Linux တွင် စကားဝှက်မူဝါဒတစ်ခု ဖန်တီးခြင်း။

ထပ်မံနှုတ်ခွန်းဆက်ပါတယ်! သင်တန်းအုပ်စုသစ်ရှိ အတန်းများကို မနက်ဖြန်တွင် စတင်ပါမည်။ "Linux စီမံခန့်ခွဲသူ"ဤကိစ္စနှင့်စပ်လျဉ်း၍ ကျွန်ုပ်တို့သည် ခေါင်းစဉ်အတွက် အသုံးဝင်သော ဆောင်းပါးတစ်ပုဒ်ကို ထုတ်ဝေလျက်ရှိသည်။

ယခင်ကျူတိုရီရယ်တွင် အသုံးပြုနည်းကို ပြောပြခဲ့သည်။ pam_cracklibစနစ်များတွင် စကားဝှက်များကို ပိုမိုရှုပ်ထွေးစေရန် Red Hat ၉ သို့မဟုတ် CentOS။ Red Hat 7 မှာ pam_pwquality အစားထိုး cracklib အဖြစ် pam စကားဝှက်များကို စစ်ဆေးခြင်းအတွက် မူရင်း module မော်ဂျူး pam_pwquality Ubuntu နှင့် CentOS အပြင် အခြားသော OS အများအပြားတွင်လည်း ပံ့ပိုးပေးထားသည်။ အသုံးပြုသူများသည် သင့်စကားဝှက်ခိုင်ခံ့မှုစံနှုန်းများကို လက်ခံကြောင်းသေချာစေရန်အတွက် ဤ module သည် စကားဝှက်မူဝါဒများကိုဖန်တီးရန် လွယ်ကူစေသည်။

အချိန်ကြာမြင့်စွာ စကားဝှက်များအတွက် ဘုံနည်းလမ်းမှာ အသုံးပြုသူကို စာလုံးအကြီး၊ အသေး၊ နံပါတ်များ သို့မဟုတ် အခြားသင်္ကေတများကို အသုံးပြုရန် အတင်းအကျပ်ခိုင်းစေခြင်းဖြစ်သည်။ စကားဝှက်ရှုပ်ထွေးမှုအတွက် အခြေခံစည်းမျဉ်းများကို လွန်ခဲ့သည့် ဆယ်နှစ်အတွင်း တွင်ကျယ်စွာ မြှင့်တင်ခဲ့သည်။ ဒီအလေ့အကျင့်ကောင်းလား မဟုတ်ဘူးဆိုတာကို ဆွေးနွေးမှုတွေ အများကြီးရှိခဲ့ပါတယ်။ ဒီလိုရှုပ်ထွေးတဲ့အခြေအနေတွေကို သတ်မှတ်ခြင်းနဲ့ ဆန့်ကျင်တဲ့ အဓိကအငြင်းအခုံကတော့ အသုံးပြုသူတွေက စကားဝှက်တွေကို စာရွက်အပိုင်းအစတွေပေါ်မှာ ရေးမှတ်ပြီး လုံလုံခြုံခြုံ သိမ်းဆည်းထားဖို့ပါပဲ။

မကြာသေးမီက မေးခွန်းထုတ်ခံခဲ့ရသည့် အခြားမူဝါဒသည် အသုံးပြုသူများအား ၎င်းတို့၏ စကားဝှက်များကို x ရက်တိုင်း ပြောင်းလဲရန် တွန်းအားပေးခဲ့သည်။ ၎င်းသည် ဘေးကင်းရေးကိုလည်း ထိခိုက်စေကြောင်း လေ့လာမှုအချို့က ဖော်ပြခဲ့သည်။

အမြင်တစ်ခု သို့မဟုတ် အခြားတစ်ခုကို သက်သေပြနိုင်သည့် ဤဆွေးနွေးချက်များ၏ ခေါင်းစဉ်အတွက် ဆောင်းပါးများစွာကို ရေးသားထားသည်။ သို့သော် ဤဆောင်းပါးတွင် ကျွန်ုပ်တို့ ဆွေးနွေးမည့်အရာမဟုတ်ပါ။ လုံခြုံရေးမူဝါဒကို စီမံခန့်ခွဲမည့်အစား စကားဝှက်ရှုပ်ထွေးမှုကို မှန်ကန်စွာသတ်မှတ်နည်းကို ဤဆောင်းပါးတွင် ဆွေးနွေးပါမည်။

