Quando gestiamo apparecchiature e utenti, senza dubbio, una delle configurazioni di cui dobbiamo tenere conto è quella relativa alla sicurezza e questo include fattori come:
- Protezione dati
- Accesso sicuro
- Politiche complesse per le password
- Autorizzare gli utenti responsabili, tra gli altri
Uno dei temi che oggi è più delicato e che molte persone non tengono in considerazione è quello relativo alle password poiché molti implementano password molto facili da decifrare e in questo modo gli utenti con cattive intenzioni possono accedere al sistema e apportare modifiche non autorizzate .
In questa occasione vedremo come possiamo costringere gli utenti a creare password complesse e robusto nel sistema e in questo modo aumentare significativamente la sicurezza del sistema utilizzando il Utilità PAM.
Cos'è PAMPAM - Pluggable Authentication Mode è fondamentalmente un meccanismo di autenticazione centralizzato per vari utenti in ambienti Linux.
Utilizzando PAM possiamo implementare i seguenti miglioramenti a livello di password:
- Forza la password per includere un numero specifico di lettere minuscole.
- Forza la password per includere un numero specifico di lettere maiuscole.
- Forza la password per includere un numero specificato di cifre.
- Consenti alla password di includere alcuni caratteri speciali.
- Consenti un numero specificato di tentativi falliti prima di visualizzare un messaggio sulla lunghezza minima consentita, ecc.
1. Installazione di PAM su Linux
Per questa analisi utilizzeremo PAM in un ambiente Ubuntu 16.04. Il comando che dobbiamo inserire per l'installazione di PAM è il seguente:
sudo apt-get install libpam-cracklibNotaIn alcuni casi PAM è già installato di default e vedremo un messaggio associato al fatto che il pacchetto linbpam non può essere localizzato, altrimenti si procede con il download e la rispettiva installazione.
2. Configurazione del pacchetto Libpam
Una volta installato o verificato che PAM esiste già sul nostro computer Linux nel seguente percorso vedremo tutti i file associati a PAM:
ecc / pam.dPossiamo usare il seguente comando per visualizzare le opzioni che si trovano all'interno di questo percorso.
cd /etc/pam.d e poi usa ls per vedere il contenuto.
I file che dobbiamo configurare si trovano nel percorso:
/etc/pam.d/password-comuneE quindi prima di apportare qualsiasi modifica copieremo detto file utilizzando quanto segue:
sudo cp /etc/pam.d/common-password / root /Finiranno per essere copiati e si procederà alla loro modifica.
3. Modifica del file della password comune
Possiamo usare l'editor che vogliamo (vi o nano) per modifica il file della password comune, per questo possiamo inserire quanto segue:
sudo nano /etc/pam.d/common-passwordVedremo la seguente finestra:
Una volta visualizzata questa finestra, troveremo la seguente riga:
richiesta password pam_cracklib.so retry = 3 minlen = 8 difok = 3Lì possiamo utilizzare i seguenti criteri per creare una password forte e sicura:
lcreditoCon questa opzione definiamo la quantità di lettere minuscole che devono essere incluse
minlenQuesta opzione ci permette di definire la dimensione minima della password
dcreditUsando questa alternativa definiamo il numero di cifre da aggiungere
accreditareQuesta opzione ci permette di definire la quantità di lettere maiuscole da aggiungere
creditoCi permette di definire la quantità di numeri da aggiungere
difokUsando questa alternativa possiamo definire il numero di caratteri speciali che avrà la password
Per configurare questi parametri dobbiamo aggiungere questi valori manualmente sotto la riga:
richiesta password pam_cracklib.so retry = 3 minlen = 8 difok = 3Ad esempio possiamo impostare i seguenti valori:
richiesta password pam_cracklib.so try_first_pass retry = 3 minlength = 10lcredit = -2 ucredit = -1 dcredit = -1 ocredit = -1 difok = 3
In questo modo configuriamo quanto segue:
- Dimensione minima della password 10 caratteri
- Minimo una lettera minuscola
- Almeno una lettera maiuscola
- Una cifra deve essere all'interno della password
- La password deve includere un numero
- Devono essere presenti almeno 3 caratteri speciali
Salviamo le modifiche utilizzando la combinazione di tasti Ctrl + O e usciamo dall'editor usando i tasti Ctrl + X.
4. Convalidare l'uso di PAM in Ubuntu
Una volta configurati i rispettivi parametri, effettueremo la convalida del cambio password inserendo il comando passwd. Se proviamo a inserire una password che non soddisfa la lunghezza o uno dei parametri indicati, vedremo quanto segue:
Se aggiungiamo caratteri diversi e proviamo più di tre volte a fare la modifica (abbiamo stabilito che il numero massimo di tentativi è 3) vedremo quanto segue:
5. Parametri PAM da considerare
PAM offre vari moduli di funzionalità che ci aiutano a migliorare le politiche di sicurezza a livello di password e questi sono:
Funzioni dell'accountQuesti moduli hanno il compito di definire se l'account a cui si accede dispone dei permessi per tutte le risorse dell'apparecchiatura e del sistema.
Funzioni di autenticazioneQuesto modulo è responsabile della convalida delle credenziali dell'utente.
Funzioni di sessioneQuesti moduli sono responsabili della stabilizzazione dell'ambiente di accesso e disconnessione dell'utente.
Funzioni passwordQuesto modulo si occupa di aggiornare tutti i parametri della password.
Abbiamo visto come PAM ci aiuta a migliorare i livelli di sicurezza delle nostre apparecchiature stabilire diverse condizioni per stabilirli.