Bom escudo não teme espada: o módulo pam_cracklib
Os administradores buscam, continuamente, novos meios para reforçar a proteção das comunicações e a manutenção da privacidade. A infraestrutura PAM-Linux provê meios para a proteção dos dados e para o reforço da privacidade. Utilizando o módulo pam_cracklib, podemos reforçar uma política de segurança.
[ Hits: 28.590 ]
Por: lourival araujo da silva em 09/08/2010
O tempo da criação
Adiantando-se ao eventual assalto às senhas dos seus usuários, o administrador pode implementar políticas de senha mais rígidas e utilizar as funcionalidades do módulo pam_cracklib para controlar o tipo de senha utilizado.
Poderá auditá-lo de forma pró-ativa e evitar os atropelos causados por senhas comprometidas. Por isso é preciso levar em conta que alguns tipos de senhas, de uso bastante comum, estão sujeitas à quebra por meio do uso de ferramentas de força bruta. Pode-se evitar formas padronizadas de senhas que facilitam a ação de interesses adversos, devemos evitar o uso de senhas fracas, tais como:
Alguns dicionários especializados, bem como uma variedade de ferramentas para auditoria de senhas, podem ser encontrados em sítios dedicados a assuntos de segurança e utilizados como base de referência para ferramentas craqueadoras. Nesse sentido, alguns pontos de passagem devem ser referidos para consulta: www.packetstormsecurity.org, ftp://ftp.fu-berlin.de/pub/unix/security/dictionaries, www.securityfocus.com.
Esses lugares nos advertem de que escolher senhas deixou de ser uma atividade trivial. E mesmo a mais improvável das escolhas parece estar presa a algum tipo de determinismo, como podemos supor, pela existência de alguns dicionários temáticos, como os seguintes:
1. literários: iliad.gz, king_arthur.gz, oz.gz, tolkien.gz;
2. línguas: british.gz, brazilian.gz, chinese.gz, english.gz,latin.gz;
3. disciplinas: ethnologue.gz,biology.gz,statistics.gz,telecom-acronyms.gz;
4. cinema: treck.gz, movie-general.gz, movie-characters.gz.
Devemos destacar que a conformidade com padrões avançados de segurança somente pode ser atestada por intermédio de mecanismos de auditoria e de execução mandatória de práticas estabelecidas. Pois se não tivermos modelos de uso estabelecido o nosso sistema de segurança torna-se inconsistente e sujeito a contínuas falhas operacionais. Vejamos como os módulos da infraestrutura PAM-Linux podem nos socorrer nessa difícil empreitada de seleção de senhas fortes.
Poderá auditá-lo de forma pró-ativa e evitar os atropelos causados por senhas comprometidas. Por isso é preciso levar em conta que alguns tipos de senhas, de uso bastante comum, estão sujeitas à quebra por meio do uso de ferramentas de força bruta. Pode-se evitar formas padronizadas de senhas que facilitam a ação de interesses adversos, devemos evitar o uso de senhas fracas, tais como:
- palavras dicionarizadas (a mudança de idioma não torna a senha mais forte);
- vocabulário técnico (senhas associadas ao tipo de atividade da organização);
- nomes de lugares e pessoas (cidades e patronímicos são facilmente dedutíveis);
- sequências numéricas ou alfabéticas (inclusive sequências aleatórias geradas pelo layout do teclado);
- personagens fictícios (literários, míticos ou imaginários); e
- palíndromos (anilina, rotor, radar).
Alguns dicionários especializados, bem como uma variedade de ferramentas para auditoria de senhas, podem ser encontrados em sítios dedicados a assuntos de segurança e utilizados como base de referência para ferramentas craqueadoras. Nesse sentido, alguns pontos de passagem devem ser referidos para consulta: www.packetstormsecurity.org, ftp://ftp.fu-berlin.de/pub/unix/security/dictionaries, www.securityfocus.com.
1. literários: iliad.gz, king_arthur.gz, oz.gz, tolkien.gz;
2. línguas: british.gz, brazilian.gz, chinese.gz, english.gz,latin.gz;
3. disciplinas: ethnologue.gz,biology.gz,statistics.gz,telecom-acronyms.gz;
4. cinema: treck.gz, movie-general.gz, movie-characters.gz.
Devemos destacar que a conformidade com padrões avançados de segurança somente pode ser atestada por intermédio de mecanismos de auditoria e de execução mandatória de práticas estabelecidas. Pois se não tivermos modelos de uso estabelecido o nosso sistema de segurança torna-se inconsistente e sujeito a contínuas falhas operacionais. Vejamos como os módulos da infraestrutura PAM-Linux podem nos socorrer nessa difícil empreitada de seleção de senhas fortes.
