[РЕШЕНО]Парольная политика безопасности

Доброе время суток всем. Передо мною стоит задача разобраться в парольной политике безопасности, необходимо настроить систему так чтобы минимальная длинна пароля была 8 символов и содержала большие, маленькие буквы, а также цифры, необходимо чтобы при не выполнении данных условий система ругалась и не принимала пароль если он не соответствует данным требованиям. Также необходимо чтобы пароль менялся каждые 90 дней и чтобы все рабочии сессии блокировались при прохождении некоторого времени, еще необходимо чтобы при некотором кол-ве ошибочных вводов паролей блокировалась учетная запись на некоторое время.
Как я понял,то все это можно сделать силами PAM, кто нибудь может направит на путь истинный или подскажет что читать?

man pam_cracklib И вообще

man pam_cracklib

И вообще рекомендую вдумчиво почитать сценарии в /etc/pam.d/ с последующим изучением соответствующих страниц руководства.

:wq
--
Live free or die

Anarchist написал(а): man

Anarchist написал(а):
man pam_cracklib

И вообще рекомендую вдумчиво почитать сценарии в /etc/pam.d/ с последующим изучением соответствующих страниц руководства.

Спасибо за то что направил куда рыть!
Я вот в инете нарыл еще что некоторое из того что я описал можно сделать в файле /etc/login.defs, но почему то у меня не получается, например то чтобы учетка блокировалась после трех неудачных попыток, почему ты не можешь подсказать?

Не надейся :)

Страницу руководства прочитал?
Логирование настроил?
Логи читал?

ЗЫ: Уже придумал каким образом будешь насаждать Новый Порядок (воя будет...)? :)
И ты уверен, что естественное следствие в виде "пароля на бумажке, приклеенного к монтирору" лучше?
[Мечтательно] Тебя бы мне на дрессировку по описанной тобой прогрессивной методике :))) И не забудь о необходимости сверки по истории (чтобы пользователь не мог задавать циклически пароли из списк в три-четыре позиции).

:wq
--
Live free or die

/

Anarchist написал(а):
И ты уверен, что естественное следствие в виде "пароля на бумажке, приклеенного к монтирору" лучше?

Когда практика и теория сталкиваются, побеждает всегда практика. Linus Torvalds
...бумажки, приклеенные к монитору, 321123qwerty123321 (который через 90 дней меняется на 123321ytrewq321123) и т.д.

Anarchist

Anarchist написал(а):
Страницу руководства прочитал?
Логирование настроил?
Логи читал?

ЗЫ: Уже придумал каким образом будешь насаждать Новый Порядок (воя будет...)? :)
И ты уверен, что естественное следствие в виде "пароля на бумажке, приклеенного к монтирору" лучше?
[Мечтательно] Тебя бы мне на дрессировку по описанной тобой прогрессивной методике :))) И не забудь о необходимости сверки по истории (чтобы пользователь не мог задавать циклически пароли из списк в три-четыре позиции).

Страницу еще не прочитал:) прости Ак Барс поддерживал :)))
Если честно то это мне такое задание дали:)) вот как раз настроить логирование парольную политику:)))
А на воспитание я не против:))) учиться всегда готов у гуру:) только лишь бы ставили задачи мне:)

и еще USE=+"passwdqc

и еще
USE=+"passwdqc cracklib"sys-auth/pambase
не только длину пароля, но и стойкость к подбору :)
возможно, будете удивлены, что пароли, которые вы считали надежными, будут признаны ненадежными :)

P.S.: Linux - это красная таблетка :-) Windows - синяя...

Aladdin написал(а): и

Aladdin написал(а):
и еще
USE=+"passwdqc cracklib"sys-auth/pambase
не только длину пароля, но и стойкость к подбору :)
возможно, будете удивлены, что пароли, которые вы считали надежными, будут признаны ненадежными :)

Не...
Сначала equery u sys-auth/pambase
Потом echo "sys-auth/pambase passwdqc cracklib" >> /etc/portage/package.use
И наконец emerge -avDN sys-auth/pambase

ЗЫ: И побольше-побольше-побольше репрессивных мер!!!

:wq
--
Live free or die

Anarchist

Anarchist написал(а):
Aladdin написал(а):
и еще
USE=+"passwdqc cracklib"sys-auth/pambase
не только длину пароля, но и стойкость к подбору :)
возможно, будете удивлены, что пароли, которые вы считали надежными, будут признаны ненадежными :)

Не...
Сначала equery u sys-auth/pambase
Потом echo "sys-auth/pambase passwdqc cracklib" >> /etc/portage/package.use
И наконец emerge -avDN sys-auth/pambase

ЗЫ: И побольше-побольше-побольше репрессивных мер!!!

ну как бы сказать мене надо общую инструкцию сделать:) не только для генты! но обязательно пороюсь :) спасибо за помощь ВСЕМ!

Anarchist

Anarchist написал(а):
И наконец emerge -avDN sys-auth/pambase

Грешите товарищь ;)
emerge -avDN --oneshot sys-auth/pambase

Working on Gentoo Linux for Asus P535 and Qtopia :-)

oleg_kaa

oleg_kaa написал(а):
Anarchist написал(а):
И наконец emerge -avDN sys-auth/pambase

Грешите товарищь ;)
emerge -avDN --oneshot sys-auth/pambase

Справедливое замечание.
Единичку забыл.

:wq
--
Live free or die

Помогите пожалуйста, почему в

Помогите пожалуйста, почему в Генту если в файле /etc/pam.d/system-auth будет строка

 password  required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8

то пароли не принимаются, если они не соответствуют требованиям, а вот пробую в OPENSUSE туже строку поставить в файл /etc/pam.d/common-password , то у меня при задании пароля ругается что пароль короткий или еще что нить, но он его принимает в качестве нового?

.

marat04 написал(а):
Помогите пожалуйста, почему в Генту если в файле /etc/pam.d/system-auth будет строка

 password  required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8

то пароли не принимаются, если они не соответствуют требованиям, а вот пробую в OPENSUSE туже строку поставить в файл /etc/pam.d/common-password , то у меня при задании пароля ругается что пароль короткий или еще что нить, но он его принимает в качестве нового?

Потому что указанная строчка ещё не есть весь скрипт.
Полагаю, дело в onerr (On Error) действии.

ЗЫ: Сьюзи здесь является оффтопиком ;)

:wq
--
Live free or die

Anarchist

Anarchist написал(а):
marat04 написал(а):
Помогите пожалуйста, почему в Генту если в файле /etc/pam.d/system-auth будет строка

 password  required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8

то пароли не принимаются, если они не соответствуют требованиям, а вот пробую в OPENSUSE туже строку поставить в файл /etc/pam.d/common-password , то у меня при задании пароля ругается что пароль короткий или еще что нить, но он его принимает в качестве нового?

Потому что указанная строчка ещё не есть весь скрипт.
Полагаю, дело в onerr (On Error) действии.

ЗЫ: Сьюзи здесь является оффтопиком ;)

А можно поподробнее пожалуйста, в man pam_cracklib про onerr ничего не написано, ну по крайней мере ничего не нашел?

?

0
1

taaroa

taaroa написал(а):
0
1

Спасибо, за ссылки,но это не ответ на мой вопрос.

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".