Passw�rter werden von Red Hat Enterprise Linux als Hauptmethode zur �berpr�fung der Benutzeridentit�t eingesetzt. Aus diesem Grund ist die Passwortsicherheit von erheblicher Bedeutung zum Schutz des Benutzers, der Workstation und dem Netzwerk.
Aus Sicherheitsgr�nden konfiguriert das Installationsprogramm das System so, dass ein Message-Digest Algorithm (MD5) und Shadow-Passw�rter verwendet werden. Es wird dringend geraten, diese Einstellungen nicht zu ver�ndern.
Wenn Sie die MD5-Passw�rter w�hrend der Installation deaktivieren, wird das �ltere Data Encryption Standard (DES) Format verwendet. Dieses Format beschr�nkt Passw�rter auf 8 alphanumerische Zeichen (Satzzeichen und andere Sonderzeichen sind nicht erlaubt) und bietet bescheidene 56-bit Verschl�sselung.
Wenn Sie Shadow-Passw�rter w�hrend der Installation deaktivieren, werden alle Passw�rter als One-Way-Hash in der allgemein lesbaren Datei /etc/passwd hinterlegt, was das System f�r Cracker-Attacken offline anf�llig macht. Erlangt ein Eindringling Zugang zum Computer als normaler Benutzer, kann dieser die Datei /etc/passwd auf seinen eigenen Rechner kopieren und eine beliebige Anzahl Passwort-Knack-Programme dar�ber laufen lassen. Befindet sich ein unsicheres Passwort in der Datei, ist es nur eine Frage der Zeit, bis diese vom Passwort-Cracker gefunden wird.
Shadow-Passw�rter machen diese Art von Angriff unm�glich, da die Passwort-Hashes in der Datei /etc/shadow gespeichert werden, die nur vom root-Benutzer gelesen werden kann.
Dies zwingt einen m�glichen Angreifer, Passw�rter von au�en �ber ein Netzwerkdienste auf dem Rechner wie zum Beispiel SSH oder FTP zu knacken. Diese Art Angriff ist wesentlich langsamer und hinterl�sst offensichtliche Spuren, da hunderte von gescheiterten Log-In Versuchen in Systemdateien aufgezeichnet werden. Wenn jedoch der Cracker eine Attacke mitten in der Nacht startet und Sie �ber schwache Passw�rter verf�gen, hat der Angreifer eventuell Zugang noch vor Morgengrauen.
Ein weiteres Problem �ber Format und Speicherung hinaus ist Inhalt. Das wichtigste, was ein Benutzer tun kann, um seinen Account gegen eine Passwort-Attacke zu sch�tzen, ist das Erstellen eines sicheren Passwortes.
4.3.1. Erstellen sicherer Passw�rter
Beim Erstellen von Passw�rtern ist es hilfreich, die folgenden Richtlinien zu befolgen:
Was Sie nicht tun sollten:
Verwenden Sie nicht nur W�rter oder Zahlen — Sie sollten f�r ein Passwort nicht nur W�rter oder nur Zahlen verwenden.
Hier einige Beispiele f�r schlechte Passw�rter:
8675309
juan
hackme
Verwenden Sie keine erkennbaren W�rter — W�rter wie Namen, im W�rterbuch stehende W�rter oder Begriffe aus Fernsehsendungen oder Romanen sollten vermieden werden, auch wenn diese am Ende mit Zahlen versehen werden.
Hier einige Beispiele f�r schlechte Passw�rter:
john1
DS-9
mentat123
Verwenden Sie keine W�rter in anderen Sprachen — Passwort- Knack-Programme pr�fen oft gegen Wortlisten, die W�rterb�cher in anderen Sprachen umfassen. Das Verlassen auf Fremdsprachen f�r sichere Passw�rter ist h�ufig wenig hilfreich.
