Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
utilisateurs:bcag2:cracklib [Le 27/07/2016, 16:41] bcag2 [Utilisation] |
utilisateurs:bcag2:cracklib [Le 28/04/2018, 11:32] (Version actuelle) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | {{tag>BROUILLON authentification sécurité pam}} | ||
+ | ---- | ||
+ | |||
+ | |||
+ | ====== Augmenter la sécurité de connexion avec pam_cracklib ====== | ||
+ | ===== Introduction ===== | ||
+ | Les bibliothèques PAM (Pluggable Authentication Modules) sont utilisées par défaut pour l'authentification des utilisateurs (et des applications) mais de "façon basique". | ||
+ | Vous pouvez (devriez) souhaitez augmenter la sécurité de votre machine en imposant des mots de passe plus complexe. La librairie pam_cracklib permet cela. | ||
+ | |||
+ | ===== Installation ===== | ||
+ | Installer la librairie par la ligne de commande suivante : | ||
+ | sudo apt-get install libpam-cracklib | ||
+ | |||
+ | ===== Utilisation ===== | ||
+ | Vous avez ensuite besoin de modifier la configuration du fichier **/etc/pam.d/common-password** : | ||
+ | |||
+ | sudo vi /etc/pam.d/common-password | ||
+ | |||
+ | Changez la configuration par ces lignes : | ||
+ | <file - /etc/pam.d/common-password> | ||
+ | password required pam_cracklib.so retry=3 minlen=6 difok=3 | ||
+ | password required pam_unix.so md5 remember=3 use_authtok | ||
+ | </file> | ||
+ | __options de la première ligne :__ | ||
+ | retry=3 indique le nombre d'essai avant de devoir relancer **passwd** (n'entraîne pas de blocage!)\\ | ||
+ | minlen=8 nombre minimum de caractères du mot de passe\\ | ||
+ | difok=3 nombre minimum de caractères différents lors qu'un changement de mot passe\\ | ||
+ | vous pouvez ajouter :\\ | ||
+ | lcredit pour obliger à utiliser des minuscules (**l**ower)\\ | ||
+ | ucredit pour obliger à utiliser des majuscules (**u**pper)\\ | ||
+ | dcredit pour obliger à utiliser des chiffres (**d**igital)\\ | ||
+ | ocredit pour obliger à utiliser d'autres caractères non-alphanumériques (**o**thers)\\ | ||
+ | \\ | ||
+ | exemple pour imposer un mot de passe d'au moins 8 caractères dont au moins une minuscule, une majuscule, trois chiffres et un caractère spécial :\\ | ||
+ | <file - /etc/pam.d/common-password> | ||
+ | password required pam_cracklib.so retry=3 minlen=8 difok=3 lcredit=1 ucredit=1 dcredit=3 ocredit=1 | ||
+ | </file> | ||
+ | |||
+ | Par défaut, pam_cracklib réaliser des vérifications telle que : | ||
+ | le nouveau mot de passe ne change que l'ordre des lettres : "password" vs. "drowssap" | ||
+ | le nouveau mot de passe ne change qu'au niveau de la case : "password" vs. "PassWord" | ||
+ | |||
+ | __options de la seconde ligne :__\\ | ||
+ | md5 permet de définir le codage pour le hachage (hash) \\ | ||
+ | remember permet de spécifier le nombre d'anciens mots de passe à mémoriser pour empêcher leur réutilisation\\ | ||
+ | use_authtok spécifier à pam_unix de ne pas réaliser ses propres vérifications du mot de passe\\ | ||
+ | |||
+ | La durée de vie des mots de passe doit être définie via la variable **PASS_MAX_DAYS** dans le fichier **/etc/login.defs** | ||
+ | |||
+ | ===== Voir aussi ===== | ||
+ | * [[/tutoriel/restrictions_horaires]]\\ | ||
+ | * **(eng)** [[http://www.deer-run.com/~hal/sysadmin/pam_cracklib.html]]\\ | ||
+ | |||
+ | //Contributeur principal : [[utilisateurs:bcag2]] // |