Настройка парольной политики linux

Обновлено: 01.07.2024

Seahorse — входящее в состав репозитория Astra Linux Common Edition графическое приложение для управления PGP и SSH ключами.
Приложение поддерживает интеграцию с Nautilus, gedit и почтовым клиентом Evolution для защитного преобразования данных.
Также имеется поддержка работы с серверам ключей HKP и LDAP.

Программа основана на GnuPG и распространяется как свободное программное обеспечение под лицензией GNU GPL.

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Common Edition 2.12

Установка пакета

Пакет seahorse включен в репозиторий Astra Linux Common Edition и может быть установлен с помощью графического менеджера пакетов или из командной строки командой:

При написании статьи использовалась версия пакета 3.20.0

Запуск приложения

После установки пакет доступен для запуска из командной строки:

Основные приемы работы с пакетом

Главное окно программы устроено довольно просто:
хранимая информация распределена по четырём категориям:

  • Пароли
  • Сертификаты
  • Безопасная оболочка
  • Ключи PGP
  • Секретный ключ

Выбор категорий и их содержимого можно осуществлять с помощью мышки, графический интерфейс прост и не требует особого описания.

Отключение запроса пароля к основной связке ключей

Следует помнить, что отключение пароля снижает общую защищенность системы.
Более безопасным вариантом исключения повторного ввода пароля является использование PAM-модуля pam-gnome-keyring.

Для отключения запрос пароля:

При необходимости возврат пароля для доступа к связке ключей осуществляется аналогичными действиями.


Для того, чтобы связка ключей могла быть разблокирована, пароль связки ключей должен совпадать с паролем входа пользователя. Следует помнить, что при использовании совпадающих паролей компрометация пароля входа пользователя ведёт к компрометации всех остальных паролей.

Установка пакета

Пакет libpam-gnome-keyring включен в репозиторий Astra Linux Common Edition, и может быть установлен с помощью графического менеджера пакетов или из командной строки командой:

Работа пакета

Работа пакета подробно описана в документации разработчика.

Общий порядок работы:

При аутентификации пользователя или при входе в сессию, модуль проверяет наличие переменной окружения GNOME_KEYRING_CONTROL.
Если переменная отсутствует, предполагается, что gnome-keyring-daemon не запущен для этой сессии.

Если указана опция auto_start модель запускает gnome-keyring-daemon.

IЕсли указана опция only_if то опция auto_start отрабатывается только в том случае, если процесс есть в списке.
Например, auto_start only_if=fly_dm запустит gnome-keyring-daemon только для fly_dm.

При завершении этапа если gnome-keyring-daemon был запущен модулем, то демон будет остановлен.

При необходимости, на этом этапе также запускается gnome-keyring-daemon .

Настройка авторизации

В зависимости от задач возможно разное применение модуля. Для вызова модуля при прохождении PAM-стека используются следующие основные варианты:

Эти вызовы должны быть добавлено вручную.Вызовы модуля следует добавить в секцию "The additional".

Опции модуля pam_gnome_keyring:

Опция \ Этап сессииauthsessionpassword
auto_startЗапустить демон gnome-keyring, если он еще не запущен.На этапе password демон запускается всегда, а если опция auto_start не указана - демон будет остановлен после смены пароля.
only_if=список_сервисовЕсли PAM-сессия запущена сервисом, не находящимся в списке, PAM-модуль не будет выполнять никаких действий (запуск демона, разблокировка, смена пароля). Пример: only_if=fly_dm
use_autktokИгнорируетсяИспользовать ранее заданный пароль и не запрашивать новый, даже если пароль не задан.

Для управления ключами пользователя в состав дистрибутивов Astra Linux включен пакет gnupg.
Пакет устанавливается автоматически при установке системы.

Возможно, когда вы будете читать эту статью, в составе дистрибутивов будет уже пакет gnupg2, являющийся более новой версией gnupg.

Основные инструменты пакета gnupg:

    gpg - основной инструмент для работы с ключами. Подробная справка по работе с файлами доступна по ссылке или по команде man gpg.
    Примеры команд:

    Получение ключей с сервера ключей по отпечатку ключа:

    Политика паролей – это набор правил, которых нужно придерживаться при установке пароля. Политика паролей является важным фактором в области компьютерной безопасности. Поскольку именно пароли пользователей системы чаще всего становятся причиной взломов и других проблем и нарушений, большинство компаний и организаций включают политику паролей в официальный регламент. Все пользователи и пароли должны соответствовать официальной политике паролей компании.