Hier einige Beispiele f�r schlechte Passw�rter:
cheguevara
bienvenido1
1dumbKopf
Verwenden Sie keine Hacker-Begriffe — Wenn Sie denken, Sie sind auf der sicheren Seite, indem Sie Hacker-Begriffe — auch l337 (LEET) genannt — f�r Ihre Passw�rter verwenden, sollten Sie sich das nocheinmal �berlegen. Viele Wortlisten enthalten LEET-Begriffe.
Hier einige Beispiele f�r schlechte Passw�rter:
H4X0R
1337
Verwenden Sie keine pers�nlichen Informationen — Halten Sie sich von pers�nlichen Informationen fern. Wenn der Angreifer Sie kennt, kann dieser Ihr Passwort leichter herausfinden, wenn das Passwort z.B. folgende Informationen enth�lt:
Hier einige Beispiele f�r schlechte Passw�rter:
Ihren Namen
Den Namen von Haustieren
Die Namen von Familienmitgliedern
Geburtstage
Ihre Telefonnummer oder Postleitzahl
Drehen Sie keine erkennbaren W�rter um — Gute Passwortprogramme drehen gemeinsprachliche W�rter um, das Invertieren von schlechten Passw�rtern machen diese also nicht sicherer.
Hier einige Beispiele f�r schlechte Passw�rter:
R0X4H
nauj
9-DS
Schreiben Sie sich Ihr Passwort nicht auf — Bewahren Sie Ihr Passwort niemals auf Papier auf. Es ist wesentlich sicherer, sich das Passwort zu merken.
Verwenden Sie nie das gleiche Passwort f�r alle Ihre Rechner — Es ist wichtig, dass Sie separate Passw�rter f�r jede Maschine erstellen. So sind nicht alle Maschinen auf einen Schlag betroffen, falls ein System einer Attacke zum Opfer f�llt.
Was Sie tun sollten:
Das Passwort sollte mindestens 8 Zeichen enthalten — Je l�nger das Passwort, desto besser. Wenn Sie MD5-Passw�rter verwenden, sollten diese 15 Zeichen oder mehr enthalten. DES-Passw�rter sollten die maximale L�nge haben (acht Zeichen).
Mischen Sie Gro�- und Kleinbuchstaben — In Red Hat Enterprise Linuxwerden Gro�- und Kleinbuchstaben beachtet, mischen Sie daher Gro�- und Kleinschreibung, um die Sicherheit des Passwortes zu erh�hen.
Mischen Sie Buchstaben und Zahlen — Das Hinzuf�gen von Zahlen, insbesondere in der Mitte des Passwortes (nicht nur am Anfang oder Ende), verst�rkt die Sicherheit des Passwortes.
Verwenden Sie Sonderzeichen — Nicht-alphanumerische Zeichen wie z.B. &, $ und > k�nnen die Sicherheit des Passwortes erh�hen (dies gilt nicht, wenn Sie DES-Passw�rter verwenden).
W�hlen Sie ein Passwort, das Sie sich leicht merken k�nnen — selbst das beste Passwort hilft Ihnen nicht weiter, wenn Sie sich nicht daran erinnern k�nnen. Verwenden Sie daher Akronyme oder andere mnemonische Techniken, um sich das Passwort zu merken.
Durch all diese Regeln erscheint es schwierig, ein Passwort, das all die Kriterien f�r sichere Passw�rter erf�llt, festzulegen. Gl�cklicherweise gibt es einige einfache Schritte, mit deren Hilfe Sie ein leicht merkbares, sicheres Passwort generieren k�nnen.
4.3.1.1. Methodologie zur Erstellung sicherer Passw�rter
Es gibt viele verschiedene Methoden, sichere Passw�rter zu erstellen. Eine der beliebtesten ist Akronyme. Zum Beispiel:
�berlegen Sie sich einen einpr�gsamen Satz, wie zum Beispiel:
"over the hills and far away, to grandmother's house we go."
Verwandeln Sie dies als n�chstes in ein Akronym (einschlie�lich der Satzzeichen).
othafa,tghwg.