စကားဝှက်မူဝါဒ ဆက်တင်များ

အောက်တွင် စကားဝှက်မူဝါဒရွေးချယ်မှုများနှင့် တစ်ခုချင်းစီ၏ အကျဉ်းချုပ်ဖော်ပြချက်ကို သင်တွေ့ရပါမည်။ ၎င်းတို့အများစုသည် module ရှိ parameters များနှင့်ဆင်တူသည်။ cracklib. ဤနည်းလမ်းသည် သင်၏မူဝါဒများကို အမွေအနှစ်စနစ်မှ လွယ်ကူစွာ တင်သွင်းနိုင်သည်။

• ကိုယ်စိတ်မကောင်းပါဘူး - သင့်စကားဝှက်ဟောင်းတွင် မရှိသင့်သော သင့်စကားဝှက်အသစ်ရှိ စာလုံးအရေအတွက်။ (ပုံသေ ၅)
• မင်းလင် - အနည်းဆုံးစကားဝှက်အရှည်။ (ပုံသေ ၉)
• credit - စာလုံးကြီးများကို အသုံးပြုရန်အတွက် အများဆုံးခရက်ဒစ်အရေအတွက် (ပါရာမီတာ > 0) သို့မဟုတ် အနည်းဆုံးလိုအပ်သော စာလုံးကြီးအရေအတွက် (ပါရာမီတာ < 0)။ မူရင်းမှာ 1 ဖြစ်သည်။
• lcredit — စာလုံးအသေးများကို အသုံးပြုရန်အတွက် အများဆုံးခရက်ဒစ်အရေအတွက် (ပါရာမီတာ > 0) သို့မဟုတ် အနည်းဆုံးလိုအပ်သော စာလုံးအသေးအရေအတွက် (ပါရာမီတာ < 0)။ မူရင်းမှာ 1 ဖြစ်သည်။
• credit ပါ။ — ဂဏန်းများကိုအသုံးပြုရန်အတွက် အများဆုံးခရက်ဒစ်အရေအတွက် (ပါရာမီတာ > 0) သို့မဟုတ် အနည်းဆုံးလိုအပ်သော ဂဏန်းအရေအတွက် (ပါရာမီတာ <0)။ မူရင်းမှာ 1 ဖြစ်သည်။
• သူယုံကြည်သည်။ — အခြားသင်္ကေတများကိုအသုံးပြုရန်အတွက် ခရက်ဒစ်အများဆုံးအရေအတွက် (ပါရာမီတာ > 0) သို့မဟုတ် အခြားသင်္ကေတများ၏ အနည်းဆုံးလိုအပ်သောအရေအတွက် (ပါရာမီတာ < 0)။ မူရင်းမှာ 1 ဖြစ်သည်။
• minclass - လိုအပ်သောအတန်းအရေအတွက်ကိုသတ်မှတ်ပါ။ အတန်းများတွင် အထက်ဖော်ပြပါ ကန့်သတ်ချက်များ (စာလုံးအကြီး၊ စာလုံးအသေး၊ နံပါတ်များ၊ အခြားစာလုံးများ) ပါဝင်သည်။ ပုံသေသည် 0 ဖြစ်သည်။
• maxrepeat - စကားဝှက်တစ်ခုတွင် စာလုံးတစ်လုံးကို ထပ်ခါတလဲလဲလုပ်နိုင်သည့် အများဆုံးအကြိမ်အရေအတွက်။ ပုံသေသည် 0 ဖြစ်သည်။
• maxclassrepeat - အတန်းတစ်ခုတွင် ဆက်တိုက်အက္ခရာများ အများဆုံးအရေအတွက်။ ပုံသေသည် 0 ဖြစ်သည်။
• gecoscheck - စကားဝှက်တွင် အသုံးပြုသူ၏ GECOS စာကြောင်းများမှ စကားလုံးများပါရှိမရှိ စစ်ဆေးပါ။ (အသုံးပြုသူ အချက်အလက်၊ ဥပမာ အမည်ရင်း၊ တည်နေရာ စသည်ဖြင့်) မူရင်းမှာ 0 (ပိတ်သည်)။
• အဆိုအမိန့် - cracklib အဘိဓာန်ကို သွားကြည့်ရအောင်။
• မကောင်းသောစကားများ - စကားဝှက်များတွင် တားမြစ်ထားသော နေရာခြားထားသော စကားလုံးများ (ကုမ္ပဏီအမည်၊ စကားလုံး “စကားဝှက်” စသည်ဖြင့်)။

