Online video hd

Смотреть крупно видео

Официальный сайт travelspo 24/7/365

Смотреть видео бесплатно

immortalday 01.08.2010 19:39

SecurityПарольная политика в Linux

Организация парольной политики

Организация парольной политики напрямую зависит от текущей принятой политики по обеспечению безопасности паролей в организации, системный администратор настраивая политику паролей должен следовать установленным стандартам.
Основными моментами в организации парольной политики являются

1) длина пароля
2) сложность
3) срок действия

А также:

Отброс слишком коротких паролей;
Запрещение пароля, совпадающего или очень похожего на предыдущий;
Запрещение пароля, отличающегося от предыдущего только регистром символов (UnixOid, UnIxOiD);
Запрещение «паролей-перевертышей» (старый пароль: unixoid, новый: dioxinu);
Принуждение пользователя включать в пароль символы верхнего регистра, числа и другие знаки.
Количество попыток смены пароля пользователем

Командой для установки пароля пользователя служит passwd.

листинг passwd

1
2
3
<root># passwd sirin
Смена пароля для пользователя sirin.
Новый пароль :</root>



Запущенная команда от имени root для задания пароля пользователя выглядит как в листинге
passwd , в котором root меняет пароль для пользователя sirin.
Для смены пароля самим пользователем используется passwd от имени пользователя.

листинг смены пароля пользователем

1
2
3
4
<sirin>$ passwd
Смена пароля для пользователя sirin.
Смена пароля для sirin.
(текущий) пароль UNIX:</sirin>



В данном примере показывается что задается смена пароля пользователем, которая требует
ввода текущего пароля пользователя, и ввода нового пароля.
Следует отметить что root может задать любой пароль пользователю.

Установка времени действия пароля через команду passwd

Для установки срока действия пароля используются ключи команды passwd

листинг

1
passwd -x 90 -w 3 -i 1 username



Ключи команды passwd обозначают следующее, и доступны только от имени root.

x - количество дней жизни пароля
w - предупреждение пользователя за количество дней
i - количество дней через которое пароль будет блокирована по истечении срока.

Команда приведенная в листинге ограничивает срок действия пароля 3 месяцами с выдачей
предупреждения за 3 дня до окончания срока действия пароля.
По истечения срока действия пароля пользователю будет предложено сменить пароль.

Установка времени действия пароля через настройку login.defs


Срок действия пароля можно установить в /etc/login.defs
Параметр PASS_MAX_DAYS равный 90 установит срок действия пароля на 90 дней,
параметр PASS_MIN_DAYS должен быть 0.
Для блокирования пароля на 30 минут после 6 неудачных попыток в /etc/login.defs следует
установить LOGIN_RETRIES равный 6, и LOGIN_TIMEOUT равный 1800. Значение LOGIN_TIMEOUT устанавливается в секундах.

листинг

1
2
3
4
PASS_MAX_DAYS         90
PASS_MIN_DAYS 0
LOGIN_RETRIES 6
LOGIN_TIMEOUT 1800



Для более детальной информации следует посматреть страницы справки к команде passwd,
использовав команду man passwd.

Установка запрета на смену пароля пользователем

Также можно запретить менять пароль пользователю, это актуально в том случае если пароли
пользователю задаются непосредственно администратом системы. Сделать это можно
выполнив chmod 700 из под пользователя root на исполняемый файл passwd.

листинг

chmod 700 /usr/bin/passwd


Это действие приведет к тому что никто кроме пользователя root не сможет установить или
сменить пароль. Использовать данный подход имеет смысл если в системе не более двух или
трех пользователей.

Блокирование пароля

Можно заблокировать пароль пользователя из под root

passwd -l username блокировка пароля пользователя
passwd -u username разблокирование пароля пользователя

Также можно запретить вход пользователю изменив shell на /sbin/nologin, сделать это можно выполнив chsh от имени root

листинг команды chsh

1
2
3
4
<root># chsh sirin
Изменение шелла для sirin.
Новый шелл : /sbin/nologin
Шелл изменён</root>



Настройка безопасности пароля

Безопасность пароля заключается в его сложность. В понятие сложность пароля входит используемое количество символов в пароле, наличие символов верхнего и нижнего регистра, специальных символов.

Учетные данные и пароли в большинстве *nix хранятся в таких файлах, как /etc/passwd, /etc/shadow, /etc/master.passwd. Эти файлы относятся лишь к стандартной аутентификации, которая легко может быть изменена.

Такие программы, как login, su, passwd, в современных системах сами не работают с паролями, а делают запрос к PAM, которая осуществляет всю процедуру аутентификации.
Таким образом для обеспечения безопасности и настройки пароля используется pam_cracklib из состава Linux-PAM. Linux-PAM используется почти всеми современными Linux.

