ProHoster > Blog > Administrasi > Nyiptakeun Kabijakan Sandi dina Linux

Nyiptakeun Kabijakan Sandi dina Linux

Halo deui! Kelas dina grup kursus anyar dimimitian isukan "Linux Administrator", dina hal ieu, kami nyebarkeun artikel mangpaat dina topik.

Nyiptakeun Kabijakan Sandi dina Linux

Dina tutorial saméméhna kami ngabejaan ka maneh kumaha ngagunakeun pam_cracklibsangkan kecap akses dina sistem leuwih kompleks Topi Beureum 6 atanapi CentOS. Dina Red Hat 7 pam_pwquality digantikeun cracklib siga pam modul standar pikeun mariksa kecap akses. Modul pam_pwquality ogé dirojong dina Ubuntu sareng CentOS, ogé seueur OS anu sanés. Modul ieu ngagampangkeun nyieun kawijakan sandi pikeun mastikeun yén pamaké narima standar kakuatan sandi anjeun.

Pikeun lila, pendekatan umum pikeun kecap akses nya éta maksa pamaké ngagunakeun hurup gede, aksara leutik, angka, atawa simbol lianna. Aturan dasar pikeun pajeulitna kecap akses ieu parantos diwanohkeun sacara lega salami sapuluh taun katukang. Aya seueur diskusi ngeunaan naha ieu prakték anu saé atanapi henteu. Argumen utama ngalawan netepkeun kaayaan rumit sapertos kitu nyaéta pangguna nyerat kecap konci dina lembar kertas sareng nyimpenna teu aman.

Kabijakan sanés anu nembé ditaroskeun maksa pangguna ngarobih kecap konci unggal x dinten. Aya sababaraha panilitian anu nunjukkeun yén ieu ogé ngabahayakeun kasalametan.

Seueur tulisan anu ditulis dina topik diskusi ieu, anu ngadukung hiji sudut pandang atanapi anu sanés. Tapi ieu sanés anu bakal urang bahas dina tulisan ieu. Tulisan ieu bakal ngobrol ngeunaan kumaha carana leres nyetél pajeulitna sandi tinimbang ngatur kawijakan kaamanan.

Setélan Kawijakan Sandi

Di handap anjeun bakal ningali pilihan kawijakan sandi sareng pedaran ringkes masing-masing. Seueur diantarana sami sareng parameter dina modul cracklib. Pendekatan ieu ngagampangkeun porting kawijakan anjeun tina sistem warisan.

  • Abdi nyungkeun hapunten – Jumlah karakter dina sandi anyar anjeun nu NOT kudu hadir dina sandi heubeul Anjeun. (Standar 5)
  • minlen - Panjang sandi minimum. (Standar 9)
  • ucredit – Jumlah maksimum sks pikeun ngagunakeun karakter hurup gede (lamun parameter> 0), atawa jumlah minimum diperlukeun karakter huruf gede (lamun parameter <0). Default nyaéta 1.
  • kiridit — Jumlah maksimum sks pikeun ngagunakeun karakter aksara leutik (lamun parameter > 0), atawa jumlah minimum diperlukeun karakter aksara leutik (lamun parameter < 0). Default nyaéta 1.
  • kiridit — Jumlah maksimum sks pikeun ngagunakeun digit (lamun parameter> 0), atawa jumlah minimum diperlukeun digit (lamun parameter < 0). Default nyaéta 1.
  • anjeunna percanten — Jumlah maksimum sks pikeun ngagunakeun simbol séjén (lamun parameter> 0), atawa jumlah minimum diperlukeun pikeun simbol séjén (lamun parameter <0). Default nyaéta 1.
  • kelas min - Nyetél jumlah kelas anu diperyogikeun. Kelas kaasup parameter di luhur (karakter gede, aksara leutik, angka, karakter sejenna). Default nyaéta 0.
  • maxrepeat - Jumlah maksimal waktos karakter tiasa diulang dina kecap akses. Default nyaéta 0.
  • maxclassrepeat - Jumlah maksimum karakter padeukeut dina hiji kelas. Default nyaéta 0.
  • gecoscheck – Cék naha sandi ngandung kecap tina string GECOS pamaké. (Inpo pamaké, nyaéta ngaran nyata, lokasi, jsb) Default nyaeta 0 (pareum).
  • dictpath – Hayu urang buka kamus cracklib.
  • badwords - Kecap anu dipisahkeun ku rohangan anu dilarang dina kecap akses (Ngaran perusahaan, kecap "sandi", jsb.).

Lamun konsep pinjaman kadenge aneh, teu kunanaon, éta normal. Urang bakal ngobrol langkung seueur ngeunaan ieu dina bagian di handap ieu.

