மீண்டும் வணக்கம்! புதிய பாடப்பிரிவு குழுவிற்கான வகுப்புகள் நாளை தொடங்குகிறது
முந்தைய டுடோரியலில் எப்படி பயன்படுத்துவது என்று சொன்னோம் pam_cracklib
கணினிகளில் கடவுச்சொற்களை மிகவும் சிக்கலானதாக மாற்ற pam_pwquality
மாற்றப்பட்டது cracklib
என pam
கடவுச்சொற்களை சரிபார்க்க இயல்புநிலை தொகுதி. தொகுதி pam_pwquality
Ubuntu மற்றும் CentOS மற்றும் பல OS களிலும் ஆதரிக்கப்படுகிறது. உங்கள் கடவுச்சொல் வலிமை தரநிலைகளை பயனர்கள் ஏற்றுக்கொள்வதை உறுதிசெய்ய, கடவுச்சொல் கொள்கைகளை உருவாக்குவதை இந்த தொகுதி எளிதாக்குகிறது.
நீண்ட காலமாக, கடவுச்சொற்களுக்கான பொதுவான அணுகுமுறை பயனரை பெரிய எழுத்து, சிற்றெழுத்து, எண்கள் அல்லது பிற குறியீடுகளைப் பயன்படுத்தும்படி கட்டாயப்படுத்துவதாகும். கடவுச்சொல் சிக்கலுக்கான இந்த அடிப்படை விதிகள் கடந்த பத்து ஆண்டுகளில் பரவலாக விளம்பரப்படுத்தப்பட்டுள்ளன. இது நல்ல நடைமுறையா இல்லையா என்பது பற்றி நிறைய விவாதங்கள் நடந்தன. இத்தகைய சிக்கலான நிபந்தனைகளை அமைப்பதற்கு எதிரான முக்கிய வாதம் என்னவென்றால், பயனர்கள் கடவுச்சொற்களை காகிதத் துண்டுகளில் எழுதி பாதுகாப்பற்ற முறையில் சேமித்து வைக்கின்றனர்.
சமீபத்தில் கேள்விக்குள்ளாக்கப்பட்ட மற்றொரு கொள்கை பயனர்கள் தங்கள் கடவுச்சொற்களை ஒவ்வொரு x நாட்களுக்கும் மாற்றும்படி கட்டாயப்படுத்துகிறது. இதுவும் பாதுகாப்பிற்கு கேடு விளைவிப்பதாக சில ஆய்வுகள் தெரிவிக்கின்றன.
இந்த விவாதங்களின் தலைப்பில் பல கட்டுரைகள் எழுதப்பட்டுள்ளன, இது ஒரு கண்ணோட்டத்தை அல்லது இன்னொரு கருத்தை உறுதிப்படுத்துகிறது. ஆனால் இந்த கட்டுரையில் நாம் விவாதிப்பது இதுவல்ல. பாதுகாப்புக் கொள்கையை நிர்வகிப்பதற்குப் பதிலாக கடவுச்சொல் சிக்கலை எவ்வாறு சரியாக அமைப்பது என்பது பற்றி இந்தக் கட்டுரை பேசும்.
கடவுச்சொல் கொள்கை அமைப்புகள்
கடவுச்சொல் கொள்கை விருப்பங்களையும் ஒவ்வொன்றின் சுருக்கமான விளக்கத்தையும் கீழே காண்பீர்கள். அவற்றில் பல தொகுதியில் உள்ள அளவுருக்களைப் போலவே உள்ளன cracklib
. இந்த அணுகுமுறை உங்கள் கொள்கைகளை மரபு அமைப்பிலிருந்து எளிதாக போர்ட் செய்வதை எளிதாக்குகிறது.
- டிஃபோக் - உங்கள் பழைய கடவுச்சொல்லில் இல்லாத உங்கள் புதிய கடவுச்சொல்லில் உள்ள எழுத்துக்களின் எண்ணிக்கை. (இயல்புநிலை 5)
- மின்னன் - குறைந்தபட்ச கடவுச்சொல் நீளம். (இயல்புநிலை 9)
- கடன் – பெரிய எழுத்துகளைப் பயன்படுத்துவதற்கான அதிகபட்ச வரவுகள் (அளவுரு > 0 எனில்), அல்லது குறைந்தபட்ச தேவையான பெரிய எழுத்துகளின் எண்ணிக்கை (அளவுரு <0 எனில்). இயல்புநிலை 1.
- கடன் — சிற்றெழுத்து எழுத்துகளைப் பயன்படுத்துவதற்கான அதிகபட்ச வரவுகள் (அளவுரு > 0 எனில்), அல்லது குறைந்தபட்ச தேவையான சிற்றெழுத்து எழுத்துக்கள் (அளவுரு <0 எனில்). இயல்புநிலை 1.
- கடன் - இலக்கங்களைப் பயன்படுத்துவதற்கான அதிகபட்ச வரவுகள் (அளவுரு > 0 எனில்), அல்லது குறைந்தபட்ச தேவையான இலக்கங்களின் எண்ணிக்கை (அளவுரு <0 எனில்). இயல்புநிலை 1.
- கடன் — மற்ற சின்னங்களைப் பயன்படுத்துவதற்கான அதிகபட்ச வரவுகளின் எண்ணிக்கை (அளவுரு > 0 எனில்), அல்லது குறைந்தபட்ச தேவையான மற்ற குறியீடுகளின் எண்ணிக்கை (அளவுரு <0 எனில்). இயல்புநிலை 1.
- சிறிய வகுப்பு - தேவையான வகுப்புகளின் எண்ணிக்கையை அமைக்கிறது. வகுப்புகளில் மேலே உள்ள அளவுருக்கள் (அப்பர் கேஸ் எழுத்துகள், சிறிய எழுத்துகள், எண்கள், பிற எழுத்துக்கள்) அடங்கும். இயல்புநிலை 0.
- அதிகபட்சமாக மீண்டும் செய்யவும் - கடவுச்சொல்லில் ஒரு எழுத்தை அதிகபட்சமாக எத்தனை முறை மீண்டும் செய்ய முடியும். இயல்புநிலை 0.
- அதிகபட்ச வகுப்பு மீண்டும் — ஒரு வகுப்பில் அதிகபட்ச தொடர்ச்சியான எழுத்துக்கள். இயல்புநிலை 0.
- gecocheck – பயனரின் GECOS ஸ்டிரிங்க்களிலிருந்து கடவுச்சொல் ஏதேனும் உள்ளதா என்பதைச் சரிபார்க்கிறது. (பயனர் தகவல், அதாவது உண்மையான பெயர், இருப்பிடம் போன்றவை) இயல்புநிலை 0 (ஆஃப்) ஆகும்.
- கட்டளைப்பாதை – கிராக்லிப் அகராதிகளுக்குச் செல்வோம்.
- கெட்ட வார்த்தைகள் - கடவுச்சொற்களில் தடைசெய்யப்பட்ட இடத்தைப் பிரிக்கப்பட்ட சொற்கள் (நிறுவனத்தின் பெயர், வார்த்தை "கடவுச்சொல்" போன்றவை).
கடன்களின் கருத்து விசித்திரமாகத் தோன்றினால், பரவாயில்லை, இது சாதாரணமானது. பின்வரும் பிரிவுகளில் இதைப் பற்றி மேலும் பேசுவோம்.
கடவுச்சொல் கொள்கை கட்டமைப்பு
உள்ளமைவுக் கோப்புகளைத் திருத்தத் தொடங்கும் முன், அடிப்படைக் கடவுச்சொல் கொள்கையை முன்கூட்டியே எழுதுவது நல்ல நடைமுறை. எடுத்துக்காட்டாக, பின்வரும் சிரம விதிகளைப் பயன்படுத்துவோம்:
- கடவுச்சொல்லில் குறைந்தபட்சம் 15 எழுத்துகள் இருக்க வேண்டும்.
- கடவுச்சொல்லில் ஒரே எழுத்து இரண்டு முறைக்கு மேல் திரும்பக் கூடாது.
