li tikteb politika bażika tal-password minn qabel. Pereżempju, se nużaw ir-regoli ta 'diffikultà li ġejjin:
- Il-password għandu jkollha tul minimu ta' 15-il karattru.
- L-istess karattru m'għandux jiġi ripetut aktar minn darbtejn fil-password.
- Il-klassijiet tal-karattri jistgħu jiġu ripetuti sa erba' darbiet f'password.
- Il-password għandu jkun fiha karattri minn kull klassi.
- Il-password il-ġdida għandu jkollha 5 karattri ġodda meta mqabbla ma' dik l-antika.
- Ippermetti l-kontroll GECOS.
- Ipprojbixxi l-kliem "password, pass, word, putorius"
Issa li għamilna l-politika, nistgħu neditjaw il-fajl /etc/security/pwquality.conf
biex iżżid ir-rekwiżiti tal-kumplessità tal-password. Hawn taħt hemm fajl eżempju b'kummenti għal fehim aħjar.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius
Kif forsi innotajt, xi parametri fil-fajl tagħna huma żejda. Per eżempju, il-parametru minclass
hija żejda peress li diġà nużaw mill-inqas żewġ karattri mill-klassi li tuża fields [u,l,d,o]credit
. Il-lista tagħna ta' kliem li ma jistgħux jintużaw hija żejda wkoll, peress li pprojbijna li nirrepeti kwalunkwe klassi 4 darbiet (il-kliem kollu fil-lista tagħna jinkiteb b'ittri żgħar). Inkludejt dawn l-għażliet biss biex nuri kif tużahom biex tikkonfigura l-politika tal-password tiegħek.
Ladarba tkun ħloqt il-politika tiegħek, tista' ġġiegħel lill-utenti jibdlu l-passwords tagħhom ladarba li jmiss jidħlu.
Ħaġa oħra stramba li forsi ndunajt hija li l-għelieqi [u,l,d,o]credit
fihom numru negattiv. Dan għaliex numri akbar minn jew ugwali għal 0 jagħtu kreditu għall-użu tal-karattru fil-password tiegħek. Jekk il-qasam ikun fih numru negattiv, dan ifisser li hija meħtieġa ċerta kwantità.
X'inhu s-self?
Insejħilhom self għax dan iwassal l-iskop tagħhom bl-aktar mod preċiż possibbli. Jekk il-valur tal-parametru huwa akbar minn 0, inti żżid numru ta '"krediti tal-karattri" ugwali għal "x" mat-tul tal-password. Per eżempju, jekk il-parametri kollha (u,l,d,o)credit
issettjat għal 1 u t-tul tal-password meħtieġ kien 6, allura jkollok bżonn 6 karattri biex tissodisfa r-rekwiżit tat-tul għaliex kull karattru kbir, żgħir, ċifra jew karattru ieħor jagħtik kreditu wieħed.
Jekk tinstalla dcredit
f'2, teoretikament tista' tuża password li hija twila 9 karattri u tikseb 2 krediti ta' karattri għan-numri, u allura t-tul tal-password jista' jkun diġà 10.
Ħares lejn dan l-eżempju. Issettja t-tul tal-password għal 13, issettja dcredit għal 2, u kull ħaġa oħra għal 0.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18
L-ewwel kontroll tiegħi falla minħabba li l-password kienet twila inqas minn 13-il karattru. Id-darba li jmiss bdejt l-ittra "I" għan-numru "1" u rċevejt żewġ krediti għan-numri, li għamlu l-password ugwali għal 13.
Ittestjar tal-password
Pakkett libpwquality
jipprovdi l-funzjonalità deskritta fl-artikolu. Jiġi wkoll bi programm pwscore
, li hija mfassla biex tiċċekkja l-kumplessità tal-password. Użajna hawn fuq biex niċċekkjaw is-self.
Utilità pwscore
jaqra minn
Il-punteġġ tal-kwalità tal-password huwa relatat mal-parametru minlen
fil-fajl tal-konfigurazzjoni. B'mod ġenerali, punteġġ ta 'inqas minn 50 huwa meqjus bħala "password normali", u punteġġ 'il fuq huwa meqjus bħala "password b'saħħitha". Kwalunkwe password li tgħaddi mill-kontrolli tal-kwalità (speċjalment verifika sfurzata cracklib
) għandhom jifilħu attakki dizzjunarju, u password b'punteġġ ogħla minn 50 bl-issettjar minlen
anke b'mod awtomatiku brute force
attakki.
Konklużjoni
aġġustament pwquality
– huwa faċli u sempliċi meta mqabbel mal-inkonvenjent tal-użu cracklib
b'editjar dirett tal-fajls pam
. F'din il-gwida, koprejna dak kollu li għandek bżonn meta twaqqaf politiki tal-password fuq Red Hat 7, CentOS 7, u anke sistemi Ubuntu. Tkellimna wkoll dwar il-kunċett tas-self, li rari jinkiteb dwaru fid-dettall, għalhekk dan is-suġġett spiss baqa’ mhux ċar għal dawk li ma kinux iltaqgħu miegħu qabel.
Sorsi:
Ħoloq utli:
Sors: www.habr.com