ProHoster > Blog > Идораи > Эҷоди сиёсати парол дар Linux

Эҷоди сиёсати парол дар Linux

Боз салом! Машгулиятхо дар гурухи курсхои нав пагох cap мешаванд "Администратори Linux", ба ин муносибат, мо дар ин мавзӯъ мақолаи муфид нашр мекунем.

Эҷоди сиёсати парол дар Linux

Дар дарси қаблӣ мо ба шумо гуфта будем, ки чӣ тавр истифода баред pam_cracklibпаролҳоро дар системаҳо мураккабтар гардонад Хатти сурх 6 ё CentOS. Дар Red Hat 7 pam_pwquality иваз карда шуд cracklib ҳамчун pam модули пешфарз барои тафтиши паролҳо. Модул pam_pwquality инчунин дар Ubuntu ва CentOS, инчунин бисёр дигар OS дастгирӣ карда мешавад. Ин модул эҷоди сиёсати паролро осон мекунад, то боварӣ ҳосил кунад, ки корбарон стандартҳои қудрати пароли шуморо қабул мекунанд.

Дар муддати тӯлонӣ, равиши маъмулӣ ба паролҳо маҷбур кардани корбар ба истифодаи ҳарфҳои калон, хурд, рақамҳо ва дигар рамзҳо буд. Ин қоидаҳои асосии мураккабии парол дар тӯли даҳ соли охир ба таври васеъ таблиғ карда шуданд. Дар бораи он ки ин тачрибаи хуб аст ё не, бисьёр мухокима карда шуд. Далели асосӣ алайҳи муқаррар кардани чунин шароити мураккаб ин буд, ки корбарон паролҳоро дар пораҳои коғаз менависанд ва беэҳтиётона нигоҳ медоранд.

Сиёсати дигаре, ки ба наздикӣ мавриди шубҳа қарор гирифт, корбаронро маҷбур мекунад, ки паролҳои худро ҳар x рӯз иваз кунанд. Баъзе тадқиқотҳо нишон доданд, ки ин ба бехатарӣ низ зараровар аст.

Дар мавзуи ин мубохисахо маколахои зиёде навишта шудаанд, ки ин ё он нуктаи назарро асоснок мекунанд. Аммо ин чизе нест, ки мо дар ин мақола муҳокима хоҳем кард. Ин мақола дар бораи дуруст танзим кардани мураккабии парол на аз идоракунии сиёсати амният сӯҳбат хоҳад кард.

Танзимоти сиёсати парол

Дар зер шумо имконоти сиёсати парол ва тавсифи мухтасари ҳар якро хоҳед дид. Аксари онҳо ба параметрҳои модул монанданд cracklib. Ин равиш интиқоли сиёсатҳои худро аз системаи кӯҳна осонтар мекунад.

  • дифок - Шумораи аломатҳо дар пароли нави шумо, ки набояд дар пароли пешинаи шумо мавҷуд бошанд. (Пешфарз 5)
  • минлен - Дарозии ҳадди ақали парол. (Пешфарз 9)
  • кредит – Шумораи максималии кредитҳо барои истифодаи ҳарфҳои калон (агар параметр > 0) ё ҳадди ақали зарурии ҳарфҳои калон (агар параметр < 0). Пешфарз 1 аст.
  • кредит — Шумораи максималии кредитҳо барои истифодаи ҳарфҳои хурд (агар параметр > 0 бошад) ё ҳадди ақали зарурии ҳарфҳои хурд (агар параметр < 0). Пешфарз 1 аст.
  • кредит — Шумораи максималии кредитҳо барои истифодаи рақамҳо (агар параметр > 0) ё шумораи ҳадди ақали зарурии рақамҳо (агар параметр < 0 бошад). Пешфарз 1 аст.
  • аккредитатсия — Шумораи максималии кредитҳо барои истифодаи рамзҳои дигар (агар параметр > 0) ё шумораи ҳадди ақали зарурии рамзҳои дигар (агар параметр < 0 бошад). Пешфарз 1 аст.
  • минсинф – Шумораи дарсҳои заруриро муқаррар мекунад. Синфҳо параметрҳои дар боло зикршударо дар бар мегиранд (ҳарфи калон, ҳарфҳои хурд, рақамҳо, аломатҳои дигар). Пешфарз 0 аст.
  • максимум такрор – Миқдори максималии маротиба такрор шудани аломат дар парол. Пешфарз 0 аст.
  • maxclassrepeat — Шумораи максималии аломатҳои пайдарпай дар як синф. Пешфарз 0 аст.
  • гекочек – Месанҷад, ки оё парол ягон калима аз сатри GECOS-и корбарро дар бар мегирад. (Маълумоти корбар, яъне номи ҳақиқӣ, макон ва ғ.) Пешфарз 0 аст (хомӯш).
  • дикта – Биёед ба луғатҳои cracklib равем.
  • суханони бад – Калимаҳои аз фосила ҷудошуда, ки дар паролҳо манъ шудаанд (Номи ширкат, калимаи “парол” ва ғ.).

