Какое количество символов должен содержать пароль пользователя в astra linux

Обновлено: 07.07.2024

Astra Linux не плохая альтернатива от отечественных разработчиков. Если вам необходимо заменить Windows, на неё стоит обязательно обратить внимание. Сам пользовался, ставил в качестве рабочих станции. В обоих случаях показала себя не плохо. Поэтому решил написать несколько статей, небольших инструкций так сказать, по работе с данной ОС. Сегодня рассмотрим политику безопасности.

По умолчанию в Astra Linux полита настроена не достаточно строго. Например, пароль должен содержать не менее 8 символов, причем можно использовать только цифры. Также только после 8 неуспешных попыток ввода пароля учетная запись заблокируется. В наше время политика должна быть настроена намного строже.

Системный администратор помни безопасность превыше всего!

Как настроить политику учетных записей

Astra политика безопасности

Astra Linux блокировка учетных записей

Админ ни когда не используй простые пароли тиап Qwe123, Qaz123 и тому подобные.

Политика паролей Astra Linux

Пароли должны обновляться хотя бы один раз в месяц.

срок действия пароля Astra Linux

На следующей вкладке можно создать шаблоны устаревания.

Шаблоны Astra Linux

Вводим имя шаблона и заполняем остальные поля.

Astra Linux шаблон политик

Большинство системных администраторов не уделяют особое внимания политикам безопасности. Особенно это касается начинающих, которые делают всем одинаковые пароли Qwe123 без ограничения срока. Потом плачут, как так взломали пароль, зашифровали диск украли важную инфу и требуют выкуп.

Всего этого можно очень легко избежать если соблюдать минимальные требования безопасности, в 2020 году это очень актуальна. Так как очень много злоумышленников появилось. Которые без особого труда подберут пароль.

Системный администратор помни пароли должны быть сложными, желательно быть сгенерированными автоматически и меняться раз в месяц!

Установка Astra Linux 1.6 выполняется с диска в режиме графической установки в соответствии с руководством по установке, прилагаемом к дистрибутиву (см. "Операционная система специального назначения "ASTRA LINUX SPECIAL EDITION" РУСБ.10015-01. Версия 1.6 "Смоленск". Руководство по установке).

В процессе установки ОС необходимо учесть следующее:

1. В окне "Настройки учетных записей пользователей и паролей" рекомендуется создать фиктивного пользователя user с паролем useruser (ввод пароля осуществляется после нажатия на кнопку "Продолжить").


2. В окне "Выбор программного обеспечения" выберите все, кроме "Приложения для работы с сенсорным экраном" и "Средства Виртуализации":


3. После нажатия на кнопку "Продолжить" откроется окно выбора дополнительных функций - пропустите выбор ("Служба ALD" должна быть отключена).


4. Если в процессе дальнейшей работы будет использован статический IP-адрес (как бывает в большинстве случаев), то в окне "Дополнительные настройки ОС" включите настройку "Отключить автоматическую настройку сети".


5. В окне "Установка системного загрузчика GRUB на жесткий диск" требуется ввести пароль для GRUB, введите и запомните пароль - не менее 8 символов.


Установка пароля и прав для пользователя root

Установка пароля для пользователя root

В ходе установки Astra Linux 1.6 не определяется пароль для пользователя root. Зарегистрируйтесь в системе пользователем, созданным при установке (имя - user, пароль useruser), после чего выполните следующие команды:

Появится строка ввода пароля для root - введите пароль (пароль вводится вслепую, никаких символов не высвечивается). После ввода пароля и нажатия клавиши Enter появится строка повторного ввода пароля - повторите ввод пароля.

