Même si Linux est considéré comme un système d'exploitation sécurisé, sa sécurité est tout aussi bonne que la force du mot de passe des utilisateurs connectés. Des politiques de mot de passe existent pour garantir qu'un mot de passe fort est défini pour les utilisateurs et en tant qu'utilisateur Linux, vous devez veiller à appliquer ces politiques pour rendre difficile la survenue de violations. Vous ne voulez sûrement pas que les utilisateurs configurent des mots de passe faibles ou devinables qui peuvent être brutalement forcés par des pirates en quelques secondes.
Dans cet article, nous expliquons comment appliquer les politiques de mot de passe sous Linux, plus spécifiquement CentOS et Ubuntu. Nous couvrirons l'application des politiques de mot de passe telles que la période d'expiration du mot de passe, la complexité du mot de passe et la longueur du mot de passe.
Appliquer les politiques de mot de passe dans Ubuntu/Debian
Il existe 2 façons principales d'appliquer des stratégies de mot de passe. Jetons un coup d'œil à chacun en détail.
1) Configurer le nombre maximal de jours pendant lesquels un mot de passe peut être utilisé
Pour commencer, vous pouvez configurer une politique de mot de passe qui oblige les utilisateurs à changer leurs mots de passe après un certain nombre de jours. Les meilleures pratiques dictent qu'un mot de passe doit être changé périodiquement pour tenir les utilisateurs malveillants à l'écart et leur rendre plus difficile la violation de votre système. Cela s'applique non seulement à Linux, mais également à d'autres systèmes tels que Windows et macOS.
Pour y parvenir Dans Debian/Ubuntu, vous devez modifier le fichier /etc/login.defs et être à l'affût des PASS_MAX_DAYS attribut.
Par défaut, il est défini sur 99 999 jours, comme indiqué.
Vous pouvez modifier cela à une durée raisonnable, disons, 30 jours. Définissez simplement la valeur actuelle sur 30 comme indiqué et enregistrez les modifications. A l'expiration des 30 jours, vous serez obligé de créer un autre mot de passe.
2) Configurer la complexité du mot de passe avec pam
S'assurer que le mot de passe répond à un certain degré de complexité est tout aussi crucial et contrecarre davantage toute tentative de pirates informatiques d'infiltrer votre système en utilisant la force brute.
En règle générale, un mot de passe fort doit comporter une combinaison de caractères majuscules, minuscules, numériques et spéciaux et doit comporter au moins 12 à 15 caractères.
Pour appliquer la complexité des mots de passe dans les systèmes Debian/Ubuntu, vous devez installer le package libpam-pwquality comme indiqué :
$ sudo apt install libpam-pwquality
Une fois installé, dirigez-vous vers le fichier /etc/pam.d/common-password à partir duquel vous allez définir les politiques de mot de passe. Par défaut, le fichier apparaît comme indiqué :
Localisez la ligne ci-dessous
password requisite pam_pwquality.so retry=3
Ajoutez les attributs suivants à la ligne :
minlen=12 maxrepeat=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 difok=4 reject_username enforce_for_root
La ligne entière doit apparaître comme indiqué :
Précisons ce que signifient ces directives :
- retry=3 :cette option invitera l'utilisateur 3 fois avant de quitter et de renvoyer une erreur.
- minlen=12 :Ceci spécifie que le mot de passe ne peut pas être inférieur à 12 caractères.
- maxrepeat=3 :Cela implique que seuls un maximum de 3 caractères répétés peuvent être inclus dans le mot de passe.
- ucredit=-1 :l'option requiert au moins un caractère majuscule dans le mot de passe.
- lcredit=-1 :l'option requiert au moins un caractère minuscule dans le mot de passe.
- dcredit=-1 :Cela implique que le mot de passe doit avoir au moins un caractère numérique.
- ocredit=-1 :l'option nécessite au moins un caractère spécial inclus dans le mot de passe.
- difok=3 :cela implique que seuls 3 changements de caractères maximum dans le nouveau mot de passe doivent être présents dans l'ancien mot de passe.
- reject_username :l'option rejette un mot de passe s'il se compose du nom d'utilisateur de manière normale ou inversée.
- enforce_for_root :cela garantit que les politiques de mot de passe sont respectées même si c'est l'utilisateur root qui configure les mots de passe.
Appliquer les politiques de mot de passe dans CentOS/RHEL
Pour les systèmes Debian et Ubuntu, nous avons appliqué la politique de mot de passe en apportant des modifications à /etc/pam.d/common-password fichier de configuration.
Pour CentOS 7 et autres dérivés, nous allons modifier le fichier /etc/pam.d/system-auth ou /etc/security/pwquality.conf fichier de configuration.
Alors, continuez et ouvrez le fichier :
$ sudo vim /etc/pam.d/system-auth
Localisez la ligne ci-dessous
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
Ajoutez les options dans la ligne comme indiqué.
minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
Vous finirez par avoir la ligne ci-dessous :
Une fois cela fait, enregistrez les politiques de mot de passe et quittez le fichier.
Encore une fois, lorsque vous essayez de créer un utilisateur avec un mot de passe faible qui ne respecte pas les politiques appliquées, vous rencontrerez l'erreur affichée dans le terminal.
Conclusion
Comme vous l'avez vu, l'application d'une politique de mot de passe est assez simple et constitue un excellent moyen d'empêcher les utilisateurs de configurer des mots de passe faibles qui peuvent être faciles à deviner ou sujets à des attaques par force brute. En appliquant ces politiques, vous pouvez être assuré que vous avez renforcé la sécurité de votre système et qu'il est plus difficile pour les pirates de compromettre votre système.