محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

pam cracklib.so چیست ؟ بررسی کاربرد فایل cracklib در PAM

خوب قبلا در خصوص ماهیت PAM و کاربردهای آن در لینوکس و بحث احراز هویت صحبت کردیم . یکی از ماژولهای معروف PAM ماژولی به نام cracklib است که شما برای آزمون بین المللی LPIC و البته بحث تنظیمات امنیتی پسورد به آن احتیاج پیدا خواهید کرد . کاربرد واقعی cracklib بررسی کردن پسوردهای کاربران برای جلوگیری از حملات Dictionary است . به زبان ساده این ماژول است که بررسی می کند پسورد شما ساده است یا خیر ، پسورد شما از کلمات ساده انتخاب شده است یا دارای پیچیدگی ساختاری است و کرک کردن آن سخت است . اگر در ویندوز با Group Policy آشنایی داشته باشید ، می توانیم بگوییم که به نوعی فایل cracklib.so همان کار Password Must Meet Complexity را انجام می دهد که در ویندوز در قسمت Account Settings و Password Policy گروپ پالیسی می بینیم .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

همانطور که می دانید ساختار احراز هویتی PAM بصورت stack یا پشته است ، یعنی قدم به قدم و بالا به پایین موارد احراز هویتی بررسی می شوند تا یک کاربر احراز هویت شود و cracklib.so نیز یکی از این ماژول ها است که در یکی از Stack ها قرار می گیرد . وقتی از این ماژول در لینوکس استفاده کنیم ، به محض اینکه کاربر پسورد خودش را وارد کرد ، پسورد بر اساس قوانینی که در فایل این ماژول نوشته شده است برای بررسی ضعیف بودن چک می شود و اگر تشخیص داده شود که پسورد ضعیف است اجازه لاگین به کاربر داده نمی شود.

وقتی پسوردی در سیستم لینوکسی زده می شود ، این ماژول ابتدا بررسی می کند که طول پسورد چقدر است ، اگر طول پسورد مناسب بود سپس پیچیدگی آن بررسی می شود و به همین ترتیب تا اگر همه مراحل کامل شد احراز هویت انجام می شود .هر موقع این ماژول در PAM فراخوانی شود یعنی می خواهیم درجه سختی و پیچیدگی و البته قدرت یک پسورد را آزمایش کنیم .

نویسنده : محمد نصیری

منبع : جزیره لینوکس و متن باز وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات