NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Passwortsicherheit
Passw�rter werden von Red Hat Enterprise Linux als Hauptmethode zur �berpr�fung der Benutzeridentit�t eingesetzt. Aus diesem Grund ist die Passwortsicherheit von erheblicher Bedeutung zum Schutz des Benutzers, der Workstation und dem Netzwerk.
Aus Sicherheitsgr�nden konfiguriert das Installationsprogramm das System so, dass ein Message-Digest Algorithm (MD5) und Shadow-Passw�rter verwendet werden. Es wird dringend geraten, diese Einstellungen nicht zu ver�ndern.
Wenn Sie die MD5-Passw�rter w�hrend der Installation deaktivieren, wird das �ltere Data Encryption Standard (DES) Format verwendet. Dieses Format beschr�nkt Passw�rter auf 8 alphanumerische Zeichen (Satzzeichen und andere Sonderzeichen sind nicht erlaubt) und bietet bescheidene 56-bit Verschl�sselung.
Wenn Sie Shadow-Passw�rter w�hrend der Installation deaktivieren, werden alle Passw�rter als One-Way-Hash in der allgemein lesbaren Datei /etc/passwd hinterlegt, was das System f�r Cracker-Attacken offline anf�llig macht. Erlangt ein Eindringling Zugang zum Computer als normaler Benutzer, kann dieser die Datei /etc/passwd auf seinen eigenen Rechner kopieren und eine beliebige Anzahl Passwort-Knack-Programme dar�ber laufen lassen. Befindet sich ein unsicheres Passwort in der Datei, ist es nur eine Frage der Zeit, bis diese vom Passwort-Cracker gefunden wird.
Shadow-Passw�rter machen diese Art von Angriff unm�glich, da die Passwort-Hashes in der Datei /etc/shadow gespeichert werden, die nur vom root-Benutzer gelesen werden kann.
Dies zwingt einen m�glichen Angreifer, Passw�rter von au�en �ber ein Netzwerkdienste auf dem Rechner wie zum Beispiel SSH oder FTP zu knacken. Diese Art Angriff ist wesentlich langsamer und hinterl�sst offensichtliche Spuren, da hunderte von gescheiterten Log-In Versuchen in Systemdateien aufgezeichnet werden. Wenn jedoch der Cracker eine Attacke mitten in der Nacht startet und Sie �ber schwache Passw�rter verf�gen, hat der Angreifer eventuell Zugang noch vor Morgengrauen.
Ein weiteres Problem �ber Format und Speicherung hinaus ist Inhalt. Das wichtigste, was ein Benutzer tun kann, um seinen Account gegen eine Passwort-Attacke zu sch�tzen, ist das Erstellen eines sicheren Passwortes.
4.3.1. Erstellen sicherer Passw�rter
Beim Erstellen von Passw�rtern ist es hilfreich, die folgenden Richtlinien zu befolgen:
Was Sie nicht tun sollten:
Verwenden Sie nicht nur W�rter oder Zahlen — Sie sollten f�r ein Passwort nicht nur W�rter oder nur Zahlen verwenden.
Hier einige Beispiele f�r schlechte Passw�rter:
8675309
juan
hackme
Verwenden Sie keine erkennbaren W�rter — W�rter wie Namen, im W�rterbuch stehende W�rter oder Begriffe aus Fernsehsendungen oder Romanen sollten vermieden werden, auch wenn diese am Ende mit Zahlen versehen werden.
Hier einige Beispiele f�r schlechte Passw�rter:
john1
DS-9
mentat123
Verwenden Sie keine W�rter in anderen Sprachen — Passwort- Knack-Programme pr�fen oft gegen Wortlisten, die W�rterb�cher in anderen Sprachen umfassen. Das Verlassen auf Fremdsprachen f�r sichere Passw�rter ist h�ufig wenig hilfreich.
Hier einige Beispiele f�r schlechte Passw�rter:
cheguevara
bienvenido1
1dumbKopf
Verwenden Sie keine Hacker-Begriffe — Wenn Sie denken, Sie sind auf der sicheren Seite, indem Sie Hacker-Begriffe — auch l337 (LEET) genannt — f�r Ihre Passw�rter verwenden, sollten Sie sich das nocheinmal �berlegen. Viele Wortlisten enthalten LEET-Begriffe.
Hier einige Beispiele f�r schlechte Passw�rter:
H4X0R
1337
Verwenden Sie keine pers�nlichen Informationen — Halten Sie sich von pers�nlichen Informationen fern. Wenn der Angreifer Sie kennt, kann dieser Ihr Passwort leichter herausfinden, wenn das Passwort z.B. folgende Informationen enth�lt:
Hier einige Beispiele f�r schlechte Passw�rter:
Ihren Namen
Den Namen von Haustieren
Die Namen von Familienmitgliedern
Geburtstage
Ihre Telefonnummer oder Postleitzahl
Drehen Sie keine erkennbaren W�rter um — Gute Passwortprogramme drehen gemeinsprachliche W�rter um, das Invertieren von schlechten Passw�rtern machen diese also nicht sicherer.