Восстановление прав пользователя root

Изначально в Astra Linux 1.6 пользователь root не имеет полный набор прав (например, он не может создавать каталоги в "/" или ставить пакеты). Для восстановления прав пользователя root выполните следующие действия:

  1. Зарегистрируйтесь пользователем, созданным при установке системы
  2. Нажмите Пуск -> Панель управления. Слева выберите раздел "Безопасность", а справа "Политика безопасности"
  3. В открывшемся окне "Управление политикой безопасности" выберите слева пункт "Мандатный контроль целостности" и снимите "галочку" с настройки "Подсистема Мандатного Контроля Целостности"



Создание и использование локального репозитория

1. Зарегистрируйтесь пользователем root.

2. Создайте каталог репозитория, например /.1/astra, выполнив команду:

3. В созданном каталоге репозитария создайте каталог conf, выполнив команду:

4. В conf создайте файл distributions.

Для создания файла выполните команду:

В открывшемся окне редактора введите следующее содержимое файла:

При копировании содержимого в файл обратите внимание, чтобы каждая строка не содержала в начале пробелов, - при необходимости, удалите их вручную. В конце файла обязательно должен быть перевод строки (проверьте наличие пустой строки в конце файла).

После ввода содержимого нажмите на клавишу F2 (файл будет сохранен), а затем F10 - для выхода из окна редактора.

Если по какой-либо причине указанная выше команда для создания файла не была выполнена, то воспользуйтесь командой vi, выполнив следующие действия:

4.2. Нажмите клавишу Insert для входа в режим редактирования.

4.3. Введите содержимое файла (приведено выше).

4.4. По окончании ввода текста (редактирования) нажмите клавишу Esc.

4.5. Для сохранения файла дважды нажмите Shift+z.

5. Вставьте первый диск дистрибутива и установите пакет reprepro, выполнив команды:

6. Инициализируйте репозиторий, выполнив команды:

7. Скопируйте пакеты в репозитарий, выполнив команду:

8. Проверьте, чтобы все терминалы и процессы, которые используют точку монтирования /mnt/cdrom, были завершены. Отмонтируйте диск, выполнив команду:

9. Вставьте второй диск дистрибутива и скопируйте пакеты, выполнив команды:

10. Отмонтируйте второй диск, выполнив команду:

11. Для подключения репозитария отредактируйте файл /etc/apt/sources.list, выполнив команду:

Откроется окно редактора, в котором будет выведено содержимое заданного файла. Удалите весь текст и вставьте следующую строку:

После ввода нажмите на клавишу F2 (файл будет сохранен), а затем F10 - для выхода из окна редактора.

Примечание. Если планируется использовать сетевой репозитарий, расположенный на ftp-сервере, то содержимое файла /etc/apt/sources.list должно выглядеть следующим образом:

где вместо servername нужно прописать имя ftp-сервера или его IP-адрес.

12. Выполните команду:

Установка обновлений

Установка обновлений выполняется пользователем root и включает выполнение следующих действий:

1. Создайте каталог, в который будут скачаны файлы обновлений, выполнив команду:

2. Скачайте обновления для Astra Linux 1.6 с официального источника:

Сохраните скачиваемые файлы в созданный каталог /.1/iso.

3. Создайте каталог репозитория, например /.1/astra-upd, выполнив команду:

4. В созданном каталоге создайте подкаталог conf, выполнив команду:

5. В conf создайте файл distributions. Для создания файла выполните команду:

В открывшемся окне редактора введите следующее содержимое файла:

При копировании содержимого в файл обратите внимание, чтобы каждая строка не содержала в начале пробелов, - при необходимости, удалите их вручную. В конце файла обязательно должен быть перевод строки (проверьте наличие пустой строки в конце файла).

После ввода содержимого нажмите на клавишу F2 (файл будет сохранен), а затем F10 - для выхода из окна редактора.

Если по какой-либо причине указанная выше команда для создания файла не была выполнена, то воспользуйтесь командой vi, выполнив следующие действия:

4.2. Нажмите клавишу Insert для входа в режим редактирования.

4.3. Введите содержимое файла (приведено выше).

4.4. По окончании ввода текста (редактирования) нажмите клавишу Esc.