ချေးငွေရဲ့ သဘောတရားက ထူးဆန်းနေတယ်ဆိုရင် ရပါတယ်၊ ဒါက ပုံမှန်ပါပဲ။ ဤအကြောင်းကို အောက်ပါကဏ္ဍများတွင် ကျွန်ုပ်တို့ ထပ်မံပြောဆိုပါမည်။

စကားဝှက်မူဝါဒဖွဲ့စည်းမှု

configuration ဖိုင်များကို စတင်တည်းဖြတ်ခြင်းမပြုမီ၊ အခြေခံစကားဝှက်မူဝါဒကို ကြိုတင်ချရေးထားရန် အလေ့အကျင့်ကောင်းတစ်ခုဖြစ်သည်။ ဥပမာအားဖြင့်၊ ကျွန်ုပ်တို့သည် အောက်ပါအခက်အခဲစည်းမျဉ်းများကို အသုံးပြုပါမည်။

• စကားဝှက်တွင် အနည်းဆုံး အက္ခရာ 15 လုံးရှိရမည်။
• စကားဝှက်တွင် တူညီသောအက္ခရာကို နှစ်ကြိမ်ထက်ပို၍ မပြုလုပ်သင့်ပါ။
• စကားဝှက်တစ်ခုတွင် ဇာတ်ကောင်အတန်းများကို လေးကြိမ်အထိ ထပ်ခါထပ်ခါ ပြုလုပ်နိုင်သည်။
• စကားဝှက်တွင် အတန်းတစ်ခုစီမှ ဇာတ်ကောင်များ ပါဝင်ရပါမည်။
• စကားဝှက်အသစ်တွင် အဟောင်းနှင့် နှိုင်းယှဉ်ပါက စာလုံးအသစ် 5 လုံးရှိရပါမည်။
• GECOS စစ်ဆေးမှုကို ဖွင့်ပါ။
• “စကားဝှက်၊ ဖြတ်၊ စကားလုံး၊ putorius” ဟူသော စကားလုံးများကို တားမြစ်ပါ

ယခု ကျွန်ုပ်တို့သည် မူဝါဒကို ချမှတ်ထားပြီး၊ ဖိုင်ကို တည်းဖြတ်နိုင်ပါသည်။ /etc/security/pwquality.confစကားဝှက်ရှုပ်ထွေးမှုလိုအပ်ချက်များကိုတိုးမြှင့်ရန်။ အောက်တွင် ပိုမိုကောင်းမွန်စွာ နားလည်နိုင်ရန် မှတ်ချက်များပါရှိသော နမူနာဖိုင်တစ်ခုဖြစ်သည်။

