ProHoster > بلاګ > اداره > په لینکس کې د پاسورډ پالیسي رامینځته کول

په لینکس کې د پاسورډ پالیسي رامینځته کول

بیا اسلام علیکم! د نوي کورس ګروپ ټولګي سبا پیل کیږي "د لینکس مدیر"په دې اړه، موږ د موضوع په اړه ګټور مقاله خپروو.

په لینکس کې د پاسورډ پالیسي رامینځته کول

په تیرو ټیوټوریل کې موږ تاسو ته وویل چې څنګه کارول کیږي pam_cracklibپه سیسټمونو کې پاسورډونه ډیر پیچلي کول ریډ خولۍ ۶ یا CentOS. په Red Hat 7 کې pam_pwquality بدل شوی cracklib په توګه pam د پاسورډونو چک کولو لپاره ډیفالټ ماډل. ماډل pam_pwquality په اوبنټو او CentOS کې هم ملاتړ شوی ، په بیله بیا ډیری نور OS. دا ماډل د پاسورډ پالیسۍ رامینځته کول اسانه کوي ترڅو ډاډ ترلاسه کړي چې کاروونکي ستاسو د پاسورډ ځواک معیارونه مني.

د اوږدې مودې لپاره، د پاسورډونو لپاره عام طریقه دا وه چې کاروونکي مجبور کړي چې لوی، کوچني، شمیرې، یا نور سمبولونه وکاروي. د پټنوم پیچلتیا لپاره دا اساسي قواعد په تیرو لسو کلونو کې په پراخه کچه هڅول شوي. په دې اړه ډیر بحثونه شوي چې ایا دا ښه عمل دی که نه. د داسې پیچلو شرایطو د تنظیم کولو په وړاندې اصلي دلیل دا و چې کاروونکي پاسورډونه د کاغذ په ټوټو کې لیکي او په ناامنه توګه یې ذخیره کوي.

بله پالیسي چې پدې وروستیو کې پوښتنې ته ویل شوي کاروونکي مجبوروي چې خپل پاسورډونه په هر x ورځو کې بدل کړي. ځینې ​​​​مطالعې شتون لري چې ښودلې چې دا خوندیتوب ته هم زیان رسوي.

د دې بحثونو په اړه ډیری مقالې لیکل شوي، کوم چې یو نظر یا بل نظر ثابتوي. مګر دا هغه څه ندي چې موږ به پدې مقاله کې بحث وکړو. دا مقاله به د امنیت پالیسۍ اداره کولو پرځای د پټنوم پیچلتیا په سمه توګه تنظیم کولو څرنګوالي په اړه وغږیږي.

د پټنوم پالیسۍ ترتیبات

لاندې به تاسو د پاسورډ پالیسۍ اختیارونه او د هر یو لنډ توضیحات وګورئ. ډیری یې په ماډل کې د پیرامیټونو سره ورته دي cracklib. دا طریقه د میراث سیسټم څخه ستاسو د پالیسیو پورټ کول اسانه کوي.

