Letysite.ru

IT Новости с интернет пространства
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Set password here

How to set password complexity on Linux

by Magesh Maruthamuthu · Last Updated: September 11, 2019

User management is one of the important task of Linux system administration.There are many aspect involved in this and implementing the strong password policy is one among them.

Navigate to the following URL, if you would like to generate a strong password on Linux.

It will Restrict unauthorized access to systems.

By default Linux is secure that everybody know. however, we need to make necessary tweak on this to make it more secure.

Insecure password will leads to breach security. So, take additional care on this.

Navigate to the following URL, if you would like to see the password strength and score of the generated strong password.

In this article, we will show you how to implement the best security policy on Linux.

We can use PAM (the “pluggable authentication module”) to enforce password policy on most Linux systems.

The file can be found in the following location.

  • Redhat based systems @ /etc/pam.d/system-auth
  • Debian based systems @ /etc/pam.d/common-password .

The default password aging details can be found in the /etc/login.defs file.

I have trimmed this file for better understanding.

Details:

  • PASS_MAX_DAYS: Maximum number of days a password may be used.
  • PASS_MIN_DAYS: Minimum number of days allowed between password changes.
  • PASS_MIN_LEN: Minimum acceptable password length.
  • PASS_WARN_AGE: Number of days warning given before a password expires.

We will show you, how to implement the below eleven password policies in Linux.

  • Password Max days
  • Password Min days
  • Password warning days
  • Password history or Deny Re-Used Passwords
  • Password minimum length
  • Minimum upper case characters
  • Minimum lower case characters
  • Minimum digits in password
  • Minimum other characters (Symbols)
  • Account lock – retries
  • Account unlock time

What Is Password Max days?

This parameter limits the maximum number of days a password can be used. It’s mandatory for user to change his/her account password before expiry.

If they forget to change, they are not allowed to login into the system. They need to work with admin team to get rid of it.

It can be set in /etc/login.defs file. Here I’m going to set it for 90 days .

What Is Password Min days?

This parameter limits the minimum number of days after password can be changed.

Say for example, if this parameter is set to 15 and user changed password today. Then he won’t be able to change the password again before 15 days from now.

It can be set in /etc/login.defs file. Here I’m going to set it for 15 days .

What Is Password Warning Days?

This parameter controls the password warning days and it will warn the user when the password is going to expires.

A warning will be given to the user regularly until the warning days ends. This helps user to change their password before expiry. Otherwise we need to work with admin team for unlock the password.

It can be set in /etc/login.defs file. Here I’m going to set it for 10 days .

Note: All the above parameters are applicable only for new accounts and not for existing accounts.

What Is Password History Or Deny Re-Used Passwords?

This parameter keep controls of the password history. Keep history of passwords used (the number of previous passwords which cannot be reused).

When the users try to set a new password, it will check the password history and warn the user when they use the same old password.

It can be set in /etc/pam.d/system-auth file. Here I’m going to set it as 5 for history of password.

What Is Password Minimum Length?

This parameter keeps the minimum password length condition. When the users set a new password, it will check against this parameter and warn the user if they try to set the password length less than that.

It can be set in /etc/pam.d/system-auth file. Here I’m going to set it for 12 character for minimum password length.

try_first_pass retry=3 : Allow users to set a good password before the passwd command aborts.

Set Minimum Upper Case Characters?

This parameter keeps, how many minimum upper case characters should be added in the password. These are password strengthening parameters ,which increase the password strength.

Читать еще:  Dword 32 бита

When the users set a new password, it will check against this parameter and warn the user if they are not including any upper case characters in the password.

It can be set in /etc/pam.d/system-auth file.Here I’m going to set it for 1 character for minimum password length.

Set Minimum Lower Case Characters?

This parameter keeps, how many lower case characters should be added in the password. These are password strengthening parameters ,which increase the password strength.

When the users set a new password, it will check against this parameter and warn the user if they are not including any lower case characters in the password.

It can be set in /etc/pam.d/system-auth file.Here I’m going to set it for 1 character.

Set Minimum Digits In Password?