Агар мафҳуми қарз аҷиб садо диҳад, хуб аст, ин муқаррарӣ аст. Мо дар ин бора дар бахшҳои минбаъда бештар сӯҳбат хоҳем кард.

Конфигуратсияи сиёсати парол

Пеш аз оғози таҳрири файлҳои конфигуратсия, ин як таҷрибаи хубест, ки сиёсати асосии паролро пешакӣ нависед. Масалан, мо қоидаҳои зерини душвориро истифода мебарем:

  • Парол бояд ҳадди аққал 15 аломат дошта бошад.
  • Дар парол як аломат набояд бештар аз ду маротиба такрор шавад.
  • Синфҳои аломатҳоро дар як парол то чор маротиба такрор кардан мумкин аст.
  • Парол бояд аломатҳои ҳар як синфро дар бар гирад.
  • Пароли нав бояд дар муқоиса бо гузарвожаи кӯҳна 5 аломати нав дошта бошад.
  • Санҷиши GECOS-ро фаъол созед.
  • Калимаҳои "парол, гузариш, калима, путориус" -ро манъ кунед

Акнун, ки мо сиёсатро муқаррар кардем, мо метавонем файлро таҳрир кунем /etc/security/pwquality.confзиёд кардани талаботи мураккабии парол. Дар зер як файли намунавӣ бо шарҳҳо барои беҳтар фаҳмидани он оварда шудааст. 

# Make sure 5 characters in new password are new compared to old password
difok = 5
# Set the minimum length acceptable for new passwords
minlen = 15
# Require at least 2 digits
dcredit = -2
# Require at least 2 upper case letters
ucredit = -2
# Require at least 2 lower case letters
lcredit = -2
# Require at least 2 special characters (non-alphanumeric)
ocredit = -2
# Require a character from every class (upper, lower, digit, other)
minclass = 4
# Only allow each character to be repeated twice, avoid things like LLL
maxrepeat = 2
# Only allow a class to be repeated 4 times
maxclassrepeat = 4
# Check user information (Real name, etc) to ensure it is not used in password
gecoscheck = 1
# Leave default dictionary path
dictpath =
# Forbid the following words in passwords
badwords = password pass word putorius

Тавре ки шумо пайхас кардаед, баъзе параметрҳо дар файли мо зиёдатӣ мебошанд. Масалан, параметр minclass зиёдатӣ аст, зеро мо аллакай ҳадди аққал ду аломатро аз синф бо истифода аз майдонҳо истифода мебарем [u,l,d,o]credit. Рӯйхати калимаҳои истифоданашавандаи мо низ зиёдатист, зеро мо такрори ягон синфро 4 маротиба манъ кардем (ҳамаи калимаҳо дар рӯйхати мо бо ҳарфҳои хурд навишта шудаанд). Ман ин интихобҳоро танҳо барои нишон додани он ки чӣ тавр истифода бурдани онҳо барои танзими сиёсати пароли шумо дохил кардам.
Пас аз он ки шумо сиёсати худро эҷод кардед, шумо метавонед корбаронро маҷбур кунед, ки ҳангоми ворид шудан ба воридшавӣ паролҳои худро иваз кунанд. система.

Чизи дигари аҷибе, ки шумо шояд пай бурдед, ин аст, ки киштзорҳо [u,l,d,o]credit рақами манфӣ дорад. Сабаб дар он аст, ки рақамҳои калонтар аз 0 ё баробар барои истифодаи аломат дар пароли шумо эътибор медиҳанд. Агар майдон рақами манфӣ дошта бошад, ин маънои онро дорад, ки миқдори муайян лозим аст.

Қарзҳо чист?

Ман онҳоро қарз меномам, зеро ин ҳадафи онҳоро то ҳадди имкон дақиқ нишон медиҳад. Агар арзиши параметр аз 0 зиёд бошад, шумо ба дарозии парол як қатор "қарзҳои аломат" -и баробар ба "x" -ро илова мекунед. Масалан, агар ҳамаи параметрҳо (u,l,d,o)credit ба 1 гузошта шуда, дарозии пароли лозимӣ 6 буд, пас барои қонеъ кардани талаботи дарозӣ ба шумо 6 аломат лозим мешавад, зеро ҳар як ҳарфи калон, хурд, рақам ё аломати дигар ба шумо як кредит медиҳад.

Агар шумо насб кунед dcredit дар 2, шумо метавонед аз ҷиҳати назариявӣ паролро истифода баред, ки дарозии 9 аломат дорад ва барои рақамҳо кредити 2 аломат ба даст оред ва он гоҳ дарозии парол аллакай 10 буда метавонад.

Ба ин мисол нигаред. Ман дарозии паролро ба 13 муқаррар кардам, dcredit -ро ба 2 ва ҳама чизи дигарро ба 0 муқаррар кардам.

$ pwscore
 Thisistwelve
 Password quality check failed:
  The password is shorter than 13 characters

$ pwscore
 Th1sistwelve
 18

Санҷиши аввалини ман ноком шуд, зеро гузарвожа камтар аз 13 аломат буд. Дафъаи дигар ҳарфи “I”-ро ба рақами “1” иваз кардам ва барои рақамҳо ду кредит гирифтам, ки паролро ба 13 баробар мекард.

Санҷиши парол

Бастаи libpwquality функсияҳои дар мақола тавсифшударо таъмин мекунад. Он инчунин бо як барнома меояд pwscore, ки барои тафтиши мураккабии парол пешбинӣ шудааст. Мо онро дар боло барои тафтиши қарзҳо истифода мебарем.
Коммуналӣ pwscore мехонад аз стдин. Танҳо утилитаро иҷро кунед ва пароли худро нависед, он хатогӣ ё арзиши аз 0 то 100-ро нишон медиҳад.

Холи сифати парол ба параметр вобаста аст minlen дар файли конфигуратсия. Умуман, холҳои камтар аз 50 "пароли муқаррарӣ" ва холе, ки аз он боло бошад, "пароли қавӣ" ҳисобида мешавад. Ҳама гуна парол, ки аз санҷиши сифат мегузарад (хусусан санҷиши маҷбурӣ cracklib) бояд ба ҳамлаҳои луғат тоб оварад ва парол бо холҳои болотар аз 50 бо танзимот minlen ҳатто бо нобаёнӣ brute force ҳамлаҳо.

хулоса

танзим pwquality - он дар муқоиса бо нороҳатии истифода осон ва содда аст cracklib бо таҳрири бевоситаи файл pam. Дар ин дастур, мо ҳама чизеро, ки ба шумо ҳангоми муқаррар кардани сиёсати парол дар Red Hat 7, CentOS 7 ва ҳатто системаҳои Ubuntu лозим аст, фаро гирифтем. Мо инчунин дар бораи мафҳуми қарзҳо сӯҳбат кардем, ки дар бораи он хеле кам навишта мешавад, аз ин рӯ, ин мавзӯъ аксар вақт барои онҳое, ки қаблан бо он дучор нашуда буданд, норавшан мемонд.

Манбаъҳо:

саҳифаи man pwquality
саҳифаи man pam_pwquality
саҳифаи man pwscore

Пайвандҳои муфид:

Интихоби паролҳои бехатар - Брюс Шнайер
Лорри Файт Кранор омӯзиши паролашро дар CMU муҳокима мекунад
Мультфильми зиштии xkcd дар бораи Энтропия

Манбаъ: will.com

Илова Эзоҳ