Habari tena! Madarasa katika kikundi kipya cha kozi yataanza kesho , katika suala hili, tunachapisha makala muhimu juu ya mada.
Katika somo la awali tulikuambia jinsi ya kutumia pam_cracklibkufanya nywila kwenye mifumo kuwa ngumu zaidi au CentOS. Katika kofia nyekundu 7 pam_pwquality kubadilishwa cracklib kama pam moduli chaguo-msingi ya kuangalia manenosiri. Moduli pam_pwquality pia inasaidia kwenye Ubuntu na CentOS, na OS zingine nyingi. Sehemu hii hurahisisha kuunda sera za nenosiri ili kuhakikisha kuwa watumiaji wanakubali viwango vyako vya nguvu vya nenosiri.
Kwa muda mrefu, mbinu ya kawaida ya nywila ilikuwa kulazimisha mtumiaji kutumia herufi kubwa, ndogo, nambari, au alama zingine. Sheria hizi za msingi za uchangamano wa nenosiri zimekuzwa sana katika kipindi cha miaka kumi iliyopita. Kumekuwa na majadiliano mengi kuhusu kama hii ni mazoezi mazuri au la. Hoja kuu dhidi ya kuweka hali ngumu kama hizo ilikuwa kwamba watumiaji wanaandika nywila kwenye vipande vya karatasi na kuzihifadhi bila usalama.
Sera nyingine ambayo imetiliwa shaka hivi majuzi inalazimisha watumiaji kubadilisha manenosiri yao kila siku x. Kumekuwa na tafiti ambazo zimeonyesha kuwa hii pia ni hatari kwa usalama.
Nakala nyingi zimeandikwa juu ya mada ya mijadala hii, ambayo inathibitisha mtazamo mmoja au mwingine. Lakini hii sio ambayo tutajadili katika makala hii. Nakala hii itazungumza juu ya jinsi ya kuweka kwa usahihi ugumu wa nenosiri badala ya kudhibiti sera ya usalama.
Mipangilio ya Sera ya Nenosiri
Hapo chini utaona chaguzi za sera ya nenosiri na maelezo mafupi ya kila moja. Wengi wao ni sawa na vigezo katika moduli cracklib. Mbinu hii hurahisisha kuweka sera zako kutoka kwa mfumo uliopitwa na wakati.
- difok - Idadi ya herufi katika nenosiri lako jipya ambazo HAZIFAI kuwa katika nenosiri lako la zamani. (Chaguomsingi 5)
- minlen - Urefu wa chini wa nenosiri. (Chaguomsingi 9)
- ucredit β Idadi ya juu zaidi ya mikopo kwa kutumia herufi kubwa (ikiwa kigezo > 0), au idadi ya chini inayohitajika ya herufi kubwa (ikiwa kigezo <0). Chaguomsingi ni 1.
- mkopo β Idadi ya juu zaidi ya mikopo kwa kutumia herufi ndogo (ikiwa kigezo > 0), au idadi ya chini inayohitajika ya herufi ndogo (ikiwa kigezo <0). Chaguomsingi ni 1.
- dcredit - Idadi ya juu zaidi ya mikopo kwa kutumia tarakimu (ikiwa parameta > 0), au idadi ya chini inayohitajika ya tarakimu (ikiwa parameta <0). Chaguomsingi ni 1.
- ocredit β Idadi ya juu zaidi ya alama za mkopo kwa kutumia alama zingine (ikiwa parameta> 0), au nambari ya chini inayohitajika ya alama zingine (ikiwa parameta <0). Chaguomsingi ni 1.
- darasa la chini - Huweka idadi ya madarasa yanayohitajika. Madarasa ni pamoja na vigezo hapo juu (herufi kubwa, herufi ndogo, nambari, herufi zingine). Chaguomsingi ni 0.
- maxrepeat - Idadi ya juu ya mara herufi inaweza kurudiwa katika nenosiri. Chaguomsingi ni 0.
- maxclassrepeat - Idadi ya juu ya herufi mfululizo katika darasa moja. Chaguomsingi ni 0.
- gecoscheck - Huangalia ikiwa nenosiri lina maneno yoyote kutoka kwa kamba za GECOS za mtumiaji. (Maelezo ya mtumiaji, yaani jina halisi, eneo, n.k.) Chaguomsingi ni 0 (imezimwa).
- dictpath - Twende kwenye kamusi za cracklib.
- Maneno mabaya - Maneno yaliyotenganishwa na nafasi ambayo yamepigwa marufuku katika manenosiri (jina la kampuni, neno "nenosiri", n.k.).
Ikiwa dhana ya mikopo inaonekana ya ajabu, ni sawa, ni ya kawaida. Tutazungumza zaidi kuhusu hili katika sehemu zifuatazo.
Usanidi wa Sera ya Nenosiri
Kabla ya kuanza kuhariri faili za usanidi, ni mazoezi mazuri kuandika sera ya msingi ya nenosiri mapema. Kwa mfano, tutatumia sheria zifuatazo za ugumu:
- Nenosiri lazima liwe na urefu usiopungua wa vibambo 15.
