Security — Парольная политика в Linux

Организация парольной политики

Организация парольной политики напрямую зависит от текущей принятой политики по обеспечению безопасности паролей в организации, системный администратор настраивая политику паролей должен следовать установленным стандартам.
Основными моментами в организации парольной политики являются

1) длина пароля
2) сложность
3) срок действия

А также:

Отброс слишком коротких паролей;
Запрещение пароля, совпадающего или очень похожего на предыдущий;
Запрещение пароля, отличающегося от предыдущего только регистром символов (UnixOid, UnIxOiD);
Запрещение «паролей-перевертышей» (старый пароль: unixoid, новый: dioxinu);
Принуждение пользователя включать в пароль символы верхнего регистра, числа и другие знаки.
Количество попыток смены пароля пользователем

Командой для установки пароля пользователя служит passwd.

листинг passwd

1 2 3

<root># passwd sirin Смена пароля для пользователя sirin. Новый пароль :</root>

Запущенная команда от имени root для задания пароля пользователя выглядит как в листинге
passwd , в котором root меняет пароль для пользователя sirin.
Для смены пароля самим пользователем используется passwd от имени пользователя.

листинг смены пароля пользователем

1 2 3 4

<sirin>$ passwd Смена пароля для пользователя sirin. Смена пароля для sirin. (текущий) пароль UNIX:</sirin>

В данном примере показывается что задается смена пароля пользователем, которая требует
ввода текущего пароля пользователя, и ввода нового пароля.
Следует отметить что root может задать любой пароль пользователю.

Установка времени действия пароля через команду passwd

Для установки срока действия пароля используются ключи команды passwd

листинг

1	passwd -x 90 -w 3 -i 1 username

Ключи команды passwd обозначают следующее, и доступны только от имени root.

x - количество дней жизни пароля
w - предупреждение пользователя за количество дней
i - количество дней через которое пароль будет блокирована по истечении срока.

Команда приведенная в листинге ограничивает срок действия пароля 3 месяцами с выдачей
предупреждения за 3 дня до окончания срока действия пароля.
По истечения срока действия пароля пользователю будет предложено сменить пароль.

Установка времени действия пароля через настройку login.defs

Срок действия пароля можно установить в /etc/login.defs
Параметр PASS_MAX_DAYS равный 90 установит срок действия пароля на 90 дней,
параметр PASS_MIN_DAYS должен быть 0.
Для блокирования пароля на 30 минут после 6 неудачных попыток в /etc/login.defs следует
установить LOGIN_RETRIES равный 6, и LOGIN_TIMEOUT равный 1800. Значение LOGIN_TIMEOUT устанавливается в секундах.

листинг

1 2 3 4

PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 LOGIN_RETRIES 6 LOGIN_TIMEOUT 1800

Для более детальной информации следует посматреть страницы справки к команде passwd,
использовав команду man passwd.

Установка запрета на смену пароля пользователем

Также можно запретить менять пароль пользователю, это актуально в том случае если пароли
пользователю задаются непосредственно администратом системы. Сделать это можно
выполнив chmod 700 из под пользователя root на исполняемый файл passwd.

листинг

chmod 700 /usr/bin/passwd


Это действие приведет к тому что никто кроме пользователя root не сможет установить или
сменить пароль. Использовать данный подход имеет смысл если в системе не более двух или
трех пользователей.

Блокирование пароля

Можно заблокировать пароль пользователя из под root

passwd -l username блокировка пароля пользователя
passwd -u username разблокирование пароля пользователя

Также можно запретить вход пользователю изменив shell на /sbin/nologin, сделать это можно выполнив chsh от имени root

листинг команды chsh

1 2 3 4

<root># chsh sirin Изменение шелла для sirin. Новый шелл : /sbin/nologin Шелл изменён</root>

Настройка безопасности пароля

Безопасность пароля заключается в его сложность. В понятие сложность пароля входит используемое количество символов в пароле, наличие символов верхнего и нижнего регистра, специальных символов.

Учетные данные и пароли в большинстве *nix хранятся в таких файлах, как /etc/passwd, /etc/shadow, /etc/master.passwd. Эти файлы относятся лишь к стандартной аутентификации, которая легко может быть изменена.

Такие программы, как login, su, passwd, в современных системах сами не работают с паролями, а делают запрос к PAM, которая осуществляет всю процедуру аутентификации.
Таким образом для обеспечения безопасности и настройки пароля используется pam_cracklib из состава Linux-PAM. Linux-PAM используется почти всеми современными Linux.

Рассмотрим файл /etc/pam.d/system-auth-ac(может иметь другое имя, взависимости от дстрибутива) на который ссылается содержимое
/etc/pam.d/passwd

листинг файла /etc/pam.d/system-auth-ac

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=4 minlen=8 dcredit=-2 ucredit=-1 ocredit=-1 lcredit=0 password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session <success> pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so</success>

Изучим строку

password requisite pam_cracklib.so try_first_pass retry=4 minlen=8 dcredit=-2 ucredit=-1
ocredit=-1 lcredit=0

В которой параметр retry=4 это количество попыток для смены пароля, длина пароля должна составлять минимум 6 символов, из которых два должны быть числами, один - символом верхнего регистра и еще один — не алфавитным знаком (тире, например).

Описание параметров pam_cracklib.so

minlen - минимально допустимая длина пароля + 1. Кредит в один символ предоставляется для каждого различного класса символов (верхний регистр, нижний регистр, цифра и прочее). То есть при minlen=7 допускается пароль аР9_Х.
dcredit - максимальное разрешенное число использования цифр в пароле. Это помогает предотвращать использование паролей вроде 12345.
ucredit — максимальное разрешенное число использования символов верхнего регистра.
lcredit — максимальное разрешенное число использования символов нижнего регистра.
ocredit — максимальное разрешенное число использования прочих символов.

Также можно добавить параметр remember=4 для pam_unix.so в password sufficient, он определяет что каждый обновлённый пароль должен отличаться от 4-х предыдущих. Параметр try_first_pass указывает что идет проверка на использованный до этого пароль.

Может кому и пригодится.