вторник, 28 мая 2013 г.

Выполняем требования PCI-DSS по политике паролей (ubuntu)

# Устанавливаем нужную библиотеку
apt-get install libpam-cracklib

# Проверка на стойкость паролей
vim /etc/pam.d/common-password
password        required                        pam_cracklib.so retry=3 minlen=7 dcredit=-1 lcredit=-1 ocredit=0 ucredit=-1
password        sufficient                      pam_unix.so remember=4 sha512 shadow nullok try_first_pass use_authtok
password        requisite                       pam_deny.so
password        required                        pam_permit.so

retry=3     три подхода для установки нового пароля
minlen=7   требуется как минимум семь символов
dcredit=-1  как минимум одна цифра
lcredit=-1   как минимум один символ в нижнем регистре
ocredit=-1  как минимум один неалфавитный символ
ucredit=-1  как минимум один символ в верхнем регистре

# Блокировка пользователя после 3 неудачных попыток ввода пароля на 1800 сек
/etc/pam.d/common-auth
auth    required    pam_tally2.so onerr=fail deny=6 unlock_time=1800
auth    [success=1 default=ignore]      pam_unix.so nullok_secure
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

/etc/pam.d/common-account
account required pam_tally2.so
account [success=1 new_authtok_reqd=done default=ignore]        pam_unix.so
account requisite                       pam_deny.so
account required                        pam_permit.so

просмотр заблокированных
pam_tally2
faillog

разблокировать
pam_tally2 -u rfedorov -r

# Уменьшаем срок действия пароля
vim /etc/login.defs
ENCRYPT_METHOD SHA512
PASS_MAX_DAYS 90
PASS_WARN_AGE 14
LOGIN_RETRIES 6
LOGIN_TIMEOUT 1800

# Настраиваем сетевые параметры
vim /etc/sysctl.conf

net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_syncookies=1
net.ipv4.ip_forward=0

net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.defualt.send_redirects = 0

net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

net.ipv4.icmp_echo_ignore_broadcasts = 1

Комментариев нет:

Отправить комментарий