Páginas do artigo
1. O tempo da criação2. Palavras comprometedoras
3. Sanatório geral
4. Partículas elementares
Outros artigos deste autor
Cliente "automágico" Linux logando no domínio NT/Samba
Cliente Linux no servidor LDAP
Mudança de hábito: autenticando usuários em base de dados MySQL
Configuração "automágica" de servidor Linux PDC Samba
Leitura recomendada
Vírus em câmeras digitais: possibilidades
Ferramenta Forense de Análise de Rede (NFAT) - Xplico
Mudança de hábito: autenticando usuários em base de dados MySQL
É o hora do churrasco de... exploits! Quê?!? Não! Para churrasco e exploits, use Beef
Comentários
[1] Comentário enviado por leandromoreirati em 12/08/2010 - 11:11h
Excelente artigo hoje em dia e muito importante esse ajustes finos de acesso e de senha dos usuários, me tira uma duvida qual distro vc usou pois no debian nao tem o pacote cracklib2 ele e virtual ou se usou o debian, usou algum repositórios específico.
Att.
Leandro Moreira.
Excelente artigo hoje em dia e muito importante esse ajustes finos de acesso e de senha dos usuários, me tira uma duvida qual distro vc usou pois no debian nao tem o pacote cracklib2 ele e virtual ou se usou o debian, usou algum repositórios específico.
Att.
Leandro Moreira.
[2] Comentário enviado por araujo_silva em 12/08/2010 - 23:38h
Oi Leandro
Usei em momentos diferentes do trabalho o debian e o ubuntu 8.10. O pacote cracklib2 é do ubuntu, mas o debian possui o libcrack2, libcrack2-dev, cracklib-runtime e libpam-cracklib.
Obrigado pelas considerações e forte abraço
Att
Lourival Araújo
Oi Leandro
Usei em momentos diferentes do trabalho o debian e o ubuntu 8.10. O pacote cracklib2 é do ubuntu, mas o debian possui o libcrack2, libcrack2-dev, cracklib-runtime e libpam-cracklib.
Obrigado pelas considerações e forte abraço
Att
Lourival Araújo
[3] Comentário enviado por leandromoreirati em 13/08/2010 - 09:59h
Araujo,
Que espetaculo essas confiogurações, já defini como polica padrao no em meus servidores, so preciso encontra um repositorio com as wordlists que no debian nao tem caso possa me indicar algum fico agrdecido.
Mais uma duvida as wordlist sao para o caracklib2 ou para o pam, pois se for para o cracklib torna-se desnecessário o repositorio.
Att.
Leandro Moreira
Araujo,
Que espetaculo essas confiogurações, já defini como polica padrao no em meus servidores, so preciso encontra um repositorio com as wordlists que no debian nao tem caso possa me indicar algum fico agrdecido.
Mais uma duvida as wordlist sao para o caracklib2 ou para o pam, pois se for para o cracklib torna-se desnecessário o repositorio.
Att.
Leandro Moreira
[4] Comentário enviado por araujo_silva em 13/08/2010 - 13:20h
Prezado Leandro
Apresento as seguintes sugestões:
1. O debian dispõe das bibliotecas cracklib (libcrack2, libcrack2-dev, cracklib-rutime) as quais instalam o arquivo de configuração dos dicionários de pesquisa do módulo (/etc/cracklib/cracklib.conf), no qual está definido o caminho de pesquisa dos dicionários a serem pesquisados;
Essas pesquisas devem ser agendadas via cron, e novos dicionários devem ser instalados (/var/cache/cracklib, no debian), e anunciados via comando (update-cracklib);
2. Novos diconários podem ser encontrados nos endereços sugeridos no artigo e em http://sourceforge.net e
3. A criação de dicionários customizados pode ser realizada por meio da aplicação mkdict (http://www.math.utah.edu/~beebe/unix/m/mkdict.html), que transforma listas de palavras ascii em dicionários. A distribuição Ubuntu dispõe de forma adaptada da aplicação, separada em comandos distintos para formatar, compactar e descompactar dicionários customizados (crack_mkdict, crack_packer e crack_unpacker). O código-fonte dessas aplicações pode ser localizado e reempacotado, pois trata-se de sequencias de comandos de formatação. Como no exemplo abaixo:
http://www.opensource.apple.com/source/CrackLib/CrackLib-36064/cracklib27/util/mkdict
###########################################################################################
mkdict
#!/bin/sh
###
# This program is copyright Alec Muffett 1993. The author disclaims all
# responsibility or liability with respect to it's usage or its effect
# upon hardware or computer systems, and maintains copyright as set out
# in the "LICENCE" document which accompanies distributions of Crack v4.0
# and upwards.
###
### in case of explosion, invoke "sort" with "-T" option pointing to a lot
### of free space in a directory somewhere.
SORT="sort"
###SORT="sort -T /tmp"
cat $* |
tr '[A-Z]' '[a-z]' |
tr -cd '{COMENTARIO}12[a-z][0-9]' |
$SORT |
uniq |
grep -v '^#' |
grep -v '^$'
###########################################################################################
4. Caso seja sua intenção reforçar de forma radical a segurança do seu sistema talvez seja uma idéia interessante contratar um segurança pessoal.
