بیا اسلام علیکم! د نوي کورس ګروپ ټولګي سبا پیل کیږي
په تیرو ټیوټوریل کې موږ تاسو ته وویل چې څنګه کارول کیږي pam_cracklib
په سیسټمونو کې پاسورډونه ډیر پیچلي کول pam_pwquality
بدل شوی cracklib
په توګه pam
د پاسورډونو چک کولو لپاره ډیفالټ ماډل. ماډل pam_pwquality
په اوبنټو او CentOS کې هم ملاتړ شوی ، په بیله بیا ډیری نور OS. دا ماډل د پاسورډ پالیسۍ رامینځته کول اسانه کوي ترڅو ډاډ ترلاسه کړي چې کاروونکي ستاسو د پاسورډ ځواک معیارونه مني.
د اوږدې مودې لپاره، د پاسورډونو لپاره عام طریقه دا وه چې کاروونکي مجبور کړي چې لوی، کوچني، شمیرې، یا نور سمبولونه وکاروي. د پټنوم پیچلتیا لپاره دا اساسي قواعد په تیرو لسو کلونو کې په پراخه کچه هڅول شوي. په دې اړه ډیر بحثونه شوي چې ایا دا ښه عمل دی که نه. د داسې پیچلو شرایطو د تنظیم کولو په وړاندې اصلي دلیل دا و چې کاروونکي پاسورډونه د کاغذ په ټوټو کې لیکي او په ناامنه توګه یې ذخیره کوي.
بله پالیسي چې پدې وروستیو کې پوښتنې ته ویل شوي کاروونکي مجبوروي چې خپل پاسورډونه په هر x ورځو کې بدل کړي. ځینې مطالعې شتون لري چې ښودلې چې دا خوندیتوب ته هم زیان رسوي.
د دې بحثونو په اړه ډیری مقالې لیکل شوي، کوم چې یو نظر یا بل نظر ثابتوي. مګر دا هغه څه ندي چې موږ به پدې مقاله کې بحث وکړو. دا مقاله به د امنیت پالیسۍ اداره کولو پرځای د پټنوم پیچلتیا په سمه توګه تنظیم کولو څرنګوالي په اړه وغږیږي.
د پټنوم پالیسۍ ترتیبات
لاندې به تاسو د پاسورډ پالیسۍ اختیارونه او د هر یو لنډ توضیحات وګورئ. ډیری یې په ماډل کې د پیرامیټونو سره ورته دي cracklib
. دا طریقه د میراث سیسټم څخه ستاسو د پالیسیو پورټ کول اسانه کوي.
- difok - ستاسو په نوي پاسورډ کې د حروفونو شمیر چې باید ستاسو په زاړه پاسورډ کې شتون ونلري. (ډیفالټ 5)
- من - لږترلږه د پاسورډ اوږدوالی. (اصلي 9)
- کریډیټ - د لوی حروفونو کارولو لپاره د کریډیټ اعظمي شمیره (که پیرامیټر > 0) ، یا د لوی حروف لږترلږه اړین شمیر (که پیرامیټر <0 وي). ډیفالټ 1 دی.
- کریډیټ - د کریډیټ اعظمي شمیره د کوچني حروفونو کارولو لپاره (که پیرامیټر > 0)، یا د کوچنیو حروفونو لږترلږه اړین شمیر (که پیرامیټر <0 وي). ډیفالټ 1 دی.
- dcredit - د عددونو کارولو لپاره د کریډیټ اعظمي شمیره (که پیرامیټر > 0) ، یا د ډیجیټونو لږترلږه اړین شمیر (که پیرامیټر <0 وي). ډیفالټ 1 دی.
- اعتبار - د نورو سمبولونو کارولو لپاره د کریډیټ اعظمي شمیره (که پیرامیټر > 0) ، یا د نورو سمبولونو لږترلږه اړین شمیر (که پیرامیټر <0). ډیفالټ 1 دی.
- min class - د اړتیا وړ ټولګیو شمیر ټاکي. په ټولګیو کې پورتني پیرامیټرونه شامل دي (د پورتنۍ قضیې حروف، د ټیټ کیس حروف، شمیرې، نور حروف). ډیفالټ 0 دی.
- اعظمي تکرار - په پټنوم کې د کرکټر ډیری ځله تکرار کیدی شي. ډیفالټ 0 دی.
- maxclassrepeat - په یوه ټولګي کې د پرله پسې حروفونو اعظمي شمیر. ډیفالټ 0 دی.
- gecoscheck - ګوري چې ایا پاسورډ د کارونکي GECOS تارونو څخه کوم ټکي لري. (د کارونکي معلومات، د بیلګې په توګه اصلي نوم، موقعیت، او نور) ډیفالټ 0 (بند) دی.
- dictpath - راځئ چې د کریکلیب لغتونو ته لاړ شو.
- بولډز - د ځای څخه جلا شوي کلمې چې په پاسورډونو کې منع دي (د شرکت نوم، د "پټون" کلمه، او داسې نور).
که د پور مفهوم عجيب ښکاري، دا سمه ده، دا عادي خبره ده. موږ به په لاندې برخو کې پدې اړه نور خبرې وکړو.
د پټنوم پالیسي ترتیب
مخکې لدې چې تاسو د تشکیلاتو فایلونو ایډیټ کول پیل کړئ ، دا یو ښه تمرین دی چې دمخه د اصلي پټنوم پالیسي ولیکئ. د مثال په توګه، موږ به لاندې ستونزمن قواعد وکاروو:
- پاسورډ باید لږترلږه د 15 حروف اوږدوالی ولري.
- په پاسورډ کې باید ورته کرکټر له دوه ځله څخه زیات تکرار نشي.