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

သင်သတိပြုမိသည့်အတိုင်း၊ ကျွန်ုပ်တို့၏ဖိုင်ရှိ အချို့သောဘောင်များသည် မလိုအပ်တော့ပါ။ ဥပမာအားဖြင့် parameter ကို minclass အကွက်များကိုအသုံးပြုပြီး အတန်းထဲမှ စာလုံးနှစ်လုံးကို အနည်းဆုံးသုံးထားပြီးဖြစ်သောကြောင့် မလိုအပ်တော့ပါ။ [u,l,d,o]credit. ကျွန်ုပ်တို့သည် မည်သည့်အတန်းအစားကိုမဆို 4 ကြိမ် ထပ်ခါထပ်ခါ တားမြစ်ထားသောကြောင့် (ကျွန်ုပ်တို့၏စာရင်းရှိ စကားလုံးများအားလုံးသည် စာလုံးအသေးဖြင့် ရေးသားထားသည်) ဖြစ်သောကြောင့် ကျွန်ုပ်တို့၏ အသုံးမပြုနိုင်သော စကားလုံးများစာရင်းတွင်လည်း မလိုအပ်တော့ပါ။ သင့်စကားဝှက်မူဝါဒကို ပြင်ဆင်သတ်မှတ်ရန် ၎င်းတို့ကိုအသုံးပြုနည်းကို သရုပ်ပြရန်အတွက်သာ ဤရွေးချယ်စရာများကို ကျွန်ုပ်ထည့်သွင်းထားပါသည်။
သင့်မူဝါဒကို ဖန်တီးပြီးသည်နှင့်၊ သင်သည် အသုံးပြုသူများအား ၎င်းတို့ဝင်ရောက်သည့်နောက်တွင် ၎င်းတို့၏ စကားဝှက်များကို ပြောင်းလဲရန် အတင်းအကြပ် လုပ်ဆောင်နိုင်ပါသည်။ စနစ်.

နောက်ထပ် ထူးဆန်းတာတစ်ခုကတော့ လယ်ကွင်းတွေကို သတိထားမိနိုင်ပါတယ်။ [u,l,d,o]credit အနှုတ်နံပါတ်တစ်ခုပါရှိသည်။ အဘယ်ကြောင့်ဆိုသော် 0 ထက်ကြီးသော သို့မဟုတ် တူညီသော ဂဏန်းများသည် သင့်စကားဝှက်ရှိ စာလုံးကို အသုံးပြုရန်အတွက် ခရက်ဒစ်ပေးသောကြောင့် ဖြစ်သည်။ အကွက်တွင် အနုတ်နံပါတ်ပါနေပါက၊ အချို့သောပမာဏ လိုအပ်သည်ဟု ဆိုလိုသည်။

ချေးငွေဆိုတာဘာလဲ။

သူတို့ ရည်ရွယ်ချက်ကို တတ်နိုင်သမျှ တိကျစွာ ဖော်ပြနိုင်လို့ သူတို့ကို ချေးငွေလို့ခေါ်တယ်။ ကန့်သတ်ဘောင်တန်ဖိုးသည် 0 ထက် ကြီးပါက၊ သင်သည် စကားဝှက်အရှည်တွင် "x" နှင့် ညီမျှသော "စာလုံးခရက်ဒစ်များ" အရေအတွက်ကို ထည့်ပါ။ ဥပမာ- parameters တွေ အားလုံးရှိရင် (u,l,d,o)credit 1 ဟု သတ်မှတ်ထားပြီး လိုအပ်သော စကားဝှက်အရှည်မှာ 6 ဖြစ်ပြီး၊ ထို့နောက် စာလုံးအကြီး၊ အသေး၊ ဂဏန်း သို့မဟုတ် အခြားစာလုံးတစ်လုံးစီသည် သင့်အား ခရက်ဒစ်တစ်ခုပေးမည်ဖြစ်သောကြောင့် အရှည်လိုအပ်ချက်ကို ဖြည့်ဆည်းရန် စာလုံး 6 လုံး လိုအပ်မည်ဖြစ်သည်။

တပ်ဆင်လျှင် dcredit 2 တွင်၊ သင်သည် သီအိုရီအရ အက္ခရာ 9 လုံးရှိသော စကားဝှက်ကို အသုံးပြုနိုင်ပြီး ဂဏန်းများအတွက် အက္ခရာ 2 လုံး ခရက်ဒစ်များ ရနိုင်ပြီး၊ ထို့နောက် စကားဝှက်အရှည်သည် 10 ဖြစ်နိုင်ပါသည်။

ဒီဥပမာကိုကြည့်ပါ။ စကားဝှက်အရှည်ကို 13 ဟုသတ်မှတ်ပြီး dcredit ကို 2 နှင့် အခြားအရာအားလုံးကို 0 ဟုသတ်မှတ်ထားသည်။

