25-09-05 09:25
Postrožite automatsku provjeru korisničkih zaporki
piše SAŠA DRNJEVIĆ
U današnje vrijeme svako dodatno osiguranje vašeg servera znači barem malo mirniji san. Poznato je da korisnici vrlo često bez obzira na upozorenja odabiru vrlo jednostavne, odnosno, slabe zaporke. Time zlonamjernicima koji znaju što rade znatno olakšavaju pogađanje zaporke koja im omogućava neovlašteni pristup na odabrani poslužitelj. Ova kuharica će vam pokazati kako korisnicima možemo dodatno otežati upotrebu slabih zaporki. Debian već dolazi s PAM (Password Authentication Module) modulima koji provjeravaju složenost zaporke pri njezinom unosu ili promjeni. No, iz bogate Debian arhive, dostupan nam je paket koji će osigurati još strože provjeravanje zaporki, a čak će ih uspoređivati i s riječima iz rječnika koji su instalirani na poslužitelju.
Slijede koraci:
1) osvježavanje liste verzija dostupnih paketa:
# apt-get update
2) instalacija rječnika (na žalost još nema hrvatskog u potrebnom formatu):
# apt-get install wenglish
Odaberite "American English" kao glavni rječnik.
Ako ih nije bilo na sustavu bit će instalirani i paketi: dictionaries-common, wamerican.
3) instalacija paketa (PAM modula) za strožu provjeru zaporki:
# apt-get install libpam-cracklib
Ako ih nije bilo na sustavu bit će instalirani i paketi: cracklib-runtime, cracklib2.
4) sljedećim promjenama počinjemo koristiti novi modul umjesto starog:
(NAPOMENA: promjene postaju aktivne odmah nakon spremanja zapisanog)
# cd /etc/pam.d
Unutar "/etc/pam.d" direktorija potrebno je unijeti promjene u datoteku "common-password" i to tako da se zakomentira linija u kojoj stoji (bez navodnika!):
"password required pam_unix.so nullok obscure min=4 max=8 md5"
Još samo treba otkomentirati sljedeće 2 linije (bez navodnika!):
# password required pam_cracklib.so retry=3 minlen=6 difok=3
# password required pam_unix.so use_authtok nullok md5
I na kraju prije spremanja promjena u linijama koje smo malo prije otkomentirali podesite vrijednost "minlen" opcije na 8 umjesto 6.
Pazite samo da negdje ne pogriješite jer se nećete moći prijaviti na sustav. Zato pažljivo usporedite svoju "common-password" datoteku s ovdje priloženom (bez početnih i završnih znakova -----------:
------------------------------------------------------------------------------
#
# /etc/pam.d/common-password - password-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
#used to change user passwords. The default is pam_unix
# The "nullok" option allows users to change an empty password, else
# empty passwords are treated as locked accounts.
#
# (Add `md5' after the module name to enable MD5 passwords)
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs. Also the "min" and "max" options enforce the length of the
# new password.
#password required pam_unix.so nullok obscure min=4 max=8 md5
# Alternate strength checking for password. Note that this
# requires the libpam-cracklib package to be installed.
# You will need to comment out the password line above and
# uncomment the next two in order to use this.
# (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
#
password required pam_cracklib.so retry=3 minlen=8 difok=3
password required pam_unix.so use_authtok nullok md5
--------------------------------------------------------------------------
I za kraj ćemo pojasniti što znače sljedeće vrijednosti:
-minlen=8 (minimalna duljina zaporke je 8 znakova)
-difok=3 (zahtijeva najmanje 3 različita znaka u odnosu na staru zaporku)
-retry=3 (dozvoljena 3 pokušaja)
|