- د کرکټر ټولګي په پاسورډ کې تر څلور ځله پورې تکرار کیدی شي.
- پاسورډ باید د هر ټولګي څخه حروف ولري.
- نوی پاسورډ باید د زاړه په پرتله 5 نوي حروف ولري.
- د GECOS چیک فعال کړئ.
- د "پاسورډ، پاس، کلمه، پوټوریوس" کلمې منع کړئ
اوس چې موږ پالیسي جوړه کړې، موږ کولی شو فایل ترمیم کړو /etc/security/pwquality.conf
د پاسورډ پیچلتیا اړتیاو زیاتولو لپاره. لاندې د ښه پوهیدو لپاره د نظرونو سره د مثال فایل دی.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius
لکه څنګه چې تاسو شاید یادونه کړې وي، زموږ په فایل کې ځینې پیرامیټونه بې ځایه دي. د مثال په توګه، پیرامیټر minclass
بې ځایه دی ځکه چې موږ دمخه د ساحې په کارولو سره د ټولګي څخه لږترلږه دوه حروف کاروو [u,l,d,o]credit
. زموږ د هغو کلمو لیست چې نشي کارول کیدی هم بې ځایه دی، ځکه چې موږ د هر ټولګي 4 ځله تکرار منع کړی دی (زموږ په لیست کې ټول ټکي په کوچنیو حروفونو کې لیکل شوي). ما دا اختیارونه یوازې د دې لپاره شامل کړي چې دا وښیې چې څنګه یې ستاسو د پټنوم پالیسي تنظیم کولو لپاره وکاروئ.
یوځل چې تاسو خپله پالیسي جوړه کړه، تاسو کولی شئ کاروونکي مجبور کړئ چې خپل پاسورډونه بدل کړي کله چې دوی بل ځل ننوتل.
یو بل عجیب شی چې تاسو یې لیدلی وي هغه دا دی چې ساحې [u,l,d,o]credit
منفي شمیره لري. دا ځکه چې د 0 څخه لوی یا مساوي شمیرې به ستاسو په پټنوم کې د کرکټر کارولو لپاره کریډیټ ورکړي. که چیرې ساحه منفي شمیره ولري، دا پدې مانا ده چې یو مشخص مقدار ته اړتیا ده.
پورونه څه دي؟
زه دوی ته پورونه وایم ځکه چې دا د امکان تر حده د دوی هدف په سمه توګه بیانوي. که د پیرامیټر ارزښت له 0 څخه ډیر وي، تاسو د پاسورډ اوږدوالی ته د "x" سره مساوي یو شمیر "کریډیټ کریډیټ" اضافه کړئ. د مثال په توګه، که ټول پیرامیټونه (u,l,d,o)credit
1 ته ټاکل شوی او د مطلوب پاسورډ اوږدوالی 6 و، نو تاسو به د اوږدوالی اړتیا پوره کولو لپاره 6 حروف ته اړتیا ولرئ ځکه چې هر لوی، کوچنی، عدد یا بل کرکټر به تاسو ته یو کریډیټ درکړي.
که تاسو نصب کړئ dcredit
په 2 کې، تاسو کولی شئ په تیوریکي توګه یو پاسورډ وکاروئ چې 9 حروف اوږد وي او د شمیرو لپاره د 2 کریکټ کریډیټ ترلاسه کړئ، او بیا د پاسورډ اوږدوالی ممکن دمخه 10 وي.
دا مثال وګورئ. ما د پټنوم اوږدوالی 13 ته ټاکلی، dcredit 2 ته، او نور هر څه 0 ته.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18
زما لومړی چک ناکام شو ځکه چې پټنوم د 13 حروف څخه کم و. بل ځل چې ما "I" لیک په "1" شمیره بدل کړ او د شمیرو لپاره دوه کریډیټ ترلاسه کړل، کوم چې پاسورډ یې د 13 سره برابر کړ.
د پټنوم ازموینه
کڅوړه libpwquality
په مقاله کې تشریح شوي فعالیت وړاندې کوي. دا د برنامه سره هم راځي pwscore
، کوم چې د پټنوم پیچلتیا چک کولو لپاره ډیزاین شوی. موږ دا پورته د پورونو چک کولو لپاره کارولي.
افادیت pwscore
څخه لوستل کیږي
د پاسورډ کیفیت سکور د پیرامیټر سره تړاو لري minlen
په ترتیب فایل کې. په عموم کې، د 50 څخه کم نمرې "نورمال پاسورډ" ګڼل کیږي، او د هغې پورته نمرې د "قوي پاسورډ" په توګه ګڼل کیږي. هر هغه پټنوم چې د کیفیت چکونه تیریږي (په ځانګړې توګه جبري تایید cracklib
) باید د لغت بریدونو سره مقاومت وکړي، او د ترتیب سره د 50 څخه پورته نمرې سره پاسورډ minlen
حتی په ډیفالټ brute force
بریدونه
پایلې
تعدیلات pwquality
- دا د کارونې تکلیف په پرتله اسانه او ساده دی cracklib
د مستقیم فایل ترمیم سره pam
. پدې لارښود کې ، موږ هرڅه پوښلي چې تاسو ورته اړتیا لرئ کله چې په Red Hat 7 ، CentOS 7 ، او حتی اوبنټو سیسټمونو کې د رمز پالیسۍ تنظیم کړئ. موږ د پورونو د مفکورې په اړه هم خبرې وکړې، کوم چې په ندرت سره په تفصیل سره لیکل کیږي، نو دا موضوع اکثرا د هغو کسانو لپاره ناڅرګنده پاتې ده چې مخکې یې ورسره مخ شوي ندي.
سرچینې:
ګټور لینکونه:
سرچینه: www.habr.com