  • difok - ستاسو په نوي پاسورډ کې د حروفونو شمیر چې باید ستاسو په زاړه پاسورډ کې شتون ونلري. (ډیفالټ 5)
  • من - لږترلږه د پاسورډ اوږدوالی. (اصلي 9)
  • کریډیټ - د لوی حروفونو کارولو لپاره د کریډیټ اعظمي شمیره (که پیرامیټر > 0) ، یا د لوی حروف لږترلږه اړین شمیر (که پیرامیټر <0 وي). ډیفالټ 1 دی.
  • کریډیټ - د کریډیټ اعظمي شمیره د کوچني حروفونو کارولو لپاره (که پیرامیټر > 0)، یا د کوچنیو حروفونو لږترلږه اړین شمیر (که پیرامیټر <0 وي). ډیفالټ 1 دی.
  • dcredit - د عددونو کارولو لپاره د کریډیټ اعظمي شمیره (که پیرامیټر > 0) ، یا د ډیجیټونو لږترلږه اړین شمیر (که پیرامیټر <0 وي). ډیفالټ 1 دی.
  • اعتبار - د نورو سمبولونو کارولو لپاره د کریډیټ اعظمي شمیره (که پیرامیټر > 0) ، یا د نورو سمبولونو لږترلږه اړین شمیر (که پیرامیټر <0). ډیفالټ 1 دی.
  • min class - د اړتیا وړ ټولګیو شمیر ټاکي. په ټولګیو کې پورتني پیرامیټرونه شامل دي (د پورتنۍ قضیې حروف، د ټیټ کیس حروف، شمیرې، نور حروف). ډیفالټ 0 دی.
  • اعظمي تکرار - په پټنوم کې د کرکټر ډیری ځله تکرار کیدی شي. ډیفالټ 0 دی.
  • maxclassrepeat - په یوه ټولګي کې د پرله پسې حروفونو اعظمي شمیر. ډیفالټ 0 دی.
  • gecoscheck - ګوري چې ایا پاسورډ د کارونکي GECOS تارونو څخه کوم ټکي لري. (د کارونکي معلومات، د بیلګې په توګه اصلي نوم، موقعیت، او نور) ډیفالټ 0 (بند) دی.
  • dictpath - راځئ چې د کریکلیب لغتونو ته لاړ شو.
  • بولډز - د ځای څخه جلا شوي کلمې چې په پاسورډونو کې منع دي (د شرکت نوم، د "پټون" کلمه، او داسې نور).

که د پور مفهوم عجيب ښکاري، دا سمه ده، دا عادي خبره ده. موږ به په لاندې برخو کې پدې اړه نور خبرې وکړو.

د پټنوم پالیسي ترتیب

مخکې لدې چې تاسو د تشکیلاتو فایلونو ایډیټ کول پیل کړئ ، دا یو ښه تمرین دی چې دمخه د اصلي پټنوم پالیسي ولیکئ. د مثال په توګه، موږ به لاندې ستونزمن قواعد وکاروو:

  • پاسورډ باید لږترلږه د 15 حروف اوږدوالی ولري.
  • په پاسورډ کې باید ورته کرکټر له دوه ځله څخه زیات تکرار نشي.
  • د کرکټر ټولګي په پاسورډ کې تر څلور ځله پورې تکرار کیدی شي.
  • پاسورډ باید د هر ټولګي څخه حروف ولري.
  • نوی پاسورډ باید د زاړه په پرتله 5 نوي حروف ولري.
  • د GECOS چیک فعال کړئ.
  • د "پاسورډ، پاس، کلمه، پوټوریوس" کلمې منع کړئ

اوس چې موږ پالیسي جوړه کړې، موږ کولی شو فایل ترمیم کړو /etc/security/pwquality.confد پاسورډ پیچلتیا اړتیاو زیاتولو لپاره. لاندې د ښه پوهیدو لپاره د نظرونو سره د مثال فایل دی. 

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

لکه څنګه چې تاسو شاید یادونه کړې وي، زموږ په فایل کې ځینې پیرامیټونه بې ځایه دي. د مثال په توګه، پیرامیټر minclass بې ځایه دی ځکه چې موږ دمخه د ساحې په کارولو سره د ټولګي څخه لږترلږه دوه حروف کاروو [u,l,d,o]credit. زموږ د هغو کلمو لیست چې نشي کارول کیدی هم بې ځایه دی، ځکه چې موږ د هر ټولګي 4 ځله تکرار منع کړی دی (زموږ په لیست کې ټول ټکي په کوچنیو حروفونو کې لیکل شوي). ما دا اختیارونه یوازې د دې لپاره شامل کړي چې دا وښیې چې څنګه یې ستاسو د پټنوم پالیسي تنظیم کولو لپاره وکاروئ.
یوځل چې تاسو خپله پالیسي جوړه کړه، تاسو کولی شئ کاروونکي مجبور کړئ چې خپل پاسورډونه بدل کړي کله چې دوی بل ځل ننوتل. سیسټم.

یو بل عجیب شی چې تاسو یې لیدلی وي هغه دا دی چې ساحې [u,l,d,o]credit منفي شمیره لري. دا ځکه چې د 0 څخه لوی یا مساوي شمیرې به ستاسو په پټنوم کې د کرکټر کارولو لپاره کریډیټ ورکړي. که چیرې ساحه منفي شمیره ولري، دا پدې مانا ده چې یو مشخص مقدار ته اړتیا ده.