4.5. Для сохранения файла дважды нажмите Shift+z.

6. Инициализируйте репозиторий, выполнив команду:

7. Cмонтируйте первый образ обновления и скопируйте пакеты, выполнив команды:

8. Отмонтируйте образ, выполнив команду:

9. Смонтируйте второй образ обновления и скопируйте пакеты, выполнив команды:

10. Отмонтируйте второй диск, выполнив команду:

11. Добавьте обновление в /etc/apt/sources.list. Для этого откройте этот файл на редактирование, выполнив команду:

12. Добавьте в файл строку следующего содержания:

После ввода нажмите на клавишу F2 (файл будет сохранен), а затем F10 - для выхода из окна редактора.

13. Выполните команды:

Настройка сетевых интерфейсов и их автостарт

Если при установке Astra Linux 1.6 была отключена автоматическая настройка сети (см. выше п. "Рекомендации по установке ОС с диска", шаг 4), то требуется сконфигурировать сетевые интерфейсы вручную. Для настройки сетевых интерфейсов выполните следующие действия:

1. Откройте на редактирование файл /etc/network/interfaces, воспользовавшись командой mkedit или iv (подробно см. выше п. "Создание и использование локального репозитория", шаг 4), и добавьте в его конец следующие строки:

где вместо <сетевой_адрес>, <маска_подсети>, <широковещательный_адрес> и <шлюз> следует прописать соответствующие параметры компьютера, на котором выполняется настройка (за значениями параметров следует обращаться к администратору комплекса).

Обратите внимание, данные строки, настраивающие поднятие интерфейса eth0, в тексте редактируемого файла должны быть написаны ниже имеющихся в файле строк:

В противном случае инициализация сети в момент загрузки будет занимать очень продолжительное время.

2. Если на комплексе имеется DNS-сервер, то откройте на редактирование файл /etc/resolv.conf, добавив в него следующие строки (если файл отсутствует - создайте его):

где вместо <имя_домена> нужно ввести адрес домена, <dns-суффиксы> - указать dns-суффиксы (их может быть несколько, пишутся через пробел), <IP-адрес_1>, <IP-адрес_2> . - ввести IP-адрес DNS-сервера (если серверов несколько, то каждый сервер указывается отдельной строкой). За значениями параметров следует обращаться к администратору комплекса.

3. Изменения вступят в силу после перезагрузки. Для этого выполните команду:

Настройка ssh

По-умолчанию, ssh-сервер выключен, а также блокирует попытки входа пользователем root. Для изменения настроек ssh-сервера, выполните следующие действия, зарегистрировавшись пользователем root:

1. Откройте файл /etc/ssh/sshd_config на редактирование, выполнив команду

Сохраните изменения, нажав F2, и закройте окно редактирования - F10.

Если команда mcedit не была выполнена, то воспользуйтесь командой iv (подробно см. выше п. "Создание и использование локального репозитория", шаг 4).

2. Запустите ssh-сервер и добавьте его в автозагрузку, выполнив команды:

Включение общепринятых alias'ов

По-умолчанию, у пользователей выключены общепринятые alias'ы, такие как ll. Для их активации рекомендуется отредактировать файл .bashrc, который находится в домашнем каталоге пользователя.

Для всех остальных пользователей отредактируйте файл /home/<имя_пользователя>/.bashrc, удалив символ комментария в следующих строках:

Настройка grub

Откройте на редактирование файл /boot/grub/grub.cfg, воспользовавшись командой mkedit или iv (подробно см. выше п. "Создание и использование локального репозитория", шаг 4).

Найдите строку, содержащую фразу /boot/vmlinuz-4.15.3-1-generic - именно это ядро грузится по-умолчанию. В конце этой строки уберите параметр quiet. Это позволит видеть процесс загрузки системы.

Что именно загружается по-умолчанию, определяется параметрами set default (19-я строка файла). Этот параметр указывает на уникальный идентификатор со строкой menuentry.

Так, например, параметр

указывает на строку

Освобождение GID 1001, UID 1000 и 1001 для штатных пользователей ЖС

Внимание! Выполняйте данный пункт только после отключения мандатного контроля целостности и восстановления пользователя root в правах (подробно см. выше п. "Установка пароля и прав для пользователя root").

В ходе установки Astra Linux 1.6 штатные GID/UID занимает безусловно-создаваемый пользователь. Для освобождения GID/UID выполните следующие действия пользователем root:

1. Откройте на редактирование файл /etc/passwd, воспользовавшись командой mkedit или iv (подробно см. выше п. "Создание и использование локального репозитория", шаг 4).

2. Откройте на редактирование файл /etc/group.

3. Восстановите права на домашний каталог пользователя user, выполнив команду:

4. Создайте группу afis, выполнив команду:

5. Создайте пользователя admin с обязательным использованием ключа -m, иначе домашняя директория пользователя создана не будет:

Назначьте созданному пользователю пароль, выполнив команду:

6. Создайте пользователя st с обязательным использованием ключа -m, выполнив команду:

Назначьте ему пароль, выполнив команду:

Установка системных пакетов

Перед установкой ПО "ЖС" и "Фильтр" нужно обязательно нужно установить следующие пакеты:

Favorite

Добавить в избранное (1 оценок, среднее: 5,00 из 5)

Как обеспечить качество пароля в Linux

О дним из самых простых способов повышения безопасности вашего сервера является обеспечение того, чтобы пароль каждого пользователя удовлетворял определенной минимальной длине. Есть, конечно, другие соображения, такие как сочетание маленьких и прописных букв, цифр и специальных символов. Но минимальная длина пароля является главным атрибутом. Каждый дополнительный символ в пароле увеличивает свою силу экспоненциально. В этой статье мы покажем вам, как обеспечить минимальную длину пароля для всех ваших пользователей в Linux.

Шаг 1. Убедитесь, что у вас есть разрешения администратора

Введите свой пароль root. Стоит отметить, что выполнение задач при входе в систему с правами root практически никогда не является хорошей идеей. Получите разрешения sudo и сделайте то, что вам нужно сделать!

Шаг 2: Проверка существующей минимальной длины

По умолчанию ваша текущая конфигурация пароля уже должна иметь минимальную длину. Для нашей установки это 8 символов. Вы можете проверить правильность любого пароля, используя следующую команду:

Нажмите «Enter» и введите пароль в следующую строку. Например:

Как обеспечить качество пароля в Linux

Шаг 3. Откройте файл pwquality.conf

Все ваши требования к паролю указаны в следующем файле:

Наряду с минимальной длиной, он позволяет назначать различную степень важности для характеристик вашего пароля. Мы рассмотрим их чуть позже. Пока просто откройте его с помощью текстового редактора:

Теперь давайте установим минимальную длину

Шаг 4: Установите минимальную длину пароля

В текстовом редакторе прокрутите список до следующей строки:

Как обеспечить качество пароля в Linux

Чтобы изменить минимальную длину, выполните следующие две задачи:

Поэтому, если вы хотите, чтобы минимальная длина составляла 10, измените minlen и другие, как показано ниже:

Как обеспечить качество пароля в Linux

Шаг 5: Проверьте изменения

Теперь, когда мы снова используем команду «pwscore», вводится новая длина пароля. Вот доказательство:

Как обеспечить качество пароля в Linux

Шаг 6 (необязательно): настройка других параметров пароля

На шаге 4 мы отключили «credits», который дает точки паролей для таких вещей, как цифры, заглавные буквы и символы, отличные от предыдущего пароля. По умолчанию для них было «1», что означает, что каждый раз, когда вы используете один из этих символов, оценка добавляется к длине.

Если мы опустим шаг 4, он позволяет пользователям обходить минимальную длину, используя сочетание символов и цифр. Так, например, «minlen» of 9 может быть преодолен предыдущим паролем:

Хотя он имеет только 8 символов, он содержит цифры и строчные буквы. Это увеличивает оценку до 10 и, таким образом, соответствует нашим требованиям к паролю.

Вы можете настроить параметр «minlen» на большее число и дать людям дополнительную сложность пароля. Вы можете установить различные кредиты на отрицательное число, чтобы заставить вводить определенное количество символов. Значение «dcredit» -3 означает, что пароль должен содержать не менее 3 цифр.

Файл «pwquality.conf» документирует все эти параметры, и вы можете создавать правила паролей, которые настолько сложны, насколько вам нравится! Но здесь мы показали вам, как начать работу с минимальной длины. Вы можете взять его оттуда!

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

И снова здравствуйте! Уже завтра начинаются занятия в новой группе курса «Администратор Linux», в связи с этим публикуем полезную статью по теме.


В прошлом туториале мы рассказывали, как использовать pam_cracklib , чтобы усложнить пароли в системах Red Hat 6 или CentOS. В Red Hat 7 pam_pwquality заменила cracklib в качестве pam модуля по умолчанию для проверки паролей. Модуль pam_pwquality также поддерживается в Ubuntu и CentOS, а также во многих других ОС. Этот модуль упрощает создание политик паролей, чтобы удостовериться, что пользователи принимают ваши стандарты сложности паролей.

Долгое время обычным подходом к паролям было заставить пользователя использовать в них символы верхнего и нижнего регистра, цифры или иные символы. Эти базовые правила сложности паролей активно пропагандируются в последние десять лет. Было множество дискуссий о том, является это хорошей практикой или нет. Основным аргументом против установки таких сложных условий было то, что пользователи записывают пароли на бумажках и небезопасно хранят.

Другая политика, которая недавно была поставлена под сомнение, заставляет пользователей менять свои пароли каждые x дней. Были проведены некоторые исследования, которые показали, что это также наносит ущерб безопасности.

На тему этих дискуссий было написано множество статей, которые обосновывали ту или другую точку зрения. Но это не то, что мы будем обсуждать в этой статье. Эта статья расскажет о том, как корректно задать сложность пароля, а не управлять политикой безопасности.

Параметры политики паролей

Ниже вы увидите параметры политики паролей и краткое описание каждого из них. Многие из них схожи с параметрами в модуле cracklib . Такой подход упрощает портирование ваших политик из старой системы.

  • difok – Количество символов в вашем новом пароле, кототрые НЕ должны присутствовать в вашем старом пароле. (По умолчанию 5)
  • minlen – Минимальная длина пароля. (По умолчанию 9)
  • ucredit – Максимальное количество кредитов за использование символов верхнего регистра (если параметр > 0), или минимальное требуемое число символов верхнего регистра (если параметр < 0). По умолчанию 1.
  • lcredit — Максимальное количество кредитов за использование символов нижнего регистра (если параметр > 0), или минимальное требуемое число символов нижнего регистра (если параметр < 0). По умолчанию 1.
  • dcredit — Максимальное количество кредитов за использование цифр (если параметр > 0), или минимальное требуемое число цифр (если параметр < 0). По умолчанию 1.
  • ocredit — Максимальное количество кредитов за использование иных символов (если параметр > 0), или минимальное требуемое количество иных символов (если параметр < 0). По умолчанию 1.
  • minclass – Устанавливает количество требуемых классов. Классы включают в себя вышеперечисленные параметры (символы верхнего регистра, нижнего регистра, цифры, иные символы). По умолчанию 0.
  • maxrepeat – Максимальное число повторений символа в пароле. По умолчанию 0.
  • maxclassrepeat — Максимальное количество последовательных символов в одном классе. По умолчанию 0.
  • gecoscheck – Проверяет, содержит ли пароле какие-либо слова из строк GECOS пользователя. ( Информация о пользователе, т.е. настоящее имя, местоположение и т.д.) По умолчанию 0 (выключено).
  • dictpath – Пусть к словарям cracklib.
  • badwords – Разделенные пробелом слова, которые запрещены в паролях (Название компании, слово «пароль» и т. д. ).

