passwd-nel csak erős jelszót fogadjon el

Security-all

Debian alatt.
Hogyan kellene ezt elérni?

  • 8120 megtekintés

( ranger | 2008. 05. 28., sze – 11:31 )

pl.

apt-get install libpam-cracklib

az /etc/pam.d/common-passwd fájlban kiveszed a #-et, a "pam_cracklib.so" -t tartalmazó bejegyzés elől.

esetleg megváltoztatod a paramétereket... :-))

ha nem vettem ki, akkor 2x kert jelszovaltoztatast egy passwd kiadasara.
viszont: ha csak a cracklib-eset raktam be, ilyeneket is elfogad: steveballmer, meg csupa kisbetu.
probaltam a difok-ot 3-rol 8-ra allitani, de igy is.
nem lehetne kenyszeriteni az usert a kis- ES nagybetuk hasznalatara?

Ezzel egesz jo lett! Koszonom!
Most keresgelem az angol uzenetek file-jat, hogy kedves magyartanar userek is ertsek, mi a baj a megadott jelszoval...

Viszont generalodott ilyen a syslogba a tesztelgetes soran:

Jun 6 23:45:02 gate CRON[8617]: PAM (other) illegal module type: passphrase=3
Jun 6 23:45:02 gate CRON[8617]: PAM pam_parse: expecting return value; [...match=4]
Jun 6 23:45:02 gate CRON[8617]: PAM unable to dlopen(/lib/security/similar=deny)
Jun 6 23:45:02 gate CRON[8617]: PAM [dlerror: /lib/security/similar=deny: cannot open shared object file: No such file or directory]
Jun 6 23:45:02 gate CRON[8617]: PAM adding faulty module: /lib/security/similar=deny

A masik gond, hogy a meglevo usereket a meglevo jelszavukkal nem engedi be ssh-n (tobbek kozott engem sem :s ). Pedig a jo jelszohoz be kell lepjenek a regivel, hogy megvaltoztathassak...
Viszont ha belul probalok su-val usert valtani, akkor elfogadja a jelszot.
Probaltam imap-pal is, ott is megy.
SSH-n viszont nem.

Nalam van a gond (fejbol szolgaltatom az ilyesmit)?

Hm. A linkelt oldalon nem talalom, amit irsz...
Tulzas lenne azt allitanom, hogy ertem, amit az oldal ir, de bemasoltam.
Viszont pont emiatt nem tudom, hogy amit te irsz, azt hova irjam?

-----------
SZERK:
egy sortorest kivettem, a honlapon sajnos megtevesztett. Mar beenged.

Viszont jelszovaltoztatasnal a nem megfelelo jelszo eseten kiirt hibauzenetet csak binarisban talaltam meg (/lib/security/pam_passwdqc.so). Akkor gyakorlatilag nem tudok magyaritani???

Jajaja....ne tudd meg mennyit szívtunk azzal, hogy saját csomagokat készítsünk egy csomó pam modulból a forrás rpm segítségével, mivel rohadtul nem használnak NLS-t. Oszt akkor még nem is beszéltem arról, hogy ha valami ecseszett terminál emulációt használnak, akkor az egész fabatkát sem ér, ha szépen utf-8-as karaktereket rak bele/ceréli ki az ember. Wowah....szopás hegyek :D

Lassan derult ki, de amelyik usernek a fenti lepesek utan valtoztattunk jelszot, annak a /etc/shadow-ban nincs benne az md5 a nevet tartalmazo sorban, hanem csak egy ! van. Igy viszont nem tud bejelentkezni sem ftp-vel, sem ssh-val (es szerintem maskepp sem).

Nos, mit ronthattam el a fenti egyszeru feladatbol? Vagy a megoldas leirasa volt hianyos? Mit tegyek annak erdekeben, hogy biztonsagosabb legyen, de mukodjon is?

Nálam most lett aktuális a téma.

A következő a helyzet:

a cracklib csomaggal szeretnám rábírni a samba PDC ldap gépünket, hogy szigorúbb legyen a jelszó amit elfogad.
A userek a win7-es gépekkel belépve tudnak jelszót váltani.

a common-passwordbe az alábbiak kerültek

password sufficient pam_ldap.so
password required pam_unix.so nullok obscure use_authok md5
password required pam_cracklib.so retry=3 difok=1 minlen=8 dcredit=-1 ucredit=-1 ocredit=0 lcredit=0

azt olvastam, hogy ezzel a móddal megadhatom a beállítást.
Ahogy látszik amit szeretnék:
- legyen legalább 8 karakter
- legyen benne legalább 1 szám karakter
- legyen benne legalább 1 nagybetűs karakter
- volt még egy, hogy ne lehessen azonos a jelszó a usernévvel de azt most kivettem a teszt alatt.

A gond az, hogy vagy elértettem valamit, vagy más gond van, mert pl:ezek a feltételek nem teljesülnek.

Valakinek sikerült e már hasonló rendszert összedobni?