Machen Sie das Passwort komplexer, indem Sie Buchstaben durch Zahlen und Sonderzeichen austauschen. Ersetzen Sie zum Beispiel t durch 7 und a durch @:
o7r@77w,7ghwg.
Machen Sie es noch komplexer, indem Sie mindestens einen Buchstaben gro� schreiben, zum Beispiel H.
o7r@77w,7gHwg.
Und bitte verwenden Sie nicht unser Beispielpasswort f�r Ihre Systeme.
Das Erstellen sicherer Passw�rter ist von oberster Wichtigkeit, jedoch genauso wichtig ist das richtige Verwalten der Passw�rter, insbesondere f�r Systemadministratoren in gr��eren Unternehmen. Im n�chsten Abschnitt werden Verfahren f�r das Erstellen und Verwalten von Benutzerpassw�rtern innerhalb eines Unternehmens beschrieben.
4.3.2. Erstellen von Benutzerpassw�rtern innerhalb eines Unternehmens
Wenn es eine gro�e Anzahl von Benutzern in einem Unternehmen gibt, haben Systemadministratoren zwei grundlegende Optionen die Verwendung sicherer Passw�rter zu forcieren. Sie k�nnen entweder Passw�rter f�r die Benutzer selbst erstellen, oder Benutzer ihre eigenen Passw�rter erstellen lassen, und diese dann auf Akzeptanz pr�fen.
Das Erstellen von Passw�rtern f�r den Benutzer stellt sicher, dass die Passw�rter sicher sind, kann aber schnell zu einer ausufernden Arbeit werden, wenn das Unternehmen w�chst. Au�erdem erh�ht dies das Risiko, dass die Benutzer ihre Passw�rter aufschreiben.
Aus diesen Gr�nden ziehen es Systemadministratoren vor, das die Benutzer ihre eigenen Passw�rter erstellen, diese jedoch auf Sicherheit pr�fen und in einigen F�llen Benutzer durch Passwort-Aging dazu zu zwingen, ihre Passw�rter in periodischen Abst�nden zu �ndern.
4.3.2.1. Forcieren sicherer Passw�rter
Um das Netzwerk vor Eindringlingen zu sch�tzen, ist es sinnvoll f�r Systemadministratoren, sicherzustellen, dass die in einem Unternehmen verwendeten Passw�rter sicher sind. Wenn Benutzer aufgefordert werden, ihre eigenen Passw�rter zu erstellen oder zu �ndern, k�nnen sie dies �ber die Befehlszeilenapplikation passwd tun, da dies Kenntnis �ber den Pluggable Authentication Manager (PAM) hat, und Sie daher �ber das PAM-Modul pam_cracklib.so pr�fen k�nnen, ob ein Passwort leicht zu knacken oder zu kurz ist. Da PAM anpassbar ist, ist es m�glich, weitere Passwort-Integrit�tspr�fer wie z.B. pam_passwdqc (erh�ltlich �ber https://www.openwall.com/passwdqc/) oder Ihr selbstgeschriebenes Modul zu integrieren. Eine Liste erh�ltlicher PAM-Module finden Sie unter https://www.kernel.org/pub/linux/libs/pam/modules.html. Weitere Informationen zu PAM finden Sie im Kapitel Pluggable Authentication Modules (PAM) im Red Hat Enterprise Linux Referenzhandbuch.
Es sollte jedoch beachtet werden, dass das Pr�fen von Passw�rtern zum Erstellungszeitpunkt nicht die effektivste Methode zum Herausfinden unsicherer Passw�rter ist. Die Ausf�hrung von Passwort-Cracking-Programmen �ber alle Passw�rter innerhalb der Organisation ist wesentlich effektiver.
Es gibt eine Vielzahl an Passwort-Knack-Programmen, die unter Red Hat Enterprise Linux laufen, jedoch nicht mit dem Betriebssystem ausgeliefert werden. Nachfolgend finden Sie eine kurze Liste der beliebtesten Passwort-Knack-Programme:
Hinweis
Keines dieser Tools wird mit Red Hat Enterprise Linux ausgeliefert, und auch in keiner Weise von Red Hat, Inc. unterst�tzt.