    Политика паролей, как правило, определяется следующими факторами:

    • срок действия пароля
    • его длина
    • сложность
    • количество неправильных попыток ввода пароля
    • количество раз повторного использования пароля

    1: Настройка срока действия и длины пароля

    Контроль срока действия пароля и его длины осуществляется при помощи файла /etc/login.defs. Срок действия пароля (англ. password aging) определяет максимальное количество дней действия, минимальное количество дней между изменениями пароля, а также количество дней, в течение которых предупреждается о необходимости смены пароля. Длина пароля (англ. password length) определяет минимальное количество символов, которое должен содержать пароль. Итак, чтобы настроить срок действия и длину пароля, отредактируйте файл /etc/login.defs и установите значения директив PASS согласно политике паролей.

    Примечание: данные параметры не повлияют на уже существующих пользователей, они будут действительны только для новых учетных записей!

    • PASS_MAX_DAYS – максимальное количество дней действия пароля.
    • PASS_MIN_DAYS – минимальное количество дней между изменениями пароля.
    • PASS_MIN_LEN – минимальное количество символов пароля.
    • PASS_WARN_AGE – количество дней, в течение которых пользователь предупреждается об истечении срока действия пароля.

    Пример конфигураций файла /etc/login.defs:

    2: Настройка сложности и повторного использования пароля

    В файле /etc/pam.d/system-auth можно настроить сложность и повторное использование пароля. Сложность пароля определяется сложностью комбинации символов, использованных в пароле. Параметры повторного использования пароля запрещают определенное количество паролей пользователя, которые были использованы ранее. При установке сложности пароля можно указать количество цифр, символов, заглавных и строчных букв, которое должен содержать пароль. Если стандарты сложности пароля не выполнены, такой пароль не будет принят системой.

    • ucredit=-X – обязательное количество заглавных букв в пароле;
    • lcredit=-X – обязательное количество строчных букв в пароле;
    • dcredit=-X – количество цифр, которое должен содержать пароль;
    • ocredit=-X – количество символов (*,-. и т.д.) в пароле.

    Примечание: замените Х требуемым числом. Например:

    password requisite pam_cracklib.so try_first_pass retry=3 type= ucredit=-2 lcredit=-2 dcredit=-2 ocredit=-2

    • remember=X – параметр повторного использования паролей, где Х – количество ранее использованных паролей, которые нужно запретить. Например:

    password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

    Пример конфигураций файла /etc/pam.d/system-auth:

    3: Ограничение количества неправильных попыток ввода пароля

    Количество неправильных попыток ввода пароля устанавливается в файле /etc/pam.d/password-auth.

    Этот параметр задает количество неправильных попыток ввода пароля, которое может совершить пользователь, прежде чем он будет заблокирован. Позже системный администратор может разблокировать учетную запись. Чтобы настроить количество неудачных попыток входа, добавьте две новые строки в файл /etc/pam.d/password-auth.

    Параметр deny=X задает разрешенное количество неудачных попыток, прежде чем пользователь будет заблокирован (замените Х нужным числом).


    Мануал

    По умолчанию Linux не защищен, и для установки нового сервера требуется больше конфигураций, чтобы обеспечить его защиту и защиту от злоумышленников.

    Если пользователи устанавливают слабые пароли для своих учетных записей, хакерам становится легко взломать и скомпрометировать учетные записи.

    При создании локального пользователя в Linux вы можете дать ему любой пароль, и он примет, даже самый слабый, например, «password».

    Этот параметр по умолчанию представляет угрозу безопасности для вашей производственной среды, если пользователям разрешено сбрасывать свой пароль.

    В этом руководстве мы покажем вам, как вы можете принудительно использовать надежные пароли пользователей в Linux.

    Это будет работать как для создания нового пользователя, так и для сброса пароля.

    Применение политики безопасного пароля в Debian / Ubuntu

    Заставьте пользователей менять пароль каждые 30 дней или меньше

    Мы будем использовать модуль PAM pwquality / pam_pwquality, чтобы установить требования к качеству паролей по умолчанию для системных паролей.

    Установите пакет libpam-pwquality в вашей системе Ubuntu / Debian.

    После установки пакета вам необходимо отредактировать файл /etc/pam.d/common-password, чтобы установить требования к паролю.

    Измените строку 25 с:

    • retry = 3: запросить пользователя 3 раза ввести пароль, прежде чем вернуть ошибку.
    • minlen = 8: длина пароля не может быть меньше, чем этот параметр
    • maxrepeat = 3: разрешить максимум 3 повторяющихся символа
    • ucredit = -1: требуется хотя бы один заглавный символ
    • lcredit = -1: должен иметь хотя бы один символ нижнего регистра.
    • dcredit = -1: должен иметь хотя бы одну цифру
    • difok = 3: количество символов в новом пароле, которое не должно присутствовать в старом пароле.
    • gecoscheck = 1: слова в поле GECOS пользовательской записи passwd не содержатся в новом пароле.