atenciosamente
Lourival Araujo
Prezado Leandro
Apresento as seguintes sugestões:
1. O debian dispõe das bibliotecas cracklib (libcrack2, libcrack2-dev, cracklib-rutime) as quais instalam o arquivo de configuração dos dicionários de pesquisa do módulo (/etc/cracklib/cracklib.conf), no qual está definido o caminho de pesquisa dos dicionários a serem pesquisados;
Essas pesquisas devem ser agendadas via cron, e novos dicionários devem ser instalados (/var/cache/cracklib, no debian), e anunciados via comando (update-cracklib);
2. Novos diconários podem ser encontrados nos endereços sugeridos no artigo e em http://sourceforge.net e
3. A criação de dicionários customizados pode ser realizada por meio da aplicação mkdict (http://www.math.utah.edu/~beebe/unix/m/mkdict.html), que transforma listas de palavras ascii em dicionários. A distribuição Ubuntu dispõe de forma adaptada da aplicação, separada em comandos distintos para formatar, compactar e descompactar dicionários customizados (crack_mkdict, crack_packer e crack_unpacker). O código-fonte dessas aplicações pode ser localizado e reempacotado, pois trata-se de sequencias de comandos de formatação. Como no exemplo abaixo:
http://www.opensource.apple.com/source/CrackLib/CrackLib-36064/cracklib27/util/mkdict
###########################################################################################
mkdict
#!/bin/sh
###
# This program is copyright Alec Muffett 1993. The author disclaims all
# responsibility or liability with respect to it's usage or its effect
# upon hardware or computer systems, and maintains copyright as set out
# in the "LICENCE" document which accompanies distributions of Crack v4.0
# and upwards.
###
### in case of explosion, invoke "sort" with "-T" option pointing to a lot
### of free space in a directory somewhere.
SORT="sort"
###SORT="sort -T /tmp"
cat $* |
tr '[A-Z]' '[a-z]' |
tr -cd '{COMENTARIO}12[a-z][0-9]' |
$SORT |
uniq |
grep -v '^#' |
grep -v '^$'
###########################################################################################
4. Caso seja sua intenção reforçar de forma radical a segurança do seu sistema talvez seja uma idéia interessante contratar um segurança pessoal.
atenciosamente
Lourival Araujo
[5] Comentário enviado por leandromoreirati em 14/08/2010 - 14:32h
Araujo,
Cometi um grande erro, ao procurar as wordlist com aptitude ele nao as encontrou mas com o apt-cache encontrou numa boa.
Att.
Leandro Moreira.
Araujo,
Cometi um grande erro, ao procurar as wordlist com aptitude ele nao as encontrou mas com o apt-cache encontrou numa boa.
Att.
Leandro Moreira.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Migração de Arch Linux para repositórios CachyOS (Uso de Instruções v3 e v4)
Boas Práticas e Padrões Idiomáticos em Go e C
Vale a pena ter mais de uma interface grafica no seu Linux?
Dicas
[Resolvido] Google Chrome reclamando de perfil em uso após mudar hostname
Instalando o Tema de Ícones Tela Circle
Copiar Para e Mover Para no menu de contexto do Nautilus e Dolphin
Dotando o Thunar das opcoes Copiar para e Mover para no menu de contexto
Tópicos
Instalação Dual Boot Linux+Windows 11 (4)
No Ubuntu 26.04, sudo passou a mostrar os asteriscos ao digitar por pa... (5)
Como instalar Warsaw no Gentoo? (0)
Como insiro e excluo um elemento XML e JSON ao código Javascript (1)
Top 10 do mês
-
Xerxes
1° lugar - 125.724 pts -
Fábio Berbert de Paula
2° lugar - 64.741 pts -
Buckminster
3° lugar - 39.377 pts -
Alberto Federman Neto.
4° lugar - 33.862 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 22.850 pts -
edps
6° lugar - 21.551 pts -
Daniel Lara Souza
7° lugar - 20.753 pts -
Sidnei Serra
8° lugar - 19.485 pts -
Mauricio Ferrari (LinuxProativo)
9° lugar - 19.462 pts -
Andre (pinduvoz)
10° lugar - 15.827 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