Konfigurasi Kawijakan Sandi

Sateuacan anjeun ngamimitian ngédit file konfigurasi, éta hadé pikeun nyerat sateuacanna kawijakan sandi dasar. Contona, urang bakal ngagunakeun aturan kasusah handap:

  • Sandi kedah gaduh panjang minimum 15 karakter.
  • Karakter anu sami henteu kedah diulang langkung ti dua kali dina kecap akses.
  • Kelas karakter tiasa diulang dugi ka opat kali dina kecap akses.
  • Sandi kedah ngandung karakter ti unggal kelas.
  • Sandi anyar kedah gaduh 5 karakter anyar dibandingkeun sareng anu lami.
  • Aktipkeun cek GECOS.
  • Larang kecap "sandi, pas, kecap, putorius"

Ayeuna urang parantos netepkeun kawijakan, urang tiasa ngédit filena /etc/security/pwquality.confpikeun ngaronjatkeun sarat pajeulitna sandi. Di handap ieu conto file kalawan komentar pikeun pamahaman hadé. 

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

Sakumaha anjeun tiasa perhatikeun, sababaraha parameter dina file kami kaleuleuwihan. Contona, parameter minclass nyaeta kaleuleuwihan saprak urang geus ngagunakeun sahenteuna dua karakter ti kelas ngagunakeun widang [u,l,d,o]credit. Daptar kecap anu teu tiasa dianggo ogé kaleuleuwihan, sabab kami ngalarang ngulang kelas naon waé 4 kali (sadayana kecap dina daptar kami ditulis dina hurup leutik). Kuring parantos ngalebetkeun pilihan ieu ngan ukur pikeun nunjukkeun kumaha ngagunakeunana pikeun ngonpigurasikeun kawijakan sandi anjeun.
Sakali anjeun geus nyieun kawijakan anjeun, anjeun bisa maksa pamaké pikeun ngarobah kecap akses maranéhanana waktu saterusna maranéhanana asup. sistem.

Hal aneh sejen anjeun bisa geus noticed nyaeta sawah [u,l,d,o]credit ngandung angka négatip. Ieu kusabab angka nu leuwih gede atawa sarua jeung 0 bakal masihan kiridit keur ngagunakeun karakter dina sandi anjeun. Lamun sawah ngandung angka négatip, hartina kuantitas nu tangtu diperlukeun.

Naon pinjaman?

Kuring nyauran aranjeunna pinjaman sabab éta nyayogikeun tujuanana sacara akurat-gancang. Lamun nilai parameter leuwih gede ti 0, Anjeun nambahkeun sababaraha "sks karakter" sarua jeung "x" kana panjang sandi. Contona, upami sadaya parameter (u,l,d,o)credit disetel ka 1 sarta panjang sandi diperlukeun éta 6, mangka anjeun bakal kudu 6 karakter pikeun nyugemakeun sarat panjangna sabab unggal uppercase, aksara leutik, angka atawa karakter sejenna bakal masihan anjeun hiji kiridit.

Upami anjeun masang dcredit jam 2, Anjeun sacara téoritis tiasa nganggo kecap akses anu panjangna 9 karakter sareng nampi sks 2 karakter pikeun nomer, teras panjang kecap konci tiasa janten 10.

Tingali conto ieu. Kuring nyetél panjang sandi ka 13, nyetél dcredit ka 2, sareng sadayana anu sanésna 0.

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

Pamariksaan munggaran kuring gagal sabab sandi panjangna kirang ti 13 karakter. Dina waktos salajengna basa kuring ngarobih hurup "I" kana angka "1" sareng nampi dua sks pikeun nomer, anu ngajantenkeun kecap koncina sami sareng 13.

tés sandi

Pakét libpwquality nyadiakeun fungsionalitas dijelaskeun dina artikel. Ogé hadir kalawan program a pwscore, nu dirancang pikeun pariksa pajeulitna sandi. Kami nganggo éta di luhur pikeun mariksa pinjaman.
Utiliti pwscore maca ti stdin. Ngan ngajalankeun utiliti jeung nulis sandi anjeun, éta bakal nembongkeun kasalahan atawa nilai ti 0 nepi ka 100.

Skor kualitas sandi aya hubunganana sareng parameter minlen dina file konfigurasi. Sacara umum, skor kirang ti 50 dianggap "sandi normal", sarta skor luhur eta dianggap "sandi kuat". Sakur kecap akses anu lulus pamariksaan kualitas (utamana verifikasi paksaan cracklib) kudu tahan serangan kamus, sarta sandi kalayan skor luhur 50 kalawan setelan minlen malah sacara standar brute force serangan.

kacindekan

carana ngatur pwquality - éta gampang tur basajan dibandingkeun kasulitan pamakéan cracklib kalawan ngedit file langsung pam. Dina pituduh ieu, kami parantos nutupan sadayana anu anjeun peryogikeun nalika nyetél kawijakan sandi dina Red Hat 7, CentOS 7, bahkan sistem Ubuntu. Urang ogé ngobrol ngeunaan konsép injeuman, nu jarang ditulis ngeunaan jéntré, jadi topik ieu mindeng tetep can écés ka jalma anu teu kungsi ngalaman eta.

sumber:

kaca lalaki pwquality
pam_pwquality man page
kaca lalaki pwscore

Tumbu mangpaat:

Milih Kecap aksés Aman - Bruce Schneier
Lorrie Faith Cranor ngabahas studi sandi na di CMU
The Infamous xkcd kartun on Éntropi

sumber: www.habr.com

Tambahkeun komentar