    Измените настройки в соответствии с желаемой политикой паролей, затем перезагрузите систему.

    Затем вы можете добавить тестовую учетную запись пользователя, чтобы подтвердить, что ваша политика паролей работает.

    Пароли — основной способ определения подлинности пользователя, используемый в Red Hat Enterprise Linux. Вот почему парольная защита чрезвычайно важна для защиты пользователя, рабочей станции и сети.

    Если во время установки отключить пароли MD5, будет использоваться старый стандарт шифрования данных DES ( Data Encryption Standard ). В этом стандарте пароли ограничены восемью алфавитно-цифровыми символами (знаки препинания и другие спецсимволы запрещены) и используется скромное 56-битное шифрование.

    Если во время установки отключить теневые пароли, все пароли, прошедшие одностороннее преобразование, сохраняются в доступном всем на чтение файле /etc/passwd , что делает систему уязвимой для атак автономного подбора пароля. Если взломщик получит доступ к компьютеру под именем обычного пользователя, он сможет скопировать файл /etc/passwd на свой компьютер и сколько угодно подбирать пароли с помощью различных программ. Если в этом файле окажутся небезопасные пароли, их взлом будет всего лишь делом времени.

    Теневые пароли спасают от такой атаки, так как хэши паролей сохраняются в файле /etc/shadow , доступном на чтение только пользователю root.

    Это вынуждает потенциального взломщика перебирать пароли удалённо, подключаясь к сетевой службе компьютера, например, к SSH или FTP. Перебор пароля таким способом выполняется гораздо медленнее и легко обнаруживается, так как в системных файлах будут зафиксированы сотни попыток входа. Конечно, если взломщик нападёт на систему со слабыми паролями ночью, до рассвета он сможет получить доступ и скрыть свои следы, подправив файлы журналов.

    За форматом и хранилищем стоит содержание. Самое главное, что должен сделать пользователь для защиты своей учётной записи от взлома пароля — задать сильный пароль.

    Придумывая сильный пароль, следуйте приведённым ниже рекомендациям:

    Не используйте только слова или числа — Никогда не используйте в пароле только слова или числа.

    Вот примеры небезопасных паролей:

    Не используйте известных слов — Следует избегать имён собственных, слов из словаря и фраз из телевизионных передач или книг, даже если они включают в себя цифры.

    Вот примеры небезопасных паролей:

    Не используйте слов из других языков — Программы подбора пароля часто перебирают пароль по списку, включающему словари многих языков. Полагаться на иностранные языки с целью защитить пароль не безопасно.

    Вот примеры небезопасных паролей:

    Не используйте сленг хакеров — Если вы думаете, что относитесь к элите, потому что используете в своём пароле сленг, подумайте ещё раз. Сленг включён во многие списки слов.

    Вот примеры небезопасных паролей:

    Не используйте личные сведения — Избегайте употребления личных сведений. Если взломщик узнает, кто вы, задача отгадывания пароля становится проще. Ниже перечислены сведения, которые не следует использовать, придумывая пароль:

    Вот примеры небезопасных паролей:

    Имена домашних животных

    Имена членов семьи

    Любые дни рождения

    Ваш номер телефона или индекс

    Не переворачивайте известных слов — Хорошие программы подбора пароля всегда переворачивают стандартные слова, поэтому переворачивание плохого пароля не делает его лучше.

    Вот примеры небезопасных паролей:

    Не записывайте свой пароль — Никогда не записывайте свой пароль на бумаге. Гораздо безопаснее запомнить его.

    Не используйте один пароль на всех компьютерах — Важно придумать отдельные пароли для разных компьютеров. Тогда, если будет скомпрометирован один компьютер, все остальные компьютеры не окажутся в опасности.

    Придумывайте пароль длиной не меньше восьми символов — Чем длиннее пароль, тем лучше. Если вы используете пароли MD5, следует выбирать пароли из 15 символов и длиннее. Используя пароли DES, создавайте их максимально длинными (восемь символов).

    Смешивайте буквы верхнего и нижнего регистра — Система Red Hat Enterprise Linux чувствительна к регистру, поэтому смешивайте регистр, чтобы усилить свой пароль.

    Смешивайте буквы и цифры — Добавив пароли цифры, особенно, вставляя их в середину (а не просто в начало или конец), вы также увеличиваете стойкость пароля.

    Включайте не алфавитно-цифровые символы — Специальные символы (например, &, $ и >) значительно усиливают пароль (их нельзя использовать в паролях DES).