پورونه څه دي؟

زه دوی ته پورونه وایم ځکه چې دا د امکان تر حده د دوی هدف په سمه توګه بیانوي. که د پیرامیټر ارزښت له 0 څخه ډیر وي، تاسو د پاسورډ اوږدوالی ته د "x" سره مساوي یو شمیر "کریډیټ کریډیټ" اضافه کړئ. د مثال په توګه، که ټول پیرامیټونه (u,l,d,o)credit 1 ته ټاکل شوی او د مطلوب پاسورډ اوږدوالی 6 و، نو تاسو به د اوږدوالی اړتیا پوره کولو لپاره 6 حروف ته اړتیا ولرئ ځکه چې هر لوی، کوچنی، عدد یا بل کرکټر به تاسو ته یو کریډیټ درکړي.

که تاسو نصب کړئ dcredit په 2 کې، تاسو کولی شئ په تیوریکي توګه یو پاسورډ وکاروئ چې 9 حروف اوږد وي او د شمیرو لپاره د 2 کریکټ کریډیټ ترلاسه کړئ، او بیا د پاسورډ اوږدوالی ممکن دمخه 10 وي.

دا مثال وګورئ. ما د پټنوم اوږدوالی 13 ته ټاکلی، dcredit 2 ته، او نور هر څه 0 ته.

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

زما لومړی چک ناکام شو ځکه چې پټنوم د 13 حروف څخه کم و. بل ځل چې ما "I" لیک په "1" شمیره بدل کړ او د شمیرو لپاره دوه کریډیټ ترلاسه کړل، کوم چې پاسورډ یې د 13 سره برابر کړ.

د پټنوم ازموینه

کڅوړه libpwquality په مقاله کې تشریح شوي فعالیت وړاندې کوي. دا د برنامه سره هم راځي pwscore، کوم چې د پټنوم پیچلتیا چک کولو لپاره ډیزاین شوی. موږ دا پورته د پورونو چک کولو لپاره کارولي.
افادیت pwscore څخه لوستل کیږي سډین. یوازې یوټیلیټ چل کړئ او خپل پټنوم ولیکئ، دا به له 0 څخه تر 100 پورې یوه تېروتنه یا ارزښت ښکاره کړي.

د پاسورډ کیفیت سکور د پیرامیټر سره تړاو لري minlen په ترتیب فایل کې. په عموم کې، د 50 څخه کم نمرې "نورمال پاسورډ" ګڼل کیږي، او د هغې پورته نمرې د "قوي پاسورډ" په توګه ګڼل کیږي. هر هغه پټنوم چې د کیفیت چکونه تیریږي (په ځانګړې توګه جبري تایید cracklib) باید د لغت بریدونو سره مقاومت وکړي، او د ترتیب سره د 50 څخه پورته نمرې سره پاسورډ minlen حتی په ډیفالټ brute force بریدونه

پایلې

تعدیلات pwquality - دا د کارونې تکلیف په پرتله اسانه او ساده دی cracklib د مستقیم فایل ترمیم سره pam. پدې لارښود کې ، موږ هرڅه پوښلي چې تاسو ورته اړتیا لرئ کله چې په Red Hat 7 ، CentOS 7 ، او حتی اوبنټو سیسټمونو کې د رمز پالیسۍ تنظیم کړئ. موږ د پورونو د مفکورې په اړه هم خبرې وکړې، کوم چې په ندرت سره په تفصیل سره لیکل کیږي، نو دا موضوع اکثرا د هغو کسانو لپاره ناڅرګنده پاتې ده چې مخکې یې ورسره مخ شوي ندي.

سرچینې:

د pwquality مین پاڼه
pam_pwquality مین پاڼه
pwscore مین پاڼه

ګټور لینکونه:

د خوندي پاسورډونو غوره کول - بروس شنیر
لوری ایمان کرینور په CMU کې د هغې د پټنوم مطالعاتو په اړه بحث کوي
په انټروپي کې بدنام Xkcd کارټون

سرچینه: www.habr.com

Add a comment