سیاست های امن سازی رمزعبور و حساب های کاربری در لینوکس

بازدیدها: ۱۶۳

برای ایجاد و نگهداری حساب‌های کاربری از فرمان‌های useradd و usermod استفاده کنید. اطمینان حاصل کنید که از سیاست رمز عبور مناسب و پیچیده‌ای استفاده می­‌کنید. به عنوان مثال، یک رمز عبور مناسب و قوی رمزی است که حداقل ۸ کاراکتر داشته باشد و ترکیبی از حروف (حروف کوچک و بزرگ)، اعداد و کاراکترهای ویژه باشد. یکی از ابزارهایی که می‌توانید از آن برای یافتن رمزهای عبور ضعیف در سیستم‌­عامل استفاده کرد، ابزار John the Ripper است.

۱. طول عمر رمز عبور

فرمان chage تعداد روزهای مابین تغییر رمزعبور و آخرین زمان تغییر را مشخص می­کند. این اطلاعات می­تواند توسط سیستم برای تعیین زمانی که یک کاربر باید رمزعبور خود را تغییر دهد استفاده شود. فایل etc/login.defs پیکربندی خاص رمزعبور را مشخص می­کند که شامل پیکربندی طول عمر رمزعبور نیز می‌­شود. برای غیر فعال کردن طول عمر رمزعبور، دستور زیر را وارد کنید:

chage -M 99999 userName

برای دریافت اطلاعات مربوط به منقضی شدن رمز عبور دستور زیر را وارد کنید:

chage -l userName

در نهایت می­‌توانید فایل /etc/shadow را مانند زیر ویرایش کنید:

{userName}:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}:{Warn}:{Inactive}:{Expire}:

که در آن،

Minimum_days: حداقل تعداد روزها مابین تغییر رمز عبور است، به عنوان مثال، تعداد روزهایی که تا زمان تغییر رمز عبور توسط کاربر باقی‌مانده است.

Maximum_days: حداکثر تعداد روزهایی است که رمز عبور معتبر است (بعد از آن کاربر مجبور به تغییر رمز عبور خود است).

Warn: تعداد روزهایی است که پیش از آن­‌که رمزعبور منقضی شود به کاربر اخطار داده می‌شود تا رمز عبور خود را تغییر دهد.

Expire: روزهایی که از تاریخ ۱ ژانویه ۱۹۷۰ حساب کاربری غیر فعال شده است. به‌عنوان مثال، یک تاریخ کاملاً مشخص که از آن به بعد هیچ ورودی توسط کاربر انجام نشده است.

توصیه می‌شود فرمان را به صورت زیر تغییر دهید به­‌جای آن­‌که فایل /etc/shadow را به صورت دستی  ویرایش نمایید:

# chage -M 60 -m 7 -W 7 userName

۲. محدود کردن استفاده از رمزعبورهای قبلی

می­‌توانید مانع از به­‌کارگیری یا استفاده­‌ی مجدد رمزهای عبور قبلی توسط تمامی کاربران شوید. پارامترهای یادآوری ماژول pam_unix می­‌توانند برای پیکربندی تعداد رمزهای عبور پیشین که نمی­‌توانند مجدداً استفاده شوند به­‌کار روند. برای آشنایی با نحوه پیکربندی پارامترهایpam_unix، به زودی آموزش مربوطه در مقالات سایت قرار خواهد گرفت.

۳. قفل شدن حساب کاربری پس از عدم موفقیت در ورود به سیستم

در سیستم‌های عامل خانواده­‌ی لینوکس شما می­توانید فرمان faillog را برای نمایش رکوردهای ورود ناموفق کاربران یا تنظیم محدودیت‌های ورود ناموفق استفاده کنید. faillog شمارش ورودهای ناموفق را از فایل پایگاه داده /logبه /var/log/faillog قالب‌بندی می­‌کند. همچنین می­‌تواند برای نگهداری شمارنده‌ها و محدودیت‌های ورودهای ناموفق استفاده شود. برای مشاهده‌­ی تلاش‌های ناموفق برای ورود، فرمان زیر را وارد نمایید:

faillog

به منظور قفل نمودن حساب کاربری پس از تلاش­‌های ناموفق برای ورود به سیستم ، دستور زیر را اجرا کنید:

faillog -r -u userName

توجه کنید که می­‌توانید فرمان passwd را برای قفل نمودن یا فعال­‌سازی حساب نیز استفاده کنید:

passwd -l username

passwd -u userName

۴. چگونه بفهمیم هیچ حسابی بدون رمزعبور نیست؟

فرمان زیر را وارد کنید:

awk -F: ‘($2 == “”) {print}’ /etc/shadow

تمامی حساب‌هایی که بدون رمزعبور هستند را قفل کنید:

passwd -l accountName

۵. اطمینان از این موضوع که هیچ کاربری غیر از کاربر root دارای UID برابر 0 نیست.

تنها حساب کاربری root باید دارای UID برابر 0 باشد تا بتوانند یک مجوز کامل برای دسترسی به سیستم داشته باشد. فرمان زیر را برای نمایش تمامی حساب‌های کاربری با UID برابر 0 وارد کنید:

awk -F: ‘($3 == “0”) {print}’ /etc/passwd

شما باید تنها یک فرمان مشابه خط زیر در خروجی فوق مشاهده کنید:

root:x:0:0:root:/root:/bin/bash

اگر خطوط بیشتری با UID برابر 0 مشاهده کردید، آن‌ها را حذف نمایید.