- ஒரு கடவுச்சொல்லில் எழுத்து வகுப்புகள் நான்கு முறை வரை மீண்டும் மீண்டும் செய்யப்படலாம்.
- கடவுச்சொல் ஒவ்வொரு வகுப்பிலிருந்தும் எழுத்துக்களைக் கொண்டிருக்க வேண்டும்.
- புதிய கடவுச்சொல் பழையதை விட 5 புதிய எழுத்துக்களைக் கொண்டிருக்க வேண்டும்.
- GECOS சரிபார்ப்பை இயக்கு.
- "கடவுச்சொல், பாஸ், வார்த்தை, புட்டோரியஸ்" என்ற வார்த்தைகளைத் தடைசெய்க
இப்போது கொள்கையை வகுத்துள்ளோம், கோப்பைத் திருத்தலாம் /etc/security/pwquality.conf
கடவுச்சொல் சிக்கலான தேவைகளை அதிகரிக்க. சிறந்த புரிதலுக்கான கருத்துகளுடன் ஒரு எடுத்துக்காட்டு கோப்பு கீழே உள்ளது.
# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius
நீங்கள் கவனித்தபடி, எங்கள் கோப்பில் உள்ள சில அளவுருக்கள் தேவையற்றவை. உதாரணமாக, அளவுரு minclass
புலங்களைப் பயன்படுத்தி வகுப்பிலிருந்து குறைந்தபட்சம் இரண்டு எழுத்துக்களையாவது ஏற்கனவே பயன்படுத்துவதால் தேவையற்றது [u,l,d,o]credit
. எந்த வகுப்பையும் 4 முறை திரும்பத் திரும்பச் சொல்வதை நாங்கள் தடை செய்திருப்பதால் (எங்கள் பட்டியலில் உள்ள அனைத்து சொற்களும் சிற்றெழுத்து எழுத்துக்களில் எழுதப்பட்டுள்ளன) பயன்படுத்த முடியாத சொற்களின் பட்டியல் தேவையற்றது. உங்கள் கடவுச்சொல் கொள்கையை உள்ளமைக்க அவற்றை எவ்வாறு பயன்படுத்துவது என்பதை விளக்குவதற்காக மட்டுமே இந்த விருப்பங்களைச் சேர்த்துள்ளேன்.
உங்கள் கொள்கையை உருவாக்கியதும், அடுத்த முறை உள்நுழையும்போது, பயனர்களின் கடவுச்சொற்களை மாற்றும்படி கட்டாயப்படுத்தலாம்.
நீங்கள் கவனித்திருக்கும் மற்றொரு விசித்திரமான விஷயம் என்னவென்றால், வயல்வெளிகள் [u,l,d,o]credit
எதிர்மறை எண்ணைக் கொண்டிருக்கும். ஏனென்றால், 0ஐ விட அதிகமான அல்லது அதற்கு சமமான எண்கள் உங்கள் கடவுச்சொல்லில் உள்ள எழுத்தைப் பயன்படுத்துவதற்குக் கடன் கொடுக்கும். புலத்தில் எதிர்மறை எண் இருந்தால், குறிப்பிட்ட அளவு தேவை என்று அர்த்தம்.
கடன்கள் என்றால் என்ன?
நான் அவற்றை கடன்கள் என்று அழைக்கிறேன், ஏனென்றால் அது அவர்களின் நோக்கத்தை முடிந்தவரை துல்லியமாக வெளிப்படுத்துகிறது. அளவுரு மதிப்பு 0 ஐ விட அதிகமாக இருந்தால், கடவுச்சொல் நீளத்திற்கு "x" க்கு சமமான பல "எழுத்து வரவுகளை" சேர்க்கிறீர்கள். எடுத்துக்காட்டாக, அனைத்து அளவுருக்கள் என்றால் (u,l,d,o)credit
1 ஆக அமைக்கப்பட்டு, தேவையான கடவுச்சொல் நீளம் 6 ஆக இருந்தது, பின்னர் நீளத் தேவையைப் பூர்த்தி செய்ய உங்களுக்கு 6 எழுத்துகள் தேவைப்படும், ஏனெனில் ஒவ்வொரு பெரிய எழுத்தும், சிறிய எழுத்தும், இலக்கமும் அல்லது மற்ற எழுத்துகளும் உங்களுக்கு ஒரு கிரெடிட்டைக் கொடுக்கும்.
