По умолчанию Linux не защищен, и для установки нового сервера требуется больше конфигураций, чтобы обеспечить его защиту и защиту от злоумышленников.
Если пользователи устанавливают слабые пароли для своих учетных записей, хакерам становится легко взломать и скомпрометировать учетные записи.
При создании локального пользователя в Linux вы можете дать ему любой пароль, и он примет, даже самый слабый, например, «password».
Этот параметр по умолчанию представляет угрозу безопасности для вашей производственной среды, если пользователям разрешено сбрасывать свой пароль.
В этом руководстве мы покажем вам, как вы можете принудительно использовать надежные пароли пользователей в Linux.
Это будет работать как для создания нового пользователя, так и для сброса пароля.
Применение политики безопасного пароля в Debian / Ubuntu
Заставьте пользователей менять пароль каждые 30 дней или меньше
$ sudo /etc/login.defs ... PASS_MAX_DAYS 30
Мы будем использовать модуль PAM pwquality / pam_pwquality, чтобы установить требования к качеству паролей по умолчанию для системных паролей.
Установите пакет libpam-pwquality в вашей системе Ubuntu / Debian.
sudo apt-get -y install libpam-pwquality cracklib-runtime
После установки пакета вам необходимо отредактировать файл /etc/pam.d/common-password, чтобы установить требования к паролю.
sudo vim /etc/pam.d/common-password
Измените строку 25 с:
password requisite pam_pwquality.so retry=3
на:
password requisite pam_pwquality.so retry=3 minlen=8 maxrepeat=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 difok=3 gecoscheck=1
- retry = 3: запросить пользователя 3 раза ввести пароль, прежде чем вернуть ошибку.
- minlen = 8: длина пароля не может быть меньше, чем этот параметр
- maxrepeat = 3: разрешить максимум 3 повторяющихся символа
- ucredit = -1: требуется хотя бы один заглавный символ
- lcredit = -1: должен иметь хотя бы один символ нижнего регистра.
- dcredit = -1: должен иметь хотя бы одну цифру
- difok = 3: количество символов в новом пароле, которое не должно присутствовать в старом пароле.
- gecoscheck = 1: слова в поле GECOS пользовательской записи passwd не содержатся в новом пароле.
Измените настройки в соответствии с желаемой политикой паролей, затем перезагрузите систему.
sudo reboot
Затем вы можете добавить тестовую учетную запись пользователя, чтобы подтвердить, что ваша политика паролей работает.
sudo useradd test
Попробуйте установить слабый пароль.
sudo passwd test