    Придумайте пароль, который вы можете запомнить — Лучший в мире пароль вовсе не хорош, если вы не можете его запомнить; используйте сокращения или другие приёмы, облегчающие запоминание паролей.

    После знакомства с этими правилами, может показаться, что создать пароль, соответствующий всем критериям хорошего пароля и не попадающий в категорию плохих — очень сложно. К счастью, есть алгоритм создания запоминаемых, безопасных паролей.

    Есть множество способов создания безопасных паролей. Один из самых популярных — использование сокращений. Например:

    Вспомните какую-нибудь фразу, например:

    «по лесам, по горам, сегодня здесь, завтра там.».

    Затем сделайте из неё сокращение (включая знаки препинания).

    Усложните его, заменив буквы цифрами и специальными символами. Например, подставьте 3 вместо з , а символ ( ( ) вместо с :

    Увеличьте сложность ещё больше, сделав большой хотя бы одну букву, например П .

    И, наконец, никогда и нигде не используйте показанный здесь пароль .

    Хотя придумывать безопасные пароли крайне необходимо, также важно правильно с ними обращаться, особенно для системных администраторов в больших организациях. В следующем разделе подробно описано, как правильно создавать пароли пользователей и управлять ими в организации.

    Если в организации работает значительное число пользователей, системные администраторы могут принудить их использовать сильные пароли двумя способами. Они могут создавать пароли для пользователей или позволить им создавать пароли самостоятельно, проверяя при этом качество этих паролей.

    Создание паролей для пользователей гарантирует, что пароли хороши, но это становится непосильной задачей по мере роста организации. При этом также увеличивается опасность того, что пользователи начнут записывать свои пароли.

    Поэтому многие системные администраторы предпочитают, чтобы пользователи придумывали себе пароли сами, и при этом постоянно проверяют их качество, а иногда вынуждают пользователей периодически менять пароли, ограничивая срок их действия.

    Однако следует заметить, что пароли проходят эту проверку в момент создания, и это средство не так действенно, как запуск программы перебора паролей для проверки всех паролей, используемых в организации.

    В Red Hat Enterprise Linux будет работать множество программ подбора пароля, но ни одна из них не поставляется с системой. Ниже приведён краткий список наиболее распространённых программ взлома пароля:


    Замечание

    Ни одна из этих программ не включена в состав Red Hat Enterprise Linux, и ни в какой мере не поддерживается компанией Red Hat, Inc..


    Предупреждение

    Всегда, прежде чем приступать в своей организации к перебору паролей, получите на это письменное разрешение.

    Ограничение срока действия пароля — ещё один приём, используемый системными администраторами, для защиты от плохих паролей. Ограничение срока действия означает, что по истечении заданного времени (обычно 90 дней) пользователю предлагается сменить пароль. Смысл этого состоит в том, что если пользователь будет вынужден периодически менять пароль, подобранный взломщиком пароль будет действовать ограниченное время. Однако это имеет и негативные последствия — пользователи могут начать записывать пароли.

    Для определения срока действия пароля в Red Hat Enterprise Linux в основном используются две программы: команда chage и графическое приложение Менеджер пользователей ( system-config-users ).

    Параметр -M команды chage определяет максимальный срок действия пароля в днях. Например, чтобы срок действия пароля пользователя истекал через 90 дней, выполните:

    chage -M 90 <username>

    Замените в этой команде <username> именем пользователя. Чтобы периодическая смена пароля не требовалась, обычно используют значение 99999 после параметра -M (при этом период смены будет немногим больше 273 лет).

    Определить политики срока действия пароля также можно в графическом приложении Менеджер пользователей (User Manager) . Чтобы запустить это приложение, выберите в Приложения (на панели) => Системные параметры => Пользователи и группы или введите в приглашении оболочки system-config-users (например, в терминале XTerm или GNOME). Перейдите на вкладку Пользователи , выберите пользователя из списка и щёлкните в меню кнопки Свойства (или выберите в главном меню Файл => Свойства ).

    Затем перейдите на вкладку Сведения о пароле и определите, сколько дней действует пароль, как показано на рисунке 4-1 .


    Рисунок 4-1. Вкладка Сведения о пароле

    За дополнительными сведениями о настройке пользователей и групп (включая указания по принудительной смене пароля при первом входе), обратитесь к главе Настройка пользователей и групп Руководства по системному администрированию Red Hat Enterprise Linux . Познакомиться с управлением пользователями и ресурсами вы сможете в главе Управление учётными записями пользователей и доступом к ресурсам во Введении в системное администрирование Red Hat Enterprise Linux .

    Читайте также: