Bedre sikkerhed med Linux-PAM, del 2.

Jeg skrev kort om valg af sikre adgangskoder i første del af Linux-PAM artiklen. Her kigger vi nærmere på to andre PAM moduler, der under de rigtige omstændigheder også forbedrer sikkerheden.

Historik
Det er muligt at slå password historik til, så en bruger ikke kan genbruge sine tidligere adgangskoder. Dette ser man ofte i Windows miljøer, hvor brugerne bliver tvunget til at finde på nye koder, men det er også muligt under Linux (og andre Unix’er der bruger PAM). For at dette virker, skal pam_unix.so modulet, have en fil, hvor den kan gemme og sammenligne gamle adgangskoder, så den opretter vi:

touch /etc/security/opasswd
chown root:rot /etc/security/opasswd
chmod 600 /etc/security/opasswd

Herefter skal vi ændre i /etc/pam.d/common-password filen, så linien med pam_unix.so, og fortælle at vi skal huske på de 24 (f.eks) sidste adgangskoder:

password required pam_unix.so      md5 remember=24 use_authtok

Login Forsøg
Med pam_tally.so modulet, er det muligt at låse brugere ude af systemet, hvis de taster deres adgangskode forkert et hvis antal gange.

auth        required      pam_tally.so onerr=fail magic_root
account     required      pam_tally.so deny=4 magic_root reset

Der er både fordele og ulemper med ovenstående teknikker og det er ikke sikkert at sikkerheden i sidste ende bliver forbedret. Stiller man for store krav til sine brugere, når de skal vælge adgangskoder, så ender det ofte med at koden står på en gul seddel siden af skærmen.