حالت موضوعي | حالت خطي

unixi · 2004-10-11, 11:40 AM,

استفاده از کلمات عبور روش اصلی در لینوکس RedHat برای شناسایی کاربران است . که این خود مِوید این مطلب است که حفاظت از کلمات عبور برای محافظت از کاربران ، ایستگاه کاری و شبکه بسیار مهم است .
برای ایجاد امنیت بیشتر برنامه های سیستمی ازکلمات shadow شده و الگوریتم Message-Digest (MD5) استفاده می کنند .
در صورت عدم استفاده از MD5 در هنگام نصب از شکل قدیمی رمز گذاری DES استفاده می گردد . این شیوه رمزگذاری طول کلمات عبور را محدود به 8 کاراکتر از حروف الفبا می کند . به همین صورت اگر shadow انتخاب نشده باشد تمامی کلمات عبور به صورت درهم سازی شده در فایل /etc/passwd قرار می گیرند که به صورت خواندنی در دسترس همه کاربران قرار می گیرد . این امر موجب آسیب پذیری سیستم در مقابل حملات به کلمه عبور می گردد زیرا همه می توانند یک نسخه از این فایل را داشته باشند و با هر برنامه شکننده کلمه عبور این فایل را بررسی کرده و کلمات عبور ذخیره شده در آن را رمزگشایی کنند . کلمات عبور shadow شده این کار را برای مهاجم غیرممکن می کند زیرا کلمات عبور را در فایل /etc/shadow قرار می دهد که این فایل فقط برای کاربر ریشه قابل دسترسی می باشد .
این امر مهاجمین را مجبور به شکستن کلمات عبور از راه دور به وسیله Login کردن به سرویس شبکه با کمک مثلا SSH و FTP می کند . این دسته از حملات brut-force بسیار آهسته تر و کندتر از دسترسی مستقیم است . همچنین به علت وجود فایلهای ثبت رخداد در سیستم عامل ، موجب ثبت تعداد زیادی درخواست ورود رد شده به سیستم می گردد که در نتیجه موجب شناسایی یک حمله به سیستم می گردد .

ایجاد کلمات عبور قوی :
با وجود مطالبی که در قسمت قبل بحث کردیم ، شکستن کلمات عبور ضعیف در روش brut-force نیز چندان وقت گیر نخواهد بود . به همین دلیل کاربران باید برای محافظت از حساب کاربری خود در مقابل اینگونه حملات ، کلمات عبور قوی ایجاد کنند .
برای داشتن کلمات عبور قوی ، هرگز :
1- فقط از حروف و یا اعداد استفاده نکنید .
2- از کلمات قابل حدس زدن استفاده نکنید .
3- اطلاعات شخصی خود را در کلمات عبور به کار نبرید .
4- از عکس کلمات استفاده نکنید .
5- کلمات عبور خود را بر روی کاغذ ننویسید .
6- و در نهایت از کلمات عبور یکسان بر روی ماشینهای مختلف استفاده نکنید .

و سعی کنید که :
1- از کلماتی استفاده کنید که حداقل 8 کاراکتر طول داشته باشند
2- به علت حساسیت لینوکس به کوچکی و بزرگی حروف از ترکیب حروف بزرگ و کوچک استفاده کنید .
3- از ترکیب اعداد و حروف و کاراکترهای غیر عددی - حرفی ($,>,&,...) استفاده کنید .
4- سعی کنید کلمه عبور خود را در حافظه تان نگهداری کنید .

ایجاد کلمات عبور قوی و مطمئن یک امر بسیار مهم می باشد به خصوص اگر شما مدیریت سیستمها را در یک سازمان بزرگ بر عهده داشته باشید .

ایجاد کلمات عبور در یک سازمان :
اگر تعداد کاربران در یک سازمان زیاد باشد ، مدیران دو انتخاب اصلی در دسترسی دارند . آنها می توانند کلمات عبور هر کاربر را ایجاد کرده و به آنها بدهند و یا اینکه به کاربران اجازه دهند کلمات عبور را خودشان بسازند .
ایجاد کلمات برای کاربران ایده چندان جالبی به خصوص در سازمانهای بزرگ نیست به علاوه اینکه خطر نوشتن این کلمات بر روی کاغذ را زیاد می کند .
به همین دلیل مدیران ترجیح می دهند که انجام این کار را به عهده کاربران واگذارند ، اما این کلمات را بررسی می کنند و در برخی موارد کاربران را مجبور می کنند کلمه عبور خود را در زمانهای مشخص تغییر دهند .
یکی از ایده های خوب برای محافظت از شبکه در یک سازمان این است که مدیران بررسی کنند که کلمات عبور به اندازه کافی قوی باشند . زمانی که از کاربران خواسته می شود تا کلمات عبور را ایجاد کنند و یا تغییر دهند ، آنها می توانند از ابزار خط فرمانی مربوط به این کار (passwd) استفاده کنند که نتیجه به Pluggable Authentication Manager (PAM) فرستاده می شود و از طریق ماجول مربوطه (Pam_Cracklib.so) این کلمه بررسی می شود تا دقت شود که برای شکستن ساده نباشد و یا اینکه طول آن کوتاه نباشد . از آنجا که PAM قابل سفارشی سازی است ، این امکان وجود دارد تا ویژگیهای دیگری نیز به آن اضافه کنید مانند Pam_Passwdqc که در آدرس <a class="postlink" href="http://www.openwall.com/passwdqc">http://www.openwall.com/passwdqc</a> قرار دارد و یا اینکه ماجول خودتان را بنویسید . برای دیدن ماجولهای PAM موجود می توانید فهرستی از آنها را در آدرس زیر پیدا کنید :
<a class="postlink" href="http://www.kernel.org/pub/linux/libs/pam/modules.htm">http://www.kernel.org/pub/linux/libs/pam/modules.htm</a>
یک اقدام موثر بعد از ایجاد و چک کردن آنها در زمان ساخت ، استفاده از یک برنامه شکننده کلمات عبور بر علیه این کلمات در یک سازمان می باشد .
برنامه های زیادی برای این کار در لینوکس وجود دارد . از بهترین آنها ، John the Ripper و Crack می باشند .

طول عمر کلمات عبور :
Password Aging یکی دیگر از تکنیک هایی است که مدیران برای دفاع علیه کلمات عبور در یک سازمان استفاده می کنند. و به این معنی است که بعد از گذشت زمان مشخص ، کاربران اعلانی مربوط به تغییر کلمه عبور دریافت می کنند . تئوری پشت این نظر این است که کاربر متناوبا کلمه عبورش را تغییر دهد تا کلمات شکسته شده برای مدت زمان مشخصی قابل استفاده باشد .
دو برنامه اصلی برای این کار در لینوکس RedHat وجود دارد . دستور خط فرمانی chage و برنامه گرافیکی UserManager

newbie · 2004-10-13, 03:54 PM,

جالب بود

**Navid** · 2004-12-19, 05:31 PM,

آقا چطور می‌شه طول عمر یه کلمه‌ی عبور رو از طریق خط فرمان زیاد و کم کرد؟ بعد اون هشدار دهنده رو چطور می‌شه تنظیم کرد که یک هفته مونده و دوروز مونده به تموم شدن اون پسورد بهم هشدار بده؟ از طریق mbox خود سیستم یا اگر popup باشه بهتر!!

mfaridi · 2005-04-13, 09:41 AM,

مقاله بسیار جالبی بود دستتون درد نکنه

مولا · 2005-04-13, 10:34 AM,

خیلی جالب بود .

m_amout · 2005-04-13, 02:36 PM,

unixi عزیز اگه ممکنه به سوال navid جواب بده ، چون واقعا سوال خوب و بجایی و احتمالا به درد خیلی از بچه ها می خوره .
البته تا یادم نرفته ، مقاله جالبی بود دستتون درد نکنه .
با تشکر

**Navid** · 2005-04-13, 02:50 PM,

برای جلوگیری از حدس زدن پسورد می‌تونید در لینوکستون تعریف کنید که پس از مثلا ۳ دفعه ورود غیر موفق(پسورد غلط بده) دیگه تا یک ساعت به کاربر اجازه‌ی لاگین داده نشه و ..این مورد و مورد بالا رو در فایل etc/login.defs/ می‌شه تنظیم کرد ....

unixi · 2005-07-18, 10:57 AM,

Navid نویسنده :آقا چطور می‌شه طول عمر یه کلمه‌ی عبور رو از طریق خط فرمان زیاد و کم کرد؟ بعد اون هشدار دهنده رو چطور می‌شه تنظیم کرد که یک هفته مونده و دوروز مونده به تموم شدن اون پسورد بهم هشدار بده؟ از طریق mbox خود سیستم یا اگر popup باشه بهتر!!

می تونین از سوئیچ های chage استفاده کنید ( d ,m , M ,... ) . راحتتر اینه که chage user_name رو تایپ کنید . مقادیر فعلی نمایش داده می شن و می تونید ، اگر بخوایید مقادیر جدیدی رو برای اونا وارد کنید .