Libpam cracklib

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Passwörter sichern mit libpam_cracklib

  • Die Stärkeprüfungen von libpam_cracklib funktionieren wie folgt.
  • Zuerst wird die Cracklib-Routine aufgerufen, um zu prüfen, ob das Passwort Teil eines Wörterbuchs ist
  • Wenn dies nicht der Fall ist, wird eine zusätzliche Reihe von Festigkeitsprüfungen durchgeführt.

Diese Kontrollen sind

  • Ist das neue Passwort ein Palindrom?
  • Ist das neue Passwort das alte mit nur einer Änderung der Groß-/Kleinschreibung?
  • Ist das neue Passwort dem alten zu ähnlich?
    • Dies wird hauptsächlich durch ein Argument gesteuert, "difok", bei dem es sich um eine Reihe von Zeichenänderungen:
    • (Einfügungen, Entfernungen oder Ersetzungen) zwischen dem alten und dem neuen Passwort handelt, die ausreichen, um das neue Passwort zu akzeptieren.
    • Dies ist standardmäßig auf 5 Änderungen eingestellt.
  • Ist das neue Passwort zu klein? Dies wird durch die 6 Argumente
    • minlen, maxclassrepeat, dcredit, ucredit, lcredit und ocredit gesteuert.
  • Ist das neue Passwort eine rotierte Version des alten Passworts?
  • Optionale Prüfung auf gleiche aufeinanderfolgende Zeichen.
  • Optionale Prüfung auf zu lange monotone Zeichenfolge.
  • Überprüfen Sie optional, ob das Passwort den Namen des Benutzers in irgendeiner Form enthält.

Installation

  • sudo apt install libpam-cracklib

Konfigurieren

Eine Sicherheitskopie ist immer eine gute Idee

  • cp /etc/pam.d/common-password /root/

Editieren

  • vi /etc/pam.d/common-password

Wir suchen diese Zeile 

password    requisite   pam_cracklib.so retry=3 minlen=8 difok=3

Und ändern sie folgendermassen ab 

password    requisite   pam_cracklib.so retry=3 minlen=16 difok=3 ucredit=-1 lcredit=-2 dcredit=-2 ocredit=-2

Erklärung

  • retry=3 : Benutzer höchstens 3 Mal auffordern, bevor er mit einem Fehler zurückkehrt. Der Standardwert ist 1.
  • minlen=16 : Die akzeptable Mindestgröße für das neue Passwort.
  • difok=3 : Dieses Argument ändert den Standardwert von 5 für die Anzahl der Zeichenänderungen im neuen Passwort, die es vom alten Passwort unterscheiden.
  • ucredit=-1 : Das neue Passwort muss mindestens 1 Großbuchstaben enthalten.
  • lcredit=-2 : Das neue Passwort muss mindestens 2 Kleinbuchstaben enthalten.
  • dcredit=-2 : Das neue Passwort muss mindestens 2 Ziffern enthalten.
  • ocredit=-2 : Das neue Passwort muss mindestens 2 Zeichen enthalten.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Libpam_cracklib&oldid=33231