Как применить политику надежных паролей пользователей в Ubuntu / Debian – Information Security Squad
Как применить политику надежных паролей пользователей в Ubuntu / Debian

По умолчанию Linux не защищен, и для установки нового сервера требуется больше конфигураций, чтобы обеспечить его защиту и защиту от злоумышленников.

Если пользователи устанавливают слабые пароли для своих учетных записей, хакерам становится легко взломать и скомпрометировать учетные записи.

При создании локального пользователя в Linux вы можете дать ему любой пароль, и он примет, даже самый слабый, например, «password».

Этот параметр по умолчанию представляет угрозу безопасности для вашей производственной среды, если пользователям разрешено сбрасывать свой пароль.

В этом руководстве мы покажем вам, как вы можете принудительно использовать надежные пароли пользователей в Linux.

Это будет работать как для создания нового пользователя, так и для сброса пароля.

Применение политики безопасного пароля в Debian / Ubuntu

Заставьте пользователей менять пароль каждые 30 дней или меньше

$ sudo /etc/login.defs
...
PASS_MAX_DAYS   30

Мы будем использовать модуль PAM pwquality / pam_pwquality, чтобы установить требования к качеству паролей по умолчанию для системных паролей.

Установите пакет libpam-pwquality в вашей системе Ubuntu / Debian.

sudo apt-get -y install libpam-pwquality cracklib-runtime

После установки пакета вам необходимо отредактировать файл /etc/pam.d/common-password, чтобы установить требования к паролю.

sudo vim /etc/pam.d/common-password

Измените строку 25 с:

password   requisite   pam_pwquality.so retry=3

на:

password    requisite      pam_pwquality.so retry=3 minlen=8 maxrepeat=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1  difok=3 gecoscheck=1
  • retry = 3: запросить пользователя 3 раза ввести пароль, прежде чем вернуть ошибку.
  • minlen = 8: длина пароля не может быть меньше, чем этот параметр
  • maxrepeat = 3: разрешить максимум 3 повторяющихся символа
  • ucredit = -1: требуется хотя бы один заглавный символ
  • lcredit = -1: должен иметь хотя бы один символ нижнего регистра.
  • dcredit = -1: должен иметь хотя бы одну цифру
  • difok = 3: количество символов в новом пароле, которое не должно присутствовать в старом пароле.
  • gecoscheck = 1: слова в поле GECOS пользовательской записи passwd не содержатся в новом пароле.

Измените настройки в соответствии с желаемой политикой паролей, затем перезагрузите систему.

sudo reboot

Затем вы можете добавить тестовую учетную запись пользователя, чтобы подтвердить, что ваша политика паролей работает.

sudo useradd  test

Попробуйте установить слабый пароль.

sudo passwd test

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *