امنیت کلمه عبور در لینوکس(RedHat)
|
2004-10-11, 11:40 AM,
ارسال : #1
|
|||
|
|||
امنیت کلمه عبور در لینوکس(RedHat)
استفاده از کلمات عبور روش اصلی در لینوکس RedHat برای شناسایی کاربران است . که این خود مِوید این مطلب است که حفاظت از کلمات عبور برای محافظت از کاربران ، ایستگاه کاری و شبکه بسیار مهم است .
برای ایجاد امنیت بیشتر برنامه های سیستمی ازکلمات shadow شده و الگوریتم Message-Digest (MD5) استفاده می کنند . در صورت عدم استفاده از MD5 در هنگام نصب از شکل قدیمی رمز گذاری DES استفاده می گردد . این شیوه رمزگذاری طول کلمات عبور را محدود به 8 کاراکتر از حروف الفبا می کند . به همین صورت اگر shadow انتخاب نشده باشد تمامی کلمات عبور به صورت درهم سازی شده در فایل /etc/passwd قرار می گیرند که به صورت خواندنی در دسترس همه کاربران قرار می گیرد . این امر موجب آسیب پذیری سیستم در مقابل حملات به کلمه عبور می گردد زیرا همه می توانند یک نسخه از این فایل را داشته باشند و با هر برنامه شکننده کلمه عبور این فایل را بررسی کرده و کلمات عبور ذخیره شده در آن را رمزگشایی کنند . کلمات عبور shadow شده این کار را برای مهاجم غیرممکن می کند زیرا کلمات عبور را در فایل /etc/shadow قرار می دهد که این فایل فقط برای کاربر ریشه قابل دسترسی می باشد . این امر مهاجمین را مجبور به شکستن کلمات عبور از راه دور به وسیله Login کردن به سرویس شبکه با کمک مثلا SSH و FTP می کند . این دسته از حملات brut-force بسیار آهسته تر و کندتر از دسترسی مستقیم است . همچنین به علت وجود فایلهای ثبت رخداد در سیستم عامل ، موجب ثبت تعداد زیادی درخواست ورود رد شده به سیستم می گردد که در نتیجه موجب شناسایی یک حمله به سیستم می گردد . ایجاد کلمات عبور قوی : با وجود مطالبی که در قسمت قبل بحث کردیم ، شکستن کلمات عبور ضعیف در روش brut-force نیز چندان وقت گیر نخواهد بود . به همین دلیل کاربران باید برای محافظت از حساب کاربری خود در مقابل اینگونه حملات ، کلمات عبور قوی ایجاد کنند . برای داشتن کلمات عبور قوی ، هرگز : 1- فقط از حروف و یا اعداد استفاده نکنید . 2- از کلمات قابل حدس زدن استفاده نکنید . 3- اطلاعات شخصی خود را در کلمات عبور به کار نبرید . 4- از عکس کلمات استفاده نکنید . 5- کلمات عبور خود را بر روی کاغذ ننویسید . 6- و در نهایت از کلمات عبور یکسان بر روی ماشینهای مختلف استفاده نکنید . و سعی کنید که : 1- از کلماتی استفاده کنید که حداقل 8 کاراکتر طول داشته باشند 2- به علت حساسیت لینوکس به کوچکی و بزرگی حروف از ترکیب حروف بزرگ و کوچک استفاده کنید . 3- از ترکیب اعداد و حروف و کاراکترهای غیر عددی - حرفی ($,>,&,...) استفاده کنید . 4- سعی کنید کلمه عبور خود را در حافظه تان نگهداری کنید . ایجاد کلمات عبور قوی و مطمئن یک امر بسیار مهم می باشد به خصوص اگر شما مدیریت سیستمها را در یک سازمان بزرگ بر عهده داشته باشید . ایجاد کلمات عبور در یک سازمان : اگر تعداد کاربران در یک سازمان زیاد باشد ، مدیران دو انتخاب اصلی در دسترسی دارند . آنها می توانند کلمات عبور هر کاربر را ایجاد کرده و به آنها بدهند و یا اینکه به کاربران اجازه دهند کلمات عبور را خودشان بسازند . ایجاد کلمات برای کاربران ایده چندان جالبی به خصوص در سازمانهای بزرگ نیست به علاوه اینکه خطر نوشتن این کلمات بر روی کاغذ را زیاد می کند . به همین دلیل مدیران ترجیح می دهند که انجام این کار را به عهده کاربران واگذارند ، اما این کلمات را بررسی می کنند و در برخی موارد کاربران را مجبور می کنند کلمه عبور خود را در زمانهای مشخص تغییر دهند . یکی از ایده های خوب برای محافظت از شبکه در یک سازمان این است که مدیران بررسی کنند که کلمات عبور به اندازه کافی قوی باشند . زمانی که از کاربران خواسته می شود تا کلمات عبور را ایجاد کنند و یا تغییر دهند ، آنها می توانند از ابزار خط فرمانی مربوط به این کار (passwd) استفاده کنند که نتیجه به Pluggable Authentication Manager (PAM) فرستاده می شود و از طریق ماجول مربوطه (Pam_Cracklib.so) این کلمه بررسی می شود تا دقت شود که برای شکستن ساده نباشد و یا اینکه طول آن کوتاه نباشد . از آنجا که PAM قابل سفارشی سازی است ، این امکان وجود دارد تا ویژگیهای دیگری نیز به آن اضافه کنید مانند Pam_Passwdqc که در آدرس <!-- m --><a class="postlink" href="http://www.openwall.com/passwdqc">http://www.openwall.com/passwdqc</a><!-- m --> قرار دارد و یا اینکه ماجول خودتان را بنویسید . برای دیدن ماجولهای PAM موجود می توانید فهرستی از آنها را در آدرس زیر پیدا کنید : <!-- m --><a class="postlink" href="http://www.kernel.org/pub/linux/libs/pam/modules.htm">http://www.kernel.org/pub/linux/libs/pam/modules.htm</a><!-- m --> یک اقدام موثر بعد از ایجاد و چک کردن آنها در زمان ساخت ، استفاده از یک برنامه شکننده کلمات عبور بر علیه این کلمات در یک سازمان می باشد . برنامه های زیادی برای این کار در لینوکس وجود دارد . از بهترین آنها ، John the Ripper و Crack می باشند . طول عمر کلمات عبور : Password Aging یکی دیگر از تکنیک هایی است که مدیران برای دفاع علیه کلمات عبور در یک سازمان استفاده می کنند. و به این معنی است که بعد از گذشت زمان مشخص ، کاربران اعلانی مربوط به تغییر کلمه عبور دریافت می کنند . تئوری پشت این نظر این است که کاربر متناوبا کلمه عبورش را تغییر دهد تا کلمات شکسته شده برای مدت زمان مشخصی قابل استفاده باشد . دو برنامه اصلی برای این کار در لینوکس RedHat وجود دارد . دستور خط فرمانی chage و برنامه گرافیکی UserManager |
|||
2004-10-13, 03:54 PM,
ارسال : #2
|
|||
|
|||
جالب بود
Value your freedom or you will lose it, teaches history. |
|||
2004-12-19, 05:31 PM,
ارسال : #3
|
|||
|
|||
آقا چطور میشه طول عمر یه کلمهی عبور رو از طریق خط فرمان زیاد و کم کرد؟ بعد اون هشدار دهنده رو چطور میشه تنظیم کرد که یک هفته مونده و دوروز مونده به تموم شدن اون پسورد بهم هشدار بده؟ از طریق mbox خود سیستم یا اگر popup باشه بهتر!!
[ltr] $Nəvid$ In a world without any fences or walls, Who needs gates or windows ? گنو ایران | لیست مقالات فارسی گنو ایران | [/ltr] |
|||
2005-04-13, 09:41 AM,
ارسال : #4
|
|||
|
|||
مقاله بسیار جالبی بود دستتون درد نکنه
LinuX and FreeBSD are LovE and LifE we must chooose best love when we want best life So FreeBSD is great <!-- m --><a class="postlink" href="http://www.mfaridi.com">http://www.mfaridi.com</a><!-- m --> |
|||
2005-04-13, 10:34 AM,
ارسال : #5
|
|||
|
|||
خیلی جالب بود .
|
|||
2005-04-13, 02:36 PM,
ارسال : #6
|
|||
|
|||
unixi عزیز اگه ممکنه به سوال navid جواب بده ، چون واقعا سوال خوب و بجایی و احتمالا به درد خیلی از بچه ها می خوره .
البته تا یادم نرفته ، مقاله جالبی بود دستتون درد نکنه . با تشکر One Million Open Minds Never be Wrong |
|||
2005-04-13, 02:50 PM,
ارسال : #7
|
|||
|
|||
برای جلوگیری از حدس زدن پسورد میتونید در لینوکستون تعریف کنید که پس از مثلا ۳ دفعه ورود غیر موفق(پسورد غلط بده) دیگه تا یک ساعت به کاربر اجازهی لاگین داده نشه و ..این مورد و مورد بالا رو در فایل etc/login.defs/ میشه تنظیم کرد ....
[ltr] $Nəvid$ In a world without any fences or walls, Who needs gates or windows ? گنو ایران | لیست مقالات فارسی گنو ایران | [/ltr] |
|||
2005-07-18, 10:57 AM,
ارسال : #8
|
|||
|
|||
Navid نویسنده :آقا چطور میشه طول عمر یه کلمهی عبور رو از طریق خط فرمان زیاد و کم کرد؟ بعد اون هشدار دهنده رو چطور میشه تنظیم کرد که یک هفته مونده و دوروز مونده به تموم شدن اون پسورد بهم هشدار بده؟ از طریق mbox خود سیستم یا اگر popup باشه بهتر!! می تونین از سوئیچ های chage استفاده کنید ( d ,m , M ,... ) . راحتتر اینه که chage user_name رو تایپ کنید . مقادیر فعلی نمایش داده می شن و می تونید ، اگر بخوایید مقادیر جدیدی رو برای اونا وارد کنید . |
|||
|