Jakkoli je Linux považován za bezpečný operační systém, jeho zabezpečení je stejně dobré jako síla hesla přihlášených uživatelů. Zásady hesel slouží k zajištění toho, aby bylo uživatelům nastaveno silné heslo, a jako uživatel Linuxu byste měli dbát na vynucování těchto zásad, abyste znesnadnili výskyt porušení. Určitě nechcete, aby uživatelé konfigurovali slabá nebo uhodnutelná hesla, která mohou být hackery vynucena během několika sekund.
V tomto článku se dotkneme toho, jak vynutit zásady hesel v Linuxu, konkrétněji CentOS a Ubuntu. Budeme se zabývat prosazováním zásad hesel, jako je doba platnosti hesla, složitost hesla a délka hesla.
Prosazování zásad hesel v Ubuntu / Debian
Existují 2 hlavní způsoby, jak můžete vynutit zásady hesel. Pojďme se na každý podívat podrobně.
1) Nakonfigurujte maximální počet dní, po které lze heslo používat
Pro začátek můžete nakonfigurovat zásadu hesel, která vyžaduje, aby uživatelé po určitém počtu dní svá hesla změnili. Osvědčený postup diktuje, že heslo by se mělo pravidelně měnit, aby se uživatelé se zlými úmysly nedostali do kontaktu a znesnadnili jim narušení vašeho systému. To platí nejen v Linuxu, ale i v jiných systémech, jako jsou Windows a macOS.
Abyste toho dosáhli V Debian/Ubuntu, musíte upravit soubor /etc/login.defs a dávat pozor na PASS_MAX_DAYS atribut.
Ve výchozím nastavení je toto nastaveno na 99 999 dní, jak je uvedeno.
Můžete to upravit na přiměřenou dobu, řekněme 30 dní. Jednoduše nastavte aktuální hodnotu na 30 podle obrázku a uložte změny. Po uplynutí 30 dnů budete nuceni vytvořit další heslo.
2) Nakonfigurujte složitost hesla pomocí pam
Zajištění, že heslo splňuje určitý stupeň složitosti, je stejně důležité a dále maří jakékoli pokusy hackerů proniknout do vašeho systému za použití hrubé síly.
Obecně platí, že silné heslo by mělo obsahovat kombinaci velkých, malých písmen, čísel a speciálních znaků a mělo by být dlouhé alespoň 12–15 znaků.
Chcete-li v systémech Debian / Ubuntu prosadit složitost hesel, musíte nainstalovat balíček libpam-pwquality, jak je uvedeno:
$ sudo apt install libpam-pwquality
Po instalaci přejděte do souboru /etc/pam.d/common-password, kde se chystáte nastavit zásady hesel. Ve výchozím nastavení se soubor zobrazí takto:
Najděte řádek zobrazený níže
password requisite pam_pwquality.so retry=3
Přidejte na řádek následující atributy:
minlen=12 maxrepeat=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 difok=4 reject_username enforce_for_root
Celý řádek by měl vypadat takto:
Pojďme si vysvětlit, co tyto směrnice znamenají:
- opakovat=3:Tato možnost zobrazí výzvu uživateli třikrát, než skončí a vrátí chybu.
- minlen=12:Toto určuje, že heslo nesmí mít méně než 12 znaků.
- maxrepeat=3:To umožňuje, že heslo může obsahovat maximálně 3 opakující se znaky.
- ucredit=-1:Tato možnost vyžaduje v hesle alespoň jedno velké písmeno.
- lcredit=-1:Tato možnost vyžaduje v hesle alespoň jedno malé písmeno.
- dcredit=-1:To znamená, že heslo by mělo obsahovat alespoň číselný znak.
- ocredit=-1:Tato možnost vyžaduje alespoň jeden speciální znak obsažený v hesle.
- difok=3:To znamená, že ve starém hesle by měly být přítomny pouze změny maximálně 3 znaků v novém hesle.
- reject_username:Tato možnost odmítne heslo, pokud se skládá z uživatelského jména buď normálním způsobem, nebo naopak.
- enforce_for_root:Tím je zajištěno, že zásady pro hesla budou dodržovány, i když hesla konfiguruje uživatel root.
Prosazování zásad hesel v CentOS / RHEL
U systémů Debian a Ubuntu jsme prosadili zásady hesel provedením změn v /etc/pam.d/common-password konfigurační soubor.
Pro CentOS 7 a další deriváty se chystáme upravit soubor /etc/pam.d/system-auth nebo /etc/security/pwquality.conf konfigurační soubor.
Takže pokračujte a otevřete soubor:
$ sudo vim /etc/pam.d/system-auth
Najděte řádek zobrazený níže
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
Přidejte možnosti do řádku, jak je znázorněno.
minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
Nakonec budete mít řádek níže:
Po dokončení uložte zásady hesel a ukončete soubor.
Ještě jednou, když se pokusíte vytvořit uživatele se slabým heslem, které nedodržuje vynucené zásady, narazíte na chybu zobrazenou v terminálu.
Závěr
Jak jste viděli, vynucení zásad hesel je docela snadné a slouží jako skvělý způsob, jak zabránit uživatelům v nastavení slabých hesel, která lze snadno uhodnout nebo která jsou náchylná k útokům hrubou silou. Prosazováním těchto zásad si můžete být jisti, že jste posílili zabezpečení svého systému a znesnadnili hackerům kompromitaci vašeho systému.