[ Pobierz całość w formacie PDF ]

środków, które należy zastosować w Linuksie. W podrozdziale zostaną przedstawione
niektóre dobre praktyki dotyczące używania haseł, śledzenia aktywności systemu poprzez
obserwację plików dzienników zdarzeń oraz komunikacji z innymi systemami za pomocą
bezpiecznej powłoki (ssh).
Używanie zabezpieczenia w postaci hasła
Zabezpieczanie hasłem jest podstawowym sposobem zapewnienia bezpieczeństwa każdego
nowoczesnego systemu operacyjnego i jednocześnie najczęściej atakowaną funkcją bez-
pieczeństwa. Naturalne jest, że użytkownik stara się wybrać hasło najłatwiejsze do zapa-
miętania, ale często oznacza to, że tak wybrane hasło jest łatwe do odgadnięcia. Crackerzy
doskonale wiedzą, że w dowolnym systemie posiadającym więcej niż tylko kilku użytkow-
ników przynajmniej jeden z nich zastosuje łatwe do odgadnięcia hasło.
Rozdział 6. Bezpieczeństwo systemu Linux 247
Poprzez użycie metody  brutalnej siły do próby zalogowania się na każdym koncie
systemu i wypróbowanie na każdym z nich najczęściej stosowanych haseł wytrwały cracker
ma dużą szansę osiągnięcia celu. Należy pamiętać, że cracker zautomatyzuje taki atak,
więc niewykluczone są tysiące prób zalogowania. Oczywiste staje się, że wybór dobrego
hasła jest pierwszym i najważniejszym krokiem podczas zabezpieczania systemu.
Poniżej przedstawiono listę elementów, których należy unikać podczas ustalania hasła:
Nie należy używać żadnych odmian loginu lub pełnego imienia i nazwiska. Nawet
jeśli zostanie zróżnicowana wielkość liter, dołączony znak interpunkcyjny lub liczba
bądz zapis wspak, to takie hasło wciąż pozostaje łatwe do odgadnięcia.
Nie należy używać słowa słownikowego, nawet jeśli zostanie uzupełnione o cyfry
lub znaki interpunkcyjne.
Nie należy używać jakichkolwiek poprawnych nazw.
Nie należy używać kolejnych liter lub cyfr na klawiaturze (na przykład  qwerty
lub  asdfg ).
Wybór dobrego hasła
Dobrym sposobem wyboru silnego hasła jest użycie pierwszej litery każdego słowa z łat-
wego do zapamiętania zdania. Takie hasło staje się jeszcze lepsze po dodaniu cyfr, znaków
interpunkcyjnych i zróżnicowaniu wielkości liter. Wybrane zdanie powinno posiadać zna-
czenie tylko dla użytkownika i nie powinno być publicznie dostępne (dlatego też wybór
zdania ze swojej strony internetowej jest wyjątkowo złym pomysłem). W tabeli 6.1 zostały
przedstawione przykłady silnych haseł oraz podpowiedzi ułatwiających zapamiętanie
tych haseł.
Tabela 6.1. Propozycje dobrych haseł
Hasło Jak je łatwo zapamiętać?
Mzsmj7l!
Mój zardzewiały samochód ma już 7 lat!
2stZp1jl
2 słonie to ZAY pomysł, 1 jest lepszy
CtMp?Omgzp
Czy to MÓJ pÅ‚aszcz? Oddaj mi go z powrotem
Powyższe hasła przypominają bełkot, ale w rzeczywistości są stosunkowo łatwe do zapa-
miętania. Jak widać, nacisk został położony na słowa, które w haśle są przedstawiane za
pomocą wielkich liter. Ustawienie hasła odbywa się za pomocą polecenia passwd. Po
wydaniu polecenia passwd z poziomu powłoki użytkownik będzie mógł zmienić hasło.
W pierwszej kolejności nastąpi wyświetlenie pytania o dotychczasowe hasło. Aby zmo-
bilizować użytkownika do zapamiętania hasła oraz uniemożliwić jego poznanie innym
użytkownikom, którzy mogliby ewentualnie  spoglądać mu przez ramię , wpisywane hasło
nie będzie wyświetlane na ekranie.
Zakładając, że dotychczasowe hasło zostanie podane prawidłowo, następnym krokiem pole-
cenia passwd będzie pytanie o nowe hasło. W trakcie wpisywania nowego hasła polecenie
passwd używa biblioteki cracklib w celu określenia, czy podawane hasło jest dobre, czy złe.
248 Część II Linux w praktyce
Użytkownik, który nie jest użytkownikiem root, zostanie poproszony o podanie innego
hasła, jeśli wprowadzone nie zostanie uznane za dobre.
Użytkownik root jest jedynym użytkownikiem, który może użyć złego hasła. Po zaakcep-
towaniu hasła przez bibliotekę cracklib polecenie passwd prosi o ponowne podanie hasła,
aby upewnić się, że nie popełniono pomyłki (którą trudno wychwycić, gdy podawane hasło
nie jest widoczne na ekranie). Kiedy użytkownik działa jako root, może zmienić hasło
dowolnego użytkownika, podając nazwę użytkownika jako parametr polecenia passwd,
na przykład:
# passwd janek
Changing password for user janek.
New UNIX password: ********
Retype new UNIX password: ********
passwd: all authentication tokens updated successfully.
W powyższym przykładzie wykonania polecenia passwd dla użytkownika janek trzeba
dwukrotnie podać nowe hasło. W tym przypadku nie jest wyświetlane pytanie o podanie
dotychczasowego hasła. W ten sposób root może wyzerować hasło użytkownika, gdy
użytkownik je zapomni (a zdarza się to zbyt często).
Korzystanie z pliku haseł shadow
We wczesnych wersjach systemu Unix wszystkie informacje dotyczące kont użytkowników
oraz ich haseł były przechowywane w pliku możliwym do odczytania przez wszystkich
użytkowników (chociaż tylko root miał uprawnienia modyfikacji tego pliku). Takie roz- [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • drakonia.opx.pl