Libpam cracklib: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 18: | Zeile 18: | ||
=Installation= | =Installation= | ||
*sudo apt install libpam-cracklib | *sudo apt install libpam-cracklib | ||
| + | =Konfigurieren= | ||
| + | Eine Sicherheitskopie ist immer eine gute Idee | ||
| + | *cp /etc/pam.d/common-password /root/ | ||
| + | =Editieren= | ||
| + | *vi /etc/pam.d/common-password | ||
| + | Wir suchen diese Zeile | ||
| + | password requisite pam_cracklib.so retry=3 minlen=8 difok=3 | ||
| + | Und ändern sie folgendermassen ab | ||
| + | password requisite pam_cracklib.so retry=3 minlen=16 difok=3 ucredit=-1 lcredit=-2 dcredit=-2 ocredit=-2 | ||
| + | =Erklärung= | ||
| + | *retry=3 : Benutzer höchstens 3 Mal auffordern, bevor er mit einem Fehler zurückkehrt. Der Standardwert ist 1. | ||
| + | *minlen=16 : Die akzeptable Mindestgröße für das neue Passwort. | ||
| + | *difok=3 : Dieses Argument ändert den Standardwert von 5 für die Anzahl der Zeichenänderungen im neuen Passwort, die es vom alten Passwort unterscheiden. | ||
| + | *ucredit=-1 : Das neue Passwort muss mindestens 1 Großbuchstaben enthalten. | ||
| + | *lcredit=-2 : Das neue Passwort muss mindestens 2 Kleinbuchstaben enthalten. | ||
| + | *dcredit=-2 : Das neue Passwort muss mindestens 2 Ziffern enthalten. | ||
| + | *ocredit=-2 : Das neue Passwort muss mindestens 2 Zeichen enthalten. | ||
Version vom 16. Mai 2022, 08:07 Uhr
Passwörter sichern mit libpam_cracklib
- Die Stärkeprüfungen von libpam_cracklib funktionieren wie folgt.
- Zuerst wird die Cracklib-Routine aufgerufen, um zu prüfen, ob das Passwort Teil eines Wörterbuchs ist
- Wenn dies nicht der Fall ist, wird eine zusätzliche Reihe von Festigkeitsprüfungen durchgeführt.
Diese Kontrollen sind
- Ist das neue Passwort ein Palindrom?
- Ist das neue Passwort das alte mit nur einer Änderung der Groß-/Kleinschreibung?
- Ist das neue Passwort dem alten zu ähnlich?
- Dies wird hauptsächlich durch ein Argument gesteuert, "difok", bei dem es sich um eine Reihe von Zeichenänderungen:
- (Einfügungen, Entfernungen oder Ersetzungen) zwischen dem alten und dem neuen Passwort handelt, die ausreichen, um das neue Passwort zu akzeptieren.
- Dies ist standardmäßig auf 5 Änderungen eingestellt.
- Ist das neue Passwort zu klein? Dies wird durch die 6 Argumente
- minlen, maxclassrepeat, dcredit, ucredit, lcredit und ocredit gesteuert.
- Ist das neue Passwort eine rotierte Version des alten Passworts?
- Optionale Prüfung auf gleiche aufeinanderfolgende Zeichen.
- Optionale Prüfung auf zu lange monotone Zeichenfolge.
- Überprüfen Sie optional, ob das Passwort den Namen des Benutzers in irgendeiner Form enthält.
Installation
- sudo apt install libpam-cracklib
Konfigurieren
Eine Sicherheitskopie ist immer eine gute Idee
- cp /etc/pam.d/common-password /root/
Editieren
- vi /etc/pam.d/common-password
Wir suchen diese Zeile
password requisite pam_cracklib.so retry=3 minlen=8 difok=3
Und ändern sie folgendermassen ab
password requisite pam_cracklib.so retry=3 minlen=16 difok=3 ucredit=-1 lcredit=-2 dcredit=-2 ocredit=-2
Erklärung
- retry=3 : Benutzer höchstens 3 Mal auffordern, bevor er mit einem Fehler zurückkehrt. Der Standardwert ist 1.
- minlen=16 : Die akzeptable Mindestgröße für das neue Passwort.
- difok=3 : Dieses Argument ändert den Standardwert von 5 für die Anzahl der Zeichenänderungen im neuen Passwort, die es vom alten Passwort unterscheiden.
- ucredit=-1 : Das neue Passwort muss mindestens 1 Großbuchstaben enthalten.
- lcredit=-2 : Das neue Passwort muss mindestens 2 Kleinbuchstaben enthalten.
- dcredit=-2 : Das neue Passwort muss mindestens 2 Ziffern enthalten.
- ocredit=-2 : Das neue Passwort muss mindestens 2 Zeichen enthalten.