nixp.ru v3.0

26 мая 2017,
пятница,
08:45:55 MSK

DevOps с компанией «Флант»
Аватар пользователя Curu3MyHg
Curu3MyHg написал 10 апреля 2007 года в 08:34 (468 просмотров) Ведет себя как мужчина; открыл 41 тему в форуме, оставил 896 комментариев на сайте.

Народ.

Подскажите, плиз, какую страницу Эви Немет надо открыть, или что вообще прочитать..

Хочу жёстко ограничить сложность пароля. Чтобы всякие несознательные товарищи, оправдываясь тем, что «всё ж зафаерволлено, какая разница?», не ставили себе трёхбуквенные пароли, имея доступ по ssh.

Простые стандартные предупреждения не работают. :) Нужно именно жёстко задать количество символов и заставить использовать спецсимволы.

Anarchist

Вообще-то первым здесь должна идти дрессура пользователей.

Ибо обратной стороной слишком сложных (для наличного желания утруждать память) является запись паролей на бумажках, что тоже совсем не есть гуд.

Под заданные критерии подходит автоматическое задание паролей (вслепую из скрипта) сгенерённых утилиткой типа pwgen.

И уведомительный характер взаимодействия с пользователями.

В плюсе — возможность автоматической перегенерации паролей (по истечении срока жизни) с запуском по cron’у.

ЗЫ: В приницпе в состав стандартного дистрибутива Linux включён механизм проверки качества (длина и набор символов) пароля перед заданием.

Так что: Get the force, read the source.

fly4life
Curu3MyHg
Народ.

Подскажите, плиз, какую страницу Эви Немет надо открыть, или что вообще прочитать..

Хочу жёстко ограничить сложность пароля. Чтобы всякие несознательные товарищи, оправдываясь тем, что «всё ж зафаерволлено, какая разница?», не ставили себе трёхбуквенные пароли, имея доступ по ssh.

Простые стандартные предупреждения не работают. :) Нужно именно жёстко задать количество символов и заставить использовать спецсимволы.

man pam_cracklib

Anarchist

http://www.cyberciti.biz/tips/linux-check-passwords-against-a-dictionary-attack.html

Curu3MyHg
Anarchist
http://www.cyberciti.biz/tips/linux-check-passwords-against-a-dictionary-attack.html

Гы.

А всё это, оказывается, уже проделано в дистрибутиве и без моего участия. )

Я под обычным юзверем как-то не попробовал. )

Жаль только, что у рута по по прежнему есть возможность задавать такие пароли пользователям.. Вот если бы совсем запретить эти вещи проделывать стандартным passwd..

Dr. Evil

root — самый умный пользователь. решение о создании определенного пароля должен принимать сам.

если трудно придумывать пароли, то скачай генератор какой-нибудь.

Anarchist
Curu3MyHg
Гы.

А всё это, оказывается, уже проделано в дистрибутиве и без моего участия. )

Я под обычным юзверем как-то не попробовал. )

Об чём и речь.

Curu3MyHg
Жаль только, что у рута по по прежнему есть возможность задавать такие пароли пользователям.. Вот если бы совсем запретить эти вещи проделывать стандартным passwd..

А ты ликвидируй этого самого root’а :)

Curu3MyHg
Dr. Evil
если трудно придумывать пароли, то скачай генератор какой-нибудь.

Это не мне трудно придумывать пароли. )

У нас не такая маленькая контора, админов в сумме три штуки, рут, на всякий случай, нужен всем, мало ли кто в Москву соберётся пива попить. ;)

И, по ходу дела, порядок только мне и нужен..

Anarchist
А ты ликвидируй этого самого root’а :)

Абсолютный sudo на всё? )

В стиле Убунты? )

Anarchist
Curu3MyHg
Абсолютный sudo на всё? )

В стиле Убунты? )

Убунту не видел.

Абсолютное понимание кто что делает и за что отвечает.

И соответственно — никаких лишних прав у раздолбаев.

ЗЫ: Хотя при правильной организации даже простой пароль является неплохой защитой.

См. концепцию PIN для мобильных телефонов).