This parameter keeps, how many digits should be added in the password. These are password strengthening parameters ,which increase the password strength.

When the users set a new password, it will check against this parameter and warn the user if they are not including any digits in the password.

It can be set in /etc/pam.d/system-auth file. Here I’m going to set it for 1 character.

Set Minimum Other Characters (Symbols) In Password?

This parameter keeps, how many special characters should be added in the password. These are password strengthening parameters ,which increase the password strength.

When the users set a new password, it will check against this parameter and warn the user if they are not including any Symbol in the password.

It can be set in /etc/pam.d/system-auth file. Here I’m going to set it for 1 character.

Set Account Lock?

This parameter controls users failed attempts. It locks user account after reaches the given number of failed login attempts.

It can be set in /etc/pam.d/system-auth file.

Set Account Unlock Time?

This parameter keeps users unlock time. If the user account is locked after consecutive failed authentications.

It’s unlock the locked user account after reaches the given time. Sets the time (900 seconds = 15 minutes) for which the account should remain locked.

Как выполнить сброс и смену root-пароля в MySQL

Дата публикации: 2018-11-28

От автора: базы данных MySQL известны своей безопасностью. Для того, чтобы получить права суперпользователя, необходимо ввести пароль, который был создан при установке. Но очень часто серверы с базами данных перепродаются, достаются в наследство или передаются любым другим способом. Одним их самых распространённых действий в MySQL, сброс пароля root, как раз и является. Сегодня мы расскажем о том, что такое рут-пасс, как поменять и что делать, если этот реквизит аутентификации вам неизвестен.

Что такое Рут-пароль

Если вы работали с Unix-подобными операционными системами, то термин «рут-права» вам знаком. Он значит, что пользователь получает полное управление над системой, может ее видоизменять с помощью программного кода, доустанавливать, обновлять пакеты и даже провести полную санацию ОС. В Windows тоже есть подобный режим работы, его принято называть administrator.

В Linux существует и альтернативный способ администрирования системы: чтобы не переходить к режиму superuser, можно воспользоваться командой sudo. Именно так устанавливается программное обеспечение и настраивается конфигурация операционки. К сожалению, подобного «промежуточного» режима нет в MySQL и, чтобы сменить password в базах данных, нам придется рутироваться. Это не то же самое, что рут-права в оси: все настройки происходят благодаря root в MySQL.

При установке программного обеспечения для базы данных новички часто допускают ошибки. Одной из тех, которая касается темы нашей статьи, является сеттинг слишком сложного кодового слова, либо небрежность при создании. После, разработчик сталкивается с тем, что абсолютно не помнит рут-пасса и не может произвести базовых конфигурационных действий.

JavaScript. Быстрый старт

Изучите основы JavaScript на практическом примере по созданию веб-приложения

Стандартные привилегии

Это одни из первых шагов при установке СУБД: приоритеты доступа обозначаются еще после запуска команды mysql_install_db. Инициализируются таблицы безопасности, которые обозначают стандартный порядок доступа к режиму суперпользователя. Одной из составляющих является наличие root и пароля к нему.

Как только установка MySQL завершена, получить права суперпользователя может каждый, кто подойдет к терминалу: достаточно лишь ввести нужную команду. Дело в том, что изначально в таблицах безопасности нет пасса для root, если только пользователь не задал его в процессе установки.

Тем не менее, задать пароль пользователя необходимо. Ваши базы данных – это вся информация, которая обеспечивает работу программного обеспечения, веб-приложения или другого продукта, который вы создаете. Это можно сделать через графический интерфейс MySQL Workbench либо через командную строку, что предпочтительней. Наиболее опытные предпочитают даже не строку, а непосредственно таблицы безопасности. Это немного сложнее и не стоит того, если ваша работа не связана с ними в дальнейшем. Результат не изменится в зависимости от способа.

Читать еще:  Pages d word

Заменить рут-пасс

Если вам известен пароль, то смена не создаст трудностей. Напротив, это можно сделать в несколько команд из строки.

Для начала, через безопасную оболочку Shell нужно подключится к серверу, который значится, как виртуальный. Далее, необходимо получить root права для работы с правами суперпользователя. Выглядит это так:

Set password here

Команда enable password используется для назначения локального пароля доступа в привилегированный режим консоли пользователям всех уровней привилегий. Для снятия защиты паролем привилегированного режима используется та же команда с префиксом no .

Синтаксис enable password

no enable password

password значение пароля.

Значение по умолчанию начение по умолчанию отсутствует.

Режимы команды Global configuration

Рекомендации по использованию

По команде enable password пароль задается и хранится в открытом виде. Если посмотреть конфигурацию командой show running — config , то в команде enable password пароль будет выведен в открытом виде.

По сравнению с Cisco формат данной команды сокращен, там есть возможность задать зашифрованный пароль командой enable password 7 , в которой используется некоторый обратимый алгоритм шифрования, по которому можно восстановить исходный пароль. Поэтому Cisco не рекомендует использовать эту команду, что равносильно заданию открытого пароля.

Чтобы зашифровать вводимый в открытом виде пароль, используйте команду enable secret password .

Не поддерживается также дополнительный параметр level в командах enable password и enable secret .

В cs _ console команды enable password и enable secret являются взаимозаменяемыми, т.е.ввод команды обозначает замену пароля вне зависимости от того, как он был задан ранее. Иначе говоря, ввод команды enable secret отменяет команду enable password и наоборот.

В начальной конфигурации (после инсталляции Продукта) присутствует команда:

enable password csp

Настоятельно рекомендуется сменить этот пароль на другой – лучше с помощью команды enable secret .

Если задать одну из двух команд (в данной версии Продукта они эквивалентны друг другу):

no enable password

no enable secret

это означает, что вход в привилегированный режим отключается:

· В этом случае запрещается вход в консоль непривилегированному пользователю (уровень привилегий, отличный от 15). При попытке войти в консоль, будет выдано сообщение: «Password required, but none set» (сообщение, аналогичное сообщению Cisco). После этого программа завершит работу.

· Следует соблюдать осторожность: если удалить всех привилегированных пользователей (с уровнем 15) и отключить пароль на вход в привилегированный режим, то зайти в консоль больше не удастся.

· Если при отключенном пароле на вход в привилегированный режим зайти привилегированным пользователем, затем с помощью команды disable выйти из привилегированного режима, а потом задать команду enable – будет выдано сообщение об ошибке: «% Error in authentication.» (сообщение, аналогичное сообщению Cisco). Войти в привилегированный режим в рамках данной сессии уже не удастся.

· По команде show running-config в этом случае не будут показываться команды enable password и enable secret .

Отличие данной команды от подобной команды Cisco IOS :

Не поддерживается вариант записи команды:

enable password 0 . не поддерживается.

Приведенный ниже пример демонстрирует текст команды для назначения пароля «qwerty»:

set password

1 set database password

2 set database password

См. также в других словарях:

Password strength — is a measurement of the effectiveness of a password as an authentication credential. Specifically, it estimates how many trials an attacker who does not have direct access to the password would need, on average, to correctly guess it. The… … Wikipedia

Password cracking — is the process of recovering passwords from data that has been stored in or transmitted by a computer system. A common approach is to repeatedly try guesses for the password. The purpose of password cracking might be to help a user recover a… … Wikipedia

Password synchronization — is defined as any process or technology thathelps users to maintain a single password that is subject to a singlesecurity policy, and changes on a single schedule across multiple systems.Password synchronization is an effective mechanism for… … Wikipedia

password-protected — UK US adjective IT ► involving a computer, website, etc. that you can use only if you have a password: »You can set up a password protected account, with your credit card information and mailing address. »a password protected website … Financial and business terms

Читать еще:  Что такое dword

Password (TV series) — Infobox television show name = Password caption = Password title logo, 1967 format = Game Show runtime = 30 Minutes creator = Bob Stewart, Mark Goodson Bill Todman starring = Allen Ludden country = USA rating=TV G network = CBS (1961 1967), ABC… … Wikipedia

Password policy — A password policy is a set of rules designed to enhance computer security by encouraging users to employ strong passwords and use them properly. A password policy is often part of an organization s official regulations and may be taught as part… … Wikipedia

