Um eine Linux Installation (hier Debian) abzusichern, ist einer der ersten Schritte die Passwortrichtlinien zu konfigurieren.

Die Parameter enthalten Passwortkomplexität, Mindestlänge sowie  Passwortalter (Minimum und Maximum).

1.) Als erstes ist eine zusätzliche Bibliothek zu installieren, um die Passwortkomplexität zu implementieren:

apt-get install libpam-cracklib

2.) Nun ist die Datei /etc/pam.d/common-password zu editieren:
(anbei ein Auszug, wie die Datei aussehen kann)
#
[...]
# /etc/pam.d/common-password - password-related modules common to all services
# here are the per-package modules (the "Primary" block)
password        requisite                       pam_cracklib.so minlen=8 difok=3 dcredit=-1 lcredit=-1 ocredit=-1 retry=5 ucredit=-1
password        [success=1 default=ignore]      pam_unix.so obscure use_authtok remember=10 try_first_pass sha512
# here's the fallback if no module succeeds
password        requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password        required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

Damit ist folgende Komplexität konfiguriert:

Passwortwiederholung: 5
Minimum Länge: 8
Ziffern: min 1
Kleinzeichen: min 1
Großzeichen: min 1
Sonderzeichen: min 1
Unterschied zum alten Passwort: min 3
Passworthistorie: 10

3.) Zusätzlich sind die Zugriffsrechte auf die folgende Datei zu setzen, damit die Passworthistorie korrekt implementiert ist:

chmod 0644 /etc/security/opasswd

4.) Für das Passwortalter  ist die Datei /etc/login.defs zu editieren:

[...]
PASS_MAX_DAYS   90
PASS_MIN_DAYS   1
PASS_WARN_AGE   7
[...]

5.) Damit das Passwortalter auch auf bestehende Konten angewendet wird, kommt folgender Befehl zum Einsatz:

(mit 99999 oder -1 kann der Wert auf „niemals“ gesetzt werden; -m „Mindestalter in Tagen“, -M „Maximalalter in Tagen“, -W „Warnung ab Tagen vor“, -I „Inaktiv nach Tagen über“)

chage -m 1 -M 90 -W 15 -I 15 ACCOUNTNAME

 

Share