Když spravujeme zařízení a uživatele, bezpochyby je jednou z konfigurací, které musíme vzít v úvahu, ta, která souvisí s bezpečností, a která zahrnuje faktory jako:
- Ochrana dat
- Bezpečný přístup
- Komplexní zásady pro hesla
- Autorizujte mimo jiné odpovědné uživatele
Jedním z problémů, které jsou dnes citlivější a které mnoho lidí nebere v úvahu, je ten, který souvisí s hesly, protože mnoho implementuje hesla, která lze velmi snadno dešifrovat a tímto způsobem mohou uživatelé se špatnými úmysly přistupovat k systému a provádět změny, které nejsou autorizovány .
Při této příležitosti uvidíme jak můžeme přimět uživatele k vytváření silných hesel a robustní v systému a tímto způsobem výrazně zvyšuje zabezpečení systému pomocí Nástroj PAM.
Co je PAMPAM - Pluggable Authentication Mode je v zásadě centralizovaný ověřovací mechanismus pro různé uživatele v prostředí Linuxu.
Pomocí PAM můžeme implementovat následující vylepšení na úrovni hesla:
- Vynutit, aby heslo obsahovalo určitý počet malých písmen.
- Vynutit, aby heslo obsahovalo určitý počet velkých písmen.
- Vynutit, aby heslo zahrnovalo zadaný počet číslic.
- Povolte, aby heslo obsahovalo určité speciální znaky.
- Před zobrazením zprávy o minimální povolené délce povolte zadaný počet neúspěšných pokusů atd.
1. Instalace PAM na Linux
Pro tuto analýzu použijeme PAM v prostředí Ubuntu 16.04. Příkaz, který musíme zadat pro instalaci PAM, je následující:
sudo apt-get install libpam-cracklibPoznámkaV některých případech je PAM již ve výchozím nastavení nainstalován a uvidíme zprávu spojenou se skutečností, že balíček linbpam nelze najít, jinak pokračujeme ve stahování a příslušné instalaci.
2. Konfigurace balíčku Libpam
Jakmile nainstalujeme nebo ověříme, že PAM již na našem počítači s Linuxem v následující cestě existuje, uvidíme všechny soubory spojené s PAM:
atd. / pam.dNásledující příkaz můžeme použít k zobrazení možností, které jsou v rámci této cesty.
cd /etc/pam.d a později použijte ls k zobrazení obsahu.
Soubory, které musíme nakonfigurovat, se nacházejí v cestě:
/etc/pam.d/common-passwordA proto před provedením jakékoli úpravy zkopírujeme uvedený soubor pomocí následujícího:
sudo cp /etc/pam.d/common-password /root /Nakonec budou zkopírovány a my přistoupíme k jejich úpravám.
3. Úprava souboru se společným heslem
Můžeme použít editor, který chceme (vi nebo nano) upravit soubor se společným heslemK tomu můžeme zadat následující:
sudo nano /etc/pam.d/common-passwordUvidíme následující okno:
Jakmile se zobrazí toto okno, vyhledáme následující řádek:
heslo požadované pam_cracklib.so opakovat = 3 min = 8 difok = 3K vytvoření silného a bezpečného hesla můžeme použít následující kritéria:
úvěrTouto volbou definujeme počet malých písmen, která musí být zahrnuta
minlenTato volba nám umožňuje definovat minimální velikost hesla
dcreditPomocí této alternativy definujeme počet číslic, které se mají přidat
ucreditTato možnost nám umožňuje definovat počet velkých písmen, která se mají přidat
kreditUmožňuje nám definovat počet čísel, která se mají přidat
difokPomocí této alternativy můžeme definovat počet speciálních znaků, které bude mít heslo
Pro konfiguraci těchto parametrů musíme tyto hodnoty přidat ručně pod řádek:
heslo požadované pam_cracklib.so opakovat = 3 min = 8 difok = 3Můžeme například nastavit následující hodnoty:
heslo požadované pam_cracklib.so try_first_pass retry = 3 minlength = 10lcredit = -2 ucredit = -1 dcredit = -1 ocredit = -1 difok = 3
Tímto způsobem konfigurujeme následující:
- Minimální velikost hesla 10 znaků
- Minimálně jedno malé písmeno
- Minimálně jedno velké písmeno
- V rámci hesla musí být jedna číslice
- Heslo musí obsahovat číslo
- Musí být přítomny alespoň 3 speciální znaky
Změny uložíme pomocí kombinace kláves Ctrl + NEBO a ukončíme editor pomocí kláves Ctrl + X.
4. Ověření používání PAM v Ubuntu
Jakmile nakonfigurujeme příslušné parametry, provedeme ověření změny hesla zadáním příkazu passwd. Pokud se pokusíme zadat heslo, které neodpovídá délce ani žádnému z uvedených parametrů, zobrazí se následující:
Pokud přidáme různé znaky a pokusíme se provést změnu více než třikrát (zjistili jsme, že maximální počet pokusů jsou 3), uvidíme následující:
5. Parametry PAM, které je třeba zvážit
PAM nabízí různé funkční moduly, které nám pomáhají zlepšit zásady zabezpečení na úrovni hesla, a to jsou tyto:
Funkce účtuTyto moduly mají na starosti definování, zda účet, ke kterému se přistupuje, má oprávnění pro všechny prostředky zařízení a systému.
Autentizační funkceTento modul je zodpovědný za ověřování přihlašovacích údajů uživatele.
Funkce relaceTyto moduly jsou zodpovědné za stabilizaci prostředí pro přihlášení a odhlášení uživatele.
Funkce heslaTento modul má na starosti aktualizaci všech parametrů hesla.
Viděli jsme jak PAM nám pomáhá zlepšit úroveň zabezpečení našeho zařízení kterým se stanoví různé podmínky k jejich zřízení.