John The Ripper — Ein schnelles und flexibles Passwort-Cracking-Programm. Es erm�glicht die Verwendung mehrerer Wortlisten und Brute-Force Passwort-Cracking. Es ist unter https://www.openwall.com/john/ erh�ltlich.
Crack — die vielleicht bekannteste Passwort-Knack-Software. Crack ist auch sehr schnell, jedoch nicht so einfach zu verwenden wie John The Ripper. Es ist unter https://www.crypticide.org/users/alecm/ erh�ltlich.
Slurpie — Slurpie funktioniert �hnlich wie John The Ripper und Crack, ist jedoch zum gleichzeitigen Laufen auf mehreren Computern entwickelt und erstellt so eine Distributed Passwort-Cracking Attacke. Es ist erh�ltlich unter https://www.ussrback.com/distributed.htm.
Achtung
Bitte holen Sie sich stets eine schriftliche Genehmigung ein, bevor Sie Passw�rter innerhalb eines Unternehmens zu knacken versuchen.
4.3.2.2. Password Aging
Password Aging ist eine weitere Methode, die von Systemadministratoren verwendet wird, um unsichere Passw�rter in einem Unternehmen zu verhindern. Password Aging bedeutet, dass Benutzer nach einer bestimmten Zeit (gew�hnlich 90 Tage) aufgefordert wird, ein neues Passwort festzulegen. Die Theorie dahinter ist, dass wenn ein Benutzer in periodischen Abst�nden dazu aufgefordert wird, sein Passwort zu �ndern, ein geknacktes Passwort einem Cracker nur f�r eine gewisse Zeit n�tzlich ist. Der Nachteil von Password Aging ist jedoch, dass Benutzer eher dazu neigen, sich die Passw�rter aufzuschreiben.
Es gibt zwei Programme f�r das Festlegen von Password Aging unter Red Hat Enterprise Linux: den Befehl chage oder die grafische Applikation User Manager (system-config-users).
Die Option -M des Befehls chage legt die maximale Anzahl von Tagen fest, f�r die das Passwort g�ltig ist. Wenn Sie zum Beispiel festlegen wollen, dass ein Benutzer-Passwort nach 90 Tagen ung�ltig wird, geben Sie den folgenden Befehl ein:
chage -M 90 <username>
Ersetzen Sie im oben genannten Befehl <username> mit dem Namen des Benutzers. Wenn Sie nicht m�chten, dass das Passwort ung�ltig wird, verwenden Sie den Wert 99999 nach der Option -M (dies ist etwas mehr als 273 Jahre).
Wenn Sie die grafische Applikation User Manager f�r Password-Aging-Policies verwenden m�chten, klicken Sie auf Hauptmen� (im Panel) => Systemeinstellungen => Benutzer und Gruppen oder geben Sie den Befehl system-config-users an einem Shell-Prompt ein (z.B. in einem XTerm- oder GNOME-Terminal). Klicken Sie auf den Tab Benutzer, w�hlen Sie den Benutzer aus der Liste aus und klicken Sie auf Eigenschaften im Men� (oder w�hlen Sie Datei => Eigenschaften aus dem Pull-Down Men�).
Klicken Sie dann auf Passwort-Info und geben Sie hier die Anzahl der Tage ein, bevor das Passwort ablaufen soll, wie in Abbildung 4-1 gezeigt.
Abbildung 4-1. Passwort-Info Panel
Weitere Informationen zu Benutzern und Gruppen (inklusive Anweisungen f�r das Erzwingen erstmaliger Passw�rter) finden Sie im Kapitel Benutzer- und Gruppekonfiguration im Red Hat Enterprise Linux Handbuch zur System-Administration. Einen �berblick �ber Benutzer- und Ressourcenverwaltung finden Sie im Kapitel Verwalten von Benutzeraccounts und Zugang zu Ressourcen im Red Hat Enterprise Linux Einf�hrung in die System-Administration.
