Установите политику надежных паролей в Ubuntu/Debian Linux |
Как я могу установить политику безопасных или сложных паролей в системе Ubuntu/Debian Linux? По умолчанию Linux не является безопасным, и для установки нового сервера требуются дополнительные настройки, чтобы обеспечить его защиту от злоумышленников. Если пользователи устанавливают слабые пароли для своих учетных записей, хакерам становится легко подобрать и скомпрометировать учетные записи.
При создании локального пользователя в Linux вы можете дать ему любой пароль, и он примет — даже самый слабый, например «пароль». Этот параметр по умолчанию представляет угрозу безопасности вашей производственной среды, если пользователям разрешено сбрасывать свой пароль.
В этом сообщении блога мы покажем вам, как можно обеспечить использование надежных паролей пользователей в Linux. Это будет работать как для создания нового пользователя, так и для сброса пароля.
Применение политики безопасных паролей в Debian/Ubuntu
Заставьте пользователей менять пароль каждые 30 дней или реже.
$ sudo vim /etc/login.defs
...
PASS_MAX_DAYS 30
Мы будем использовать модуль PAM pwquality/pam_pwquality, чтобы установить требования к качеству паролей по умолчанию для системных паролей.
Установите пакет libpam-pwquality в вашей системе Ubuntu/Debian.
sudo apt update
sudo apt -y install libpam-pwquality cracklib-runtime
После установки пакета вам нужно будет отредактировать файл /etc/pam.d/common-password
, чтобы установить требования к паролю.
sudo vim /etc/pam.d/common-password
Измените строку 25
с:
password requisite pam_pwquality.so retry=3
К
password requisite pam_pwquality.so retry=3 minlen=8 maxrepeat=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 difok=3 gecoscheck=1 reject_username enforce_for_root
Использованные варианты.
- retry=3: предложите пользователю 3 раза, прежде чем вернуться с ошибкой.
- minlen=8:
длина пароля
не может быть меньше этого параметра. - maxrepeat=3: разрешено максимум
3 повторяющихся
символов. - ucredit=-1 : требуется хотя бы один символ
прописной
. - lcredit=-1: должен содержать хотя бы один символ
строчной
. - dcredit=-1: должен содержать хотя бы
одну цифру
. - difok=3 : количество символов в новом пароле, которых не должно быть в старом пароле.
- gecoscheck=1: слова в поле GECOS записи пароля пользователя не содержатся в новом пароле.
- reject_username: отклоняет пароль, если он содержит имя пользователя в прямой или обратной форме.
- enforce_for_root: применить политику паролей для пользователя root.
Измените настройки в соответствии с желаемой политикой паролей, а затем перезагрузите систему.
sudo reboot
Затем вы можете добавить тестовую учетную запись пользователя, чтобы убедиться, что ваша политика паролей работает.
sudo useradd test
Попробуйте установить слабый пароль.
sudo passwd test
Рекомендуемые книги:
- Лучшие книги по Linux для начинающих и экспертов
- Лучшие книги по программированию ядра Linux
Также проверьте:
- Установите Metasploit Framework в Ubuntu/Debian
- Как установить сканер Nessus в Ubuntu/Debian
- Как выполнить сбор информации в Linux с помощью Digger
- Как установить OSSEC HIDS в Ubuntu/Debian
- Настройка VPN-сервера IPSec с L2TP и Cisco IPsec в Ubuntu/CentOS/Debian