Конфигурация политики паролей

Перед тем, как начинать редактировать файлы конфигурации, хорошей практикой считается заранее записать базовую политику паролей. Например, мы будем использовать следующие правила сложности:

  • Пароль должен иметь минимальную длину 15 символов.
  • В пароле один и тот же символ не должен повторяться более двух раз.
  • В пароле классы символов могут повторяться до четырех раз.
  • Пароль должен содержать символы из каждого класса.
  • Новый пароль должен иметь 5 новых символов по сравнению со старым.
  • Включить проверку GECOS.
  • Запретить слова «password, pass, word, putorius»


Как вы могли заметить, некоторые параметры в нашем файле избыточны. Например, параметр minclass избыточен, поскольку мы уже задействуем как минимум два символа из класса, используя поля [u,l,d,o]credit . Наш список слов, которые нельзя использовать также избыточен, поскольку мы запретили повторение какого-либо класса 4 раза (все слова в нашем списке написаны символами нижнего регистра). Я включил эти параметры только, чтобы продемонстрировать, как использовать их для настройки политики паролей.
Как только вы создали свою политику, вы можете принудить пользователей сменить свои пароли при следующем их входе в систему.

Еще одна странная вещь, которую вы, возможно, заметили, заключается в том, что поля [u,l,d,o]credit содержат отрицательное число. Это потому что числа больше или равные 0 дадут кредит на использование символа в вашем пароле. Если поле содержит отрицательное число, это значит, что требуется определенное количество.

Что такое кредиты (credit)?

Я называю их кредитами, поскольку это максимально точно передает их назначение. Если значение параметра больше 0, вы прибавляете количество «кредитов на символы» равное «х» к длине пароля. Например, если все параметры (u,l,d,o)credit установить в 1, а требуемая длина пароля была 6, то вам понадобится 6 символов для удовлетворения требования длины, потому что каждый символ верхнего регистра, нижнего регистра, цифра или иной символ дадут вам один кредит.

Если вы установите dcredit в 2, вы теоретически сможете использовать пароль длиной в 9 символов и получить 2 кредита на символы для цифр и тогда длина пароля уже может быть 10.

Посмотрите на этот пример. Я установил длину пароля 13, установил dcredit в 2, а все остальное в 0.


Моя первая проверка провалилась, поскольку длина пароля была меньше 13 символов. В следующий раз я изменил букву “I” на цифру “1” и получил два кредита за цифры, что приравняло пароль к 13.

Тестирование пароля

Пакет libpwquality обеспечивает функционал, описанный в статье. Также с ним поставляется программа pwscore , которая предназначена для проверки пароля на сложность. Мы использовали ее выше, для проверки кредитов.

Утилита pwscore читает из stdin. Просто запустите утилиту и напишите свой пароль, она выдаст ошибку или значение от 0 до 100.

Показатель качества пароля соотносится с параметром minlen в файле конфигурации. В целом показатель меньше 50 рассматривается как «нормальный пароль», а выше – как «сильный пароль». Любой пароль, который проходит проверки на качество (особенно принудительную проверку cracklib ) должен выдержать атаки словаря, а пароль с показателем выше 50 с настройкой minlen по умолчанию даже brute force атаки.

Настройка pwquality – это легко и просто по сравнению с неудобствами при использовании cracklib с прямым редактированием файлов pam . В этом руководстве мы рассмотрели все, что вам понадобится при настройке политик паролей в Red Hat 7, CentOS 7 и даже систем Ubuntu. Также мы поговорили о концепции кредитов, о которых редко пишут подробно, поэтому эта тема часто оставалась непонятной тем, кто с ней ранее не сталкивался.

Читайте также: