Настройка рекомендуемых опций паролей
Правильной работы с паролями можно достичь только за счет обучения пользователей. Для обеспечения дополнительной защиты в операционной системе можно настроить ограничения на пароли. С их помощью администратор может установить правила для выбираемых пользователями паролей и задать частоту их смены.
Опции паролей и расширенные атрибуты пользователей находятся в текстовом файле /etc/security/user, который содержит разделы атрибутов пользователей. Эти ограничения применяются при определении нового пароля пользователя. Ограничения определяются для каждого пользователя отдельно. Ограничения, заданные в разделе атрибутов по умолчанию в файле /etc/security/user, распространяются на всех пользователей. Для обеспечения защиты паролей необходимо задать схожие ограничения для всех паролей.
Администраторы также могут изменять ограничения. С помощью атрибута pwdchecks файла/etc/security/user администратор может добавить новые функции (методы) в код проверки ограничений на пароли. Таким образом, локальные стратегии можно установить и применять в операционной системе. За дополнительной информацией обратитесь к разделу Расширение ограничений на пароли.
Ограничения на пароли следует устанавливать разумно. Попытки установить слишком строгие ограничения могут существенно снизить эффективность защиты с помощью паролей: например, ограничение пространства паролей упростит их угадывание, а требование выбирать труднозапоминаемые пароли приведет к тому, что пользователи будут их записывать. В конечном счете, надежность защиты с помощью пароля зависит от пользователя. Простые ограничения на пароли, разумные рекомендации по выбору новых паролей и периодическая проверка уникальности паролей - вот основные составляющие оптимальной стратегии.
Следующая таблица содержит рекомендуемые значения для некоторых атрибутов защиты, связанных с паролями, в файле /etc/security/user.
Атрибут | Описание | Рекомендуемое значение | Значение по умол- чанию | Максимальное значение |
---|---|---|---|---|
dictionlist | Проверяет пароли на отсутствие стандартных слов UNIX. | /usr/share/dict/words | неприменимо | неприменимо |
histexpire | Время в неделях, по истечении которого пароль может применяться повторно. | 26 | 0 | 260* |
histsize | Разрешенное количество повторений пароля. | 20 | 0 | 50 |
maxage | Максимальная продолжитель- ность действия пароля в неделях. | 8 | 0 | 52 |
maxexpired | Максимальное время в неделях сверх maxage, в течение которого пароль может быть изменен пользователем. (Не распростра- няется на пользователя root.) | 61 см | -1 | 52 |
maxrepeats | Максимальное число повторяющихся символов в пароле. | 61 см | 8 | 8 |
minage | Минимальная продолжитель- ность действия пароля. Присваивать ненулевое значение этому атрибуту рекомендуется только в том случае, если всегда можно обратиться к администратору для изменения недавно измененного пароля, который был случайно раскрыт. | 0 | 0 | 52 |
minalpha | Минимальное число букв в пароле. | 61 см | 0 | PW_PASSLEN** |
mindiff | Минимальное число уникальных символов в пароле. | 4 | 0 | PW_PASSLEN** |
minlen | Минимальная длина пароля. | 6 (8 - для пользователя root) | 0 | PW_PASSLEN** |
minother | Минимальное число символов, отличных от букв, в пароле. | 61 см | 0 | PW_PASSLEN** |
pwdwarntime | Время в днях, по истечении которого система выдает предупреждение о необходимости изменения пароля. | 5 | неприменимо | неприменимо |
pwdchecks | Эта запись позволяет добавить в команду passwd пользовательский код проверки качества пароля. | За дополнительной информацией обратитесь к разделу Расширение ограничений на пароли. | неприменимо | неприменимо |
* Сохраняется не более 50 паролей.
** PW_PASSLEN определяется в userpw.h
Если в системе установлены функции обработки текстов, то в качестве файла словаря dictionlist администратор может взять файл /usr/share/dict/words. В этом случае администратор может присвоить атрибуту minother значение 0
. Так как большинство слов в словаре не содержат символов, попадающих в категорию атрибута minother, то присвоение атрибуту minother значения 1
или больше делает подавляющее большинство слов в этом словаре ненужными.
Минимальная длина пароля в системе определяется большим из двух значений: значения атрибута minlen и суммы значений атрибутов minalpha и minother.
Максимальная длина пароля составляет число символов, указанных в атрибуте PW_PASSLEN. Число символов, используемых при создании сохраняемого значения пароля зависит от алгоритма создания паролей, используемого в системе. Алгоритмы формирования паролей определены в файле /etc/security/pwdalg.cfg, а алгоритм для использования по умолчанию можно настроить с помощью атрибута pwd_algorithm в файле /etc/security/login.cfg. Сумма значений атрибутов minalpha и minother ни в коем случае не должна превышать значение атрибута PW_PASSLEN. Если сумма значений атрибутов minalpha и minother превышают значение атрибута PW_PASSLEN, то значение атрибута minother уменьшается до значения PW_PASSLEN минус значение minalpha.
Если заданы значения атрибутов histexpire и histsize, то система сохраняет число паролей, удовлетворяющее обоим условиям, но не свыше 50 паролей для каждого из пользователей. Пустые пароли не сохраняются.
С помощью текстового редактора в файл /etc/security/user можно внести произвольные значения по умолчанию для управления паролями пользователей. Кроме того, изменить значения атрибутов можно с помощью команды chuser.
Помимо данной, для этого файла можно запускать команды mkuser, lsuser и rmuser. Команда mkuser создает запись для каждого нового пользователя в файле /etc/security/user и присваивает его атрибутам значения из файла /usr/lib/security/mkuser.default. Команда lsuser предназначена для просмотра атрибутов и соответствующих значений. Команда rmuser позволяет удалить пользователя.