நீங்கள் நிறுவினால் dcredit
2 இல், நீங்கள் கோட்பாட்டளவில் 9 எழுத்துகள் கொண்ட கடவுச்சொல்லைப் பயன்படுத்தலாம் மற்றும் எண்களுக்கு 2 எழுத்து வரவுகளைப் பெறலாம், பின்னர் கடவுச்சொல் நீளம் ஏற்கனவே 10 ஆக இருக்கலாம்.
இந்த உதாரணத்தைப் பாருங்கள். கடவுச்சொல் நீளத்தை 13 ஆகவும், dcredit ஐ 2 ஆகவும், மற்ற அனைத்தையும் 0 ஆகவும் அமைத்தேன்.
$ pwscore
Thisistwelve
Password quality check failed:
The password is shorter than 13 characters
$ pwscore
Th1sistwelve
18
கடவுச்சொல் 13 எழுத்துகளுக்கு குறைவாக இருந்ததால் எனது முதல் சோதனை தோல்வியடைந்தது. அடுத்த முறை நான் "I" என்ற எழுத்தை "1" என்ற எண்ணுக்கு மாற்றினேன் மற்றும் எண்களுக்கு இரண்டு வரவுகளைப் பெற்றேன், இது கடவுச்சொல்லை 13 ஆக மாற்றியது.
கடவுச்சொல் சோதனை
தொகுப்பு libpwquality
கட்டுரையில் விவரிக்கப்பட்டுள்ள செயல்பாட்டை வழங்குகிறது. இது ஒரு நிரலுடன் வருகிறது pwscore
, இது கடவுச்சொல் சிக்கலை சரிபார்க்க வடிவமைக்கப்பட்டுள்ளது. கடன்களை சரிபார்க்க மேலே பயன்படுத்தினோம்.
பயன்பாடு pwscore
இருந்து படிக்கிறது
கடவுச்சொல் தர மதிப்பெண் அளவுருவுடன் தொடர்புடையது minlen
கட்டமைப்பு கோப்பில். பொதுவாக, 50 க்கும் குறைவான மதிப்பெண் "சாதாரண கடவுச்சொல்" என்றும், அதற்கு மேல் மதிப்பெண் "வலுவான கடவுச்சொல்" என்றும் கருதப்படுகிறது. தரச் சரிபார்ப்புகளைக் கடந்து செல்லும் எந்த கடவுச்சொல்லும் (குறிப்பாக கட்டாய சரிபார்ப்பு cracklib
) அகராதி தாக்குதல்களைத் தாங்க வேண்டும், மேலும் 50 க்கு மேல் மதிப்பெண் கொண்ட கடவுச்சொல்லை அமைப்பில் வைத்திருக்க வேண்டும் minlen
முன்னிருப்பாக கூட brute force
தாக்குதல்கள்.
முடிவுக்கு
சரிசெய்தல் pwquality
- பயன்பாட்டின் சிரமத்துடன் ஒப்பிடும்போது இது எளிதானது மற்றும் எளிமையானது cracklib
நேரடி கோப்பு திருத்தத்துடன் pam
. இந்த வழிகாட்டியில், Red Hat 7, CentOS 7 மற்றும் Ubuntu கணினிகளில் கடவுச்சொல் கொள்கைகளை அமைக்கும்போது உங்களுக்குத் தேவையான அனைத்தையும் நாங்கள் உள்ளடக்கியுள்ளோம். கடன்கள் பற்றிய கருத்தைப் பற்றியும் நாங்கள் பேசினோம், இது பற்றி அரிதாகவே விரிவாக எழுதப்பட்டுள்ளது, எனவே இந்த தலைப்பு பெரும்பாலும் முன்னர் சந்திக்காதவர்களுக்கு தெளிவாகத் தெரியவில்லை.
ஆதாரங்கள்:
பயனுள்ள இணைப்புகள்:
ஆதாரம்: www.habr.com