- Herufi sawa haipaswi kurudiwa zaidi ya mara mbili katika nenosiri.
- Madarasa ya wahusika yanaweza kurudiwa hadi mara nne katika nenosiri.
- Nenosiri lazima liwe na herufi kutoka kwa kila darasa.
- Nenosiri jipya lazima liwe na herufi 5 mpya ikilinganishwa na ile ya zamani.
- Washa ukaguzi wa GECOS.
- Kataza maneno "nenosiri, pasi, neno, putorius"
Sasa kwa kuwa tumeweka sera, tunaweza kuhariri faili /etc/security/pwquality.confili kuongeza mahitaji ya utata wa nenosiri. Ifuatayo ni faili ya mfano iliyo na maoni kwa ufahamu bora.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putoriusKama unaweza kuwa umegundua, baadhi ya vigezo katika faili yetu ni redundant. Kwa mfano, parameter minclass haina maana kwani tayari tunatumia angalau herufi mbili kutoka kwa darasa kwa kutumia sehemu [u,l,d,o]credit. Orodha yetu ya maneno ambayo haiwezi kutumika pia ni ya ziada, kwa kuwa tumekataza kurudia darasa lolote mara 4 (maneno yote katika orodha yetu yameandikwa kwa herufi ndogo). Nimejumuisha chaguo hizi ili kuonyesha tu jinsi ya kuzitumia kusanidi sera yako ya nenosiri.
Ukishaunda sera yako, unaweza kuwalazimisha watumiaji kubadilisha manenosiri yao watakapoingia tena. .
Jambo lingine la kushangaza unaweza kuwa umeona ni kwamba mashamba [u,l,d,o]credit vyenye nambari hasi. Hii ni kwa sababu nambari kubwa kuliko au sawa na 0 zitatoa sifa kwa kutumia herufi katika nenosiri lako. Ikiwa uwanja una nambari hasi, inamaanisha kuwa idadi fulani inahitajika.
Mikopo ni nini?
Ninawaita mikopo kwa sababu hiyo inawasilisha kusudi lao kwa usahihi iwezekanavyo. Ikiwa thamani ya kigezo ni kubwa kuliko 0, unaongeza idadi ya "salio la herufi" sawa na "x" kwenye urefu wa nenosiri. Kwa mfano, ikiwa vigezo vyote (u,l,d,o)credit kuweka 1 na urefu wa nenosiri uliohitajika ulikuwa 6, basi utahitaji herufi 6 ili kukidhi mahitaji ya urefu kwa sababu kila herufi kubwa, herufi ndogo, tarakimu au herufi nyingine itakupa mkopo mmoja.
Ukisakinisha dcredit saa 2, unaweza kinadharia kutumia nenosiri ambalo lina urefu wa vibambo 9 na kupata alama 2 za nambari, na kisha urefu wa nenosiri unaweza kuwa 10.
Angalia mfano huu. Niliweka urefu wa nenosiri hadi 13, nikaweka dcredit kuwa 2, na kila kitu kingine hadi 0.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18Cheki yangu ya kwanza haikufaulu kwa sababu nenosiri lilikuwa na urefu wa chini ya herufi 13. Wakati mwingine nilibadilisha herufi "I" kuwa nambari "1" na nikapokea alama mbili za nambari, ambayo ilifanya nywila kuwa sawa na 13.
Upimaji wa nenosiri
Ufungaji libpwquality hutoa utendaji ulioelezwa katika makala. Pia inakuja na programu pwscore, ambayo imeundwa kuangalia utata wa nenosiri. Tuliitumia hapo juu kuangalia mikopo.
Huduma pwscore inasoma kutoka . Endesha matumizi tu na uandike nenosiri lako, litaonyesha kosa au thamani kutoka 0 hadi 100.
Alama ya ubora wa nenosiri inahusiana na kigezo minlen katika faili ya usanidi. Kwa ujumla, alama ya chini ya 50 inachukuliwa kuwa "nenosiri la kawaida", na alama juu yake inachukuliwa kuwa "nenosiri kali". Nenosiri lolote linalopitisha ukaguzi wa ubora (hasa uthibitishaji wa kulazimishwa cracklib) lazima ihimili mashambulizi ya kamusi, na nenosiri lenye alama zaidi ya 50 pamoja na mpangilio minlen hata kwa chaguo-msingi brute force mashambulizi.
Hitimisho
marekebisho pwquality - ni rahisi na rahisi ikilinganishwa na usumbufu wa matumizi cracklib na uhariri wa faili moja kwa moja pam. Katika mwongozo huu, tumeshughulikia kila kitu utakachohitaji unapoweka sera za nenosiri kwenye Red Hat 7, CentOS 7, na hata mifumo ya Ubuntu. Pia tulizungumza juu ya dhana ya mikopo, ambayo haiandikwa kwa undani sana, kwa hivyo mada hii mara nyingi ilibaki wazi kwa wale ambao hawakukutana nayo hapo awali.
Vyanzo:
Viungo muhimu:
Chanzo: mapenzi.com