Рассмотрим файл /etc/pam.d/system-auth-ac(может иметь другое имя, взависимости от дстрибутива) на который ссылается содержимое
/etc/pam.d/passwd

листинг файла /etc/pam.d/system-auth-ac

 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
auth      required    pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=4 minlen=8 dcredit=-2 ucredit=-1
ocredit=-1 lcredit=0
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session <success> pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so</success>



Изучим строку

password requisite pam_cracklib.so try_first_pass retry=4 minlen=8 dcredit=-2 ucredit=-1
ocredit=-1 lcredit=0

В которой параметр retry=4 это количество попыток для смены пароля, длина пароля должна составлять минимум 6 символов, из которых два должны быть числами, один - символом верхнего регистра и еще один — не алфавитным знаком (тире, например).

Описание параметров pam_cracklib.so

minlen - минимально допустимая длина пароля + 1. Кредит в один символ предоставляется для каждого различного класса символов (верхний регистр, нижний регистр, цифра и прочее). То есть при minlen=7 допускается пароль аР9_Х.
dcredit - максимальное разрешенное число использования цифр в пароле. Это помогает предотвращать использование паролей вроде 12345.
ucredit — максимальное разрешенное число использования символов верхнего регистра.
lcredit — максимальное разрешенное число использования символов нижнего регистра.
ocredit — максимальное разрешенное число использования прочих символов.

Также можно добавить параметр remember=4 для pam_unix.so в password sufficient, он определяет что каждый обновлённый пароль должен отличаться от 4-х предыдущих. Параметр try_first_pass указывает что идет проверка на использованный до этого пароль.

Может кому и пригодится.


Тэги: Linux password security
+ 10 -
Похожие Поделиться

cppmm 01.08.2010 19:50 #
+ 3 -
Хоть и пересказ стандартной политики руководства администратора linux, всё равно плюс. Такие вещи надо напоминать постоянно.
exelens 01.08.2010 20:30 #
+ 0 -
Перенёс из личного блога и добавил кат
sKwa 01.08.2010 20:50 #
+ 0 -
Учетные данные и пароли в большинстве *nix хранятся в таких файлах, как /etc/passwd, /etc/shadow, /etc/master.passwd.
Насколько я помню (где-то читал), что сами пороли вроде как нигде ни хранятся, а хранятся хеши паролей в файле /etc/shadow.
dfx 01.08.2010 20:54 #
+ -1 -
т.е. для тебя, в данном контексте,так принципиально, хранятся ли пароли в открытом виде или их хэши? сути-то это не меняет совершенно.
sKwa 01.08.2010 21:08 #
+ 0 -
Может и не меняет, но если бы они хранились в открытом виде, тогда легко было бы их посмотреть, через тот-же LiveCD, что является существенной дырой в безопасности. А так получается взлом только методом перебора пароля или подбор хеша.

PS:> Не стоит так остро реагировать, я лишь уточнил.
dfx 01.08.2010 21:27 #
+ 0 -
Речь тут о другом. и как они хранятся там - это уже отдельная тема. а хранить пароли в открытом виде - это вообще уже моветон полнейший, практически везде уже давно хранятся только хэши паролей.
exelens 01.08.2010 22:17 #
+ 0 -
практически везде уже давно хранятся только хэши паролей

Расскажи про это топиком, а?
dfx 01.08.2010 22:31 #
+ 0 -
Так а что тут рассказывать? про сами хэши или где они используются? %)
exelens 01.08.2010 22:32 #
+ 0 -
И то и то =) Напиши.
dfx 01.08.2010 22:33 #
+ 2 -
м... не сегодня уже. и завтра вряд ли - в ГАИ пойду, документы на получение прав подавать. Но напишу в ближайшее время, постараюсь.
digiwhite 01.08.2010 22:33 #
+ 2 -
Там и рассказывать то нечего. Есть необратимая хэш-функция. На ее входе нешифрованный пароль, на выходе - хэш-значение этого пароля. Функцией с большой долей вероятности гарантируется, что для разных входных данных их хэш-значения не будут одинаковы. Т.е. чтобы небыло такого, что взяли значения А и B и после применния к ним хэш-функции не получили на выходе хэш-значение С для А и B.

В общем, даже если у тебя украли базу с хэш-значениями паролей, то надо изрядно постараться, чтобы подобрать данные, которые бы на выходе выдавали значение, соответствующее твоим паролям.
exelens 01.08.2010 22:40 #
+ 0 -
Спасибо!
digiwhite 01.08.2010 22:41 #
+ 0 -
Ну правда в словах "высокой" математики я рассказать не смогу :). Не математик :)
dr_lo 03.08.2010 08:30 #
+ 0 -
это легко проверить:
sudo cat /etc/shadow
root:$1$0vd.fqxj$ad7aun127fxEh4ZZ1dQHH1:14726::::::

В хорошем качестве hd видео

Онлайн видео бесплатно


Смотреть русское с разговорами видео

Online video HD

Видео скачать на телефон

Русские фильмы бесплатно

Full HD video online

Смотреть видео онлайн

Смотреть HD видео бесплатно

School смотреть онлайн