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

စကားဝှက်သည် စာလုံး 13 လုံးထက်နည်းသောကြောင့် ကျွန်ုပ်၏ပထမဆုံးစစ်ဆေးခြင်း မအောင်မြင်ပါ။ နောက်တစ်ကြိမ်တွင် ကျွန်ုပ်သည် “ကျွန်ုပ်” ဟူသော စာလုံးကို နံပါတ် “၁” သို့ ပြောင်းပြီး စကားဝှက်ကို 1 နှင့် ညီစေသည့် ဂဏန်းများအတွက် ခရက်ဒစ်နှစ်ရပ်ကို ရရှိခဲ့သည်။

စကားဝှက်စမ်းသပ်ခြင်း။

အထုပ် libpwquality ဆောင်းပါးတွင်ဖော်ပြထားသော လုပ်ဆောင်နိုင်စွမ်းကို ပေးဆောင်သည်။ ပရိုဂရမ်တစ်ခုလည်း ပါရှိပါတယ်။ pwscoreစကားဝှက်ရှုပ်ထွေးမှုကို စစ်ဆေးရန် ဒီဇိုင်းထုတ်ထားသည်။ ချေးငွေများကို စစ်ဆေးရန် အထက်တွင် အသုံးပြုခဲ့သည်။
အသုံးဝင်သည် pwscore မှဖတ်သည်။ stdin. utility ကို run ပြီး သင့်စကားဝှက်ကို ရေးလိုက်ရုံဖြင့် အမှားတစ်ခု သို့မဟုတ် 0 မှ 100 မှ တန်ဖိုးတစ်ခုကို ပြသမည်ဖြစ်သည်။

စကားဝှက်အရည်အသွေးရမှတ်သည် ကန့်သတ်ချက်နှင့် သက်ဆိုင်သည်။ minlen configuration ဖိုင်ထဲမှာ။ ယေဘူယျအားဖြင့် ရမှတ် 50 အောက်ကို "သာမန်စကားဝှက်" အဖြစ် သတ်မှတ်ပြီး အထက်ရမှတ်ကို "ခိုင်မာသော စကားဝှက်" ဟု သတ်မှတ်သည်။ အရည်အသွေးစစ်ဆေးမှုများကို ဖြတ်သန်းသော မည်သည့်စကားဝှက်မဆို (အထူးသဖြင့် အတင်းအကြပ် အတည်ပြုခြင်း ဖြစ်သည်။ cracklib) အဘိဓာန်တိုက်ခိုက်မှုများကို ခံနိုင်ရည်ရှိပြီး ဆက်တင်နှင့်အတူ ရမှတ် 50 အထက်ရှိသော စကားဝှက်ကို ခံရပါမည်။ minlen မူရင်းအတိုင်းပင် brute force တိုက်ခိုက်မှုများ။

ကောက်ချက်

သင့်အောင်လုပ်ခြင်း pwquality - အသုံးပြုရတာ အဆင်မပြေတာနဲ့ ယှဉ်ရင် ရိုးရှင်းပါတယ်။ cracklib တိုက်ရိုက်ဖိုင်တည်းဖြတ်မှုနှင့်အတူ pam. ဤလမ်းညွှန်တွင်၊ Red Hat 7၊ CentOS 7 နှင့် Ubuntu စနစ်များတွင် စကားဝှက်မူဝါဒများ သတ်မှတ်ရာတွင် သင်လိုအပ်သမျှကို ကျွန်ုပ်တို့ လွှမ်းခြုံထားပါသည်။ ချေးငွေသဘောတရားအကြောင်းလည်း အသေးစိတ်ရေးထားခဲပါတယ်၊ ဒါကြောင့် ဒီအကြောင်းအရာကို အရင်က မကြုံဖူးတဲ့သူတွေနဲ့ မကြာခဏ မရှင်းလင်းပါဘူး။

သတင်းရင်းမြစ်:

pwquality man စာမျက်နှာ
pam_pwquality man page ပါ။
pwscore man စာမျက်နှာ

အသုံးဝင်သော link များ -

လုံခြုံသော စကားဝှက်များကို ရွေးချယ်ခြင်း – Bruce Schneier
Lorrie Faith Cranor သည် CMU တွင် သူမ၏ စကားဝှက်လေ့လာမှုများကို ဆွေးနွေးနေသည်။
Entropy ရှိ နာမည်ဆိုးကြီး xkcd ကာတွန်း

source: www.habr.com