Hier einige Beispiele f�r schlechte Passw�rter:
R0X4H
nauj
9-DS
Schreiben Sie sich Ihr Passwort nicht auf — Bewahren Sie Ihr Passwort niemals auf Papier auf. Es ist wesentlich sicherer, sich das Passwort zu merken.
Verwenden Sie nie das gleiche Passwort f�r alle Ihre Rechner — Es ist wichtig, dass Sie separate Passw�rter f�r jede Maschine erstellen. So sind nicht alle Maschinen auf einen Schlag betroffen, falls ein System einer Attacke zum Opfer f�llt.
Was Sie tun sollten:
Das Passwort sollte mindestens 8 Zeichen enthalten — Je l�nger das Passwort, desto besser. Wenn Sie MD5-Passw�rter verwenden, sollten diese 15 Zeichen oder mehr enthalten. DES-Passw�rter sollten die maximale L�nge haben (acht Zeichen).
Mischen Sie Gro�- und Kleinbuchstaben — In Red Hat Enterprise Linuxwerden Gro�- und Kleinbuchstaben beachtet, mischen Sie daher Gro�- und Kleinschreibung, um die Sicherheit des Passwortes zu erh�hen.
Mischen Sie Buchstaben und Zahlen — Das Hinzuf�gen von Zahlen, insbesondere in der Mitte des Passwortes (nicht nur am Anfang oder Ende), verst�rkt die Sicherheit des Passwortes.
Verwenden Sie Sonderzeichen — Nicht-alphanumerische Zeichen wie z.B. &, $ und > k�nnen die Sicherheit des Passwortes erh�hen (dies gilt nicht, wenn Sie DES-Passw�rter verwenden).
W�hlen Sie ein Passwort, das Sie sich leicht merken k�nnen — selbst das beste Passwort hilft Ihnen nicht weiter, wenn Sie sich nicht daran erinnern k�nnen. Verwenden Sie daher Akronyme oder andere mnemonische Techniken, um sich das Passwort zu merken.
Durch all diese Regeln erscheint es schwierig, ein Passwort, das all die Kriterien f�r sichere Passw�rter erf�llt, festzulegen. Gl�cklicherweise gibt es einige einfache Schritte, mit deren Hilfe Sie ein leicht merkbares, sicheres Passwort generieren k�nnen.
4.3.1.1. Methodologie zur Erstellung sicherer Passw�rter
Es gibt viele verschiedene Methoden, sichere Passw�rter zu erstellen. Eine der beliebtesten ist Akronyme. Zum Beispiel:
�berlegen Sie sich einen einpr�gsamen Satz, wie zum Beispiel:
"over the hills and far away, to grandmother's house we go."
Verwandeln Sie dies als n�chstes in ein Akronym (einschlie�lich der Satzzeichen).
othafa,tghwg.
Machen Sie das Passwort komplexer, indem Sie Buchstaben durch Zahlen und Sonderzeichen austauschen. Ersetzen Sie zum Beispiel t durch 7 und a durch @:
o7r@77w,7ghwg.
Machen Sie es noch komplexer, indem Sie mindestens einen Buchstaben gro� schreiben, zum Beispiel H.
o7r@77w,7gHwg.
Und bitte verwenden Sie nicht unser Beispielpasswort f�r Ihre Systeme.
Das Erstellen sicherer Passw�rter ist von oberster Wichtigkeit, jedoch genauso wichtig ist das richtige Verwalten der Passw�rter, insbesondere f�r Systemadministratoren in gr��eren Unternehmen. Im n�chsten Abschnitt werden Verfahren f�r das Erstellen und Verwalten von Benutzerpassw�rtern innerhalb eines Unternehmens beschrieben.
4.3.2. Erstellen von Benutzerpassw�rtern innerhalb eines Unternehmens
Wenn es eine gro�e Anzahl von Benutzern in einem Unternehmen gibt, haben Systemadministratoren zwei grundlegende Optionen die Verwendung sicherer Passw�rter zu forcieren. Sie k�nnen entweder Passw�rter f�r die Benutzer selbst erstellen, oder Benutzer ihre eigenen Passw�rter erstellen lassen, und diese dann auf Akzeptanz pr�fen.
Das Erstellen von Passw�rtern f�r den Benutzer stellt sicher, dass die Passw�rter sicher sind, kann aber schnell zu einer ausufernden Arbeit werden, wenn das Unternehmen w�chst. Au�erdem erh�ht dies das Risiko, dass die Benutzer ihre Passw�rter aufschreiben.
Aