Книга: Linux глазами хакера
14.10.3. Защита
14.10.3. Защита
Защиты от подбора пароля в принципе нет и не может быть. Если хакер получит доступ к файлу /etc/shadow, то можно считать, что пароль у него в руках. Но если следовать следующим правилам, то можно избежать взлома:
? меняйте пароли каждый месяц. Если хакер взламывает систему удаленно, то это может сделать подбор невыполнимым. Если взлом происходит локально, то пока хакер подберет пароль, он уже изменится;
? проверяйте свои пароли на стойкость от подбора по словарю. Если найдено несоответствие критерию, заставьте пользователя сменить пароль;
? устанавливайте сложные и длинные пароли, чтобы подбор по словарю стал невозможным;
? защищайте файл /etc/shadow. Если файл /etc/passwd нужен для чтения всем пользователям для нормальной работы множества утилит, то /etc/shadow необходимо охранять всеми возможными средствами;
? следите за журналом безопасности на предмет появления большого количества записей о неверном входе в систему.
Соблюдая эти правила, вы понизите вероятность взлома вашей системы методом перебора паролей.
В разд. 2.6 мы говорили о необходимости создания сложных паролей и рассмотрели некоторые рекомендации по этому вопросу. А сейчас я хочу предложить вам для этого еще один интересный метод:
? создайте файл pass.txt с текстом, который нужно использовать в качестве пароля, например: echo "password" >> pass.txt;
? шифруем файл с помощью OpenSSL. Для этого выполняем команду: openssl des -in pass.txt -out pass.txt.s. Ключ, который запросит программа для шифрования, не имеет значения, можно даже использовать слово password;
? просмотрите содержимое файла pass.txt.s. В нем будет зашифрованный текст, который вы записали в файл pass.txt. Выберите читаемые символы и используйте их в качестве пароля. Такое нарочно не придумаешь, поэтому программы подбора по словарю будут бессильны, останется только полный перебор.
Отличным методом защиты от удаленного подбора может быть модульная аутентификация, которую мы рассматривали в разд. 3.3. Среди РАМ есть очень удобный в защитных целях модуль /lib/security/pam_tally.so. Он позволяет блокировать доступ после определенного количества попыток входа в систему. Рассмотрим использование модуля на примере авторизации в Linux, настройки которой находятся в файле /etc/pam.d/login. Для ограничения попыток ввода паролей добавим в этот файл следующую строку:
account required /lib/security/pam_tally.so deny=5 no_magic_root
В качестве аргумента модулю передается параметр deny, который равен 5. Это значит, что после этого количества попыток учетная запись блокируется. Число 5 является наиболее оптимальным. Меньшие значения приведут к проблемам, когда пользователи по несколько раз ошибаются при вводе своего пароля. Ну а если пяти попыток не хватило исправиться или вспомнить пароль, то далее идет уже подбор случайным образом, что надо запретить.
Оглавление книги
- Раздел VII Левиафан в Сети: защита права на тайну частной жизни после событий 2013 г.
- Глава 2 Нарушение и защита информационных систем
- Глава 4 Защита информации в компьютерных системах
- 4.7. Защита служб
- 4.13.4. Дополнительная защита
- Часть II Защита электронной почты
- 9.5.4. Защита сети
- 13.6. Защита резервных копий
- 14.1.4. Защита рабочего места
- 14.5.5. Защита от прослушивания
- 14.6.8. Защита от DoS
- 14.12.6 Защита паролей