II. PAM và mật khẩu trên Unix
2) Đối số của Cracklib
Cracklib cung cấp đối số hơn đơn giản retry = N. Đối số retry chỉ đơn thuần là chỉ thị passwd bao nhiêu lần để nhắc nhở người dùng cho các mật khẩu mới. Sự thành công hay thất bại của một dịch vụ mà đòi hỏi pam_cracklib.so dựa trên số lượng "credits" thu được của người sử dụng. Một người sử dụng có thể kiếm được credits dựa trên nội dung của mật khẩu. Đối số mô-đun xác định số lượng credits thu được cho các thành phần cụ thể của một mật khẩu mới.
minlen = N Mặc định = 9. Chiều dài tối thiểu, đồng nghĩa với số credits, phải được thu được. Một credits trên một đơn vị chiều dài. Chiều dài thực tế của mật khẩu mới không bao giờ có thể được ít hơn 6, ngay cả với credits thu được cho phức tạp.
dcredit = N Mặc định= 1. Credits tối đa bao gồm cả chữ số (0-9). Một credits mỗi chữ số.
lcredit = N Mặc định= 1. Credits tối đa bao gồm cả chữ thường. Một credits cho mỗi kí tự.
ucredit = N Mặc định= 1. Credits tối đa bao gồm cả chữ hoa. Một credits cho mỗi kí tự.
ocredit = N Mặc định= 1. Credits tối đa để bao gồm các ký tự mà không phải là chữ hoặc số. Một credits cho mỗi kí tự.
Năm khác đối số không trực tiếp ảnh hưởng đến credits:
31 difok = N Mặc định= 10. Số lượng kí tự mới mà không phải có mặt trong mật
khẩu trước đó. Nếu có ít nhất 50% của các kí tự không phù hợp, điều này được bỏ qua.
retry = N mặc định = 1. Số lần nhắc nhở người dùng một mật khẩu mới nếu mật khẩu trước đó đã không đáp ứng các minlen.
type = text văn bản để thay thế từ UNIX trong các hướng dẫn "mật khẩu UNIX mới" và "Nhập lại mật khẩu UNIX."
use_authtok sử dụng để xếp các mô-đun trong một dịch vụ. Nếu điều này là xảy ra, các mô-đun hiện tại sẽ sử dụng đầu vào cho các mô-đun ở trên nó trong tập tin cấu hình hơn là khiến cho đầu vào một lần nữa. Điều này có thể là cần thiết nếu các mô-đun cracklib không được đặt ở trên cùng của ngăn xếp.
Các đối số được đặt trong cột cuối cùng của hàng và được ngăn cách bởi dấu cách.Ví dụ, người quản trị của chúng tôi muốn người dùng của mình để tạo ra mật khẩu 15 ký tự, còn mật khẩu nhận được hai khoản credits thêm cho việc sử dụng các chữ số và lên đến hai khoản credits bổ sung cho kí tự "khác". Tập tin / etc / pam.d / passwd sẽ có những điều sau đây (ký tự \ đại diện cho một sự tiếp nối dòng trong mã này):
password required /lib/security/pam_cracklib.so \minlen=15 dcredit=2 ocredit=2 password required /lib/security/pam_unix.so nullok use_authtok md5
Chú ý rằng các quản trị viên bổ sung thêm đối số md5 thư viện pam_unix.so. Điều này cho phép mật khẩu được mã hóa với thuật toán MD5. Mật khẩu được mã hóa với thuật toán mã hóa dữ liệu (DES) Tiêu chuẩn, được sử dụng bởi mặc định, không thể dài hơn tám ký tự. Ngay cả với các hạn mức credits hào phóng, nó sẽ là khó khăn để tạo ra một mật khẩu 15-credits sử dụng tám ký tự. Mật khẩu được mã hóa bằng thuật toán MD5 có hiệu quả không giới hạn chiều dài.
Bây giờ chúng ta hãy xem xét một số mật khẩu hợp lệ và không hợp lệ được kiểm tra bởi các tập tin / etc / pam.d / passwd và các khoản credits tương ứng của họ. Hãy nhớ rằng, lcredit và ucredit có giá trị mặc định là 1:
mật khẩu : 9 credits (8 chiều dài + 1 chữ cái thường chữ thường)
passw0rd! : 12 credits (9 chiều dài + 1 chữ thường + 1 chữ số + 1 kí tự khác) Passw0rd! : 13 tín chỉ (9 chiều dài + 1 chữ hoa + 1 chữ thường + 1 chữ số + 1 kí
tự khác)
Pa $ $ w00rd : 15 tín chỉ (9 chiều dài + 1 chữ hoa + 1 chữ thường + 2 chữ số + 2 ký tự khác)
Như bạn có thể thấy, giá trị cao minlen có thể yêu cầu một số mật khẩu khá phức tạp.Mười hai khoản credits có lẽ là số lượng thấp nhất mà bạn sẽ muốn để cho phép trên hệ thống của bạn, với 15 là ngưỡng trên. Nếu không, bạn sẽ phải viết mật khẩu vào máy tính của bạn để ghi nhớ nó! (Hy vọng rằng không.)
32