Password — For other uses, see Password (disambiguation). A password is a secret word or string of characters that is used for authentication, to prove identity or gain access to a resource (example: an access code is a type of password). The password… … Wikipedia

Password Plus and Super Password — Infobox Television show name = Password Plus caption = Password Plus opening title. genre = Game show camera = Six cameras, later five picture format = NTSC runtime = 30 minutes (with commercials) creator = Bob Stewart developer = Mark Goodson… … Wikipedia

Password Safe — Infobox Software name = Password Safe caption = developer = latest release version = 3.14 latest release date = August 31, 2008 operating system = Microsoft Windows genre = PIM license = Artistic License website = [http://passwordsafe.sourceforge … Wikipedia

password — [ˈpɑːsˌwɜːd] noun [C] 1) a secret word or phrase that you need in order to get into a room, building, or area 2) computing a set of numbers or letters that you have to type in order to use a computer system … Dictionary for writing and speaking English

Cognitive password — A cognitive password is a form of knowledge based authentication that requires a user to answer a question, presumably something they intrinsically know, to verify their identity. Cognitive password systems have been researched for many years and … Wikipedia

Пароль enable и Секретный Пароль enable

Чтобы обеспечить дополнительную безопасность, используйте команду enable password или enable secret . Любая из этих команд может использоваться, чтобы установить аутентификацию прежде, чем получить доступ к привилегированному режиму EXEC (режиму enable).

Всегда используйте команду enable secret , а не более старую команду enable password по возможности. Команда enable secret обеспечивает большую безопасность, потому что пароль шифруется. Команда enable password может использоваться только если enable secret еще не была установлена.

Команду enable password можно использовать, если устройство использует более старую копию программного обеспечения Cisco IOS, которое не распознает команду enable secret .

Следующие команды используются, чтобы устанавливать пароли:

Router(config)#enable password пароль
Router(config)#enable secret пароль

Отметьте: Если не установлен пароль enable password или enable secret , IOS предотвращает привилегированный доступ EXEC из сеанса Telnet.

Без установки пароля посредством enable password , сеанс Telnet произвел бы следующий вывод:

Switch>enable
% No password set
Switch>

Пароль VTY

Линии vty предоставляют доступ к маршрутизатору через Telnet. По умолчанию многие устройства Cisco поддерживают пять линий VTY, которые нумеруются от 0 до 4. Пароль должен быть установлен для всех доступных линий vty. Один и тот же пароль может быть установлен для всех соединений. Однако, часто требуется, чтобы для одной из линий устанавливается уникальный пароль, чтобы обеспечить альтернативную запись при подключении администратора, если другие соединения используются.

Следующие команды применяются, чтобы установить пароль на линии vty:

Router(config)#line vty 0 4
Router(config-line)#password пароль
Router(config-line)#login

По умолчанию IOS включает команду login для линий VTY. Это предотвращает доступ Telnet к устройству без предварительной аутентификации. Если, по ошибке, устанавливается команда no login , которая удаляет требование аутентификации, неправомочные люди могут соединиться с линией, используя Telnet. Это является большой угрозой безопасности.

Шифрование Отображения Пароля

Другая полезная команда препятствует тому, чтобы пароль отображался простым текстом при просмотре конфигурационных файлов. Это команда service password-encryption .

Эта команда заставляет шифровать пароли при их конфигурации. Команда service password-encryption применяет слабое шифрование ко всем незашифрованным паролям. Это шифрование не применяется к паролям, когда они отправляются через носитель, а используется только в конфигурации. Цель этой команды состоит в том, чтобы воспрепятствовать неправомочным людям подсмотреть пароли в конфигурационном файле.

Если Вы выполняете команду show running-config или show startup-config до выполнения команды service password-encryption , незашифрованные пароли будут видимы при выводе конфигурации. Если затем выполняется service password-encryption , то шифрование будет применено к паролям. Как только шифрование было применено, удаление службы шифрования не инвертирует шифрование.

Ссылка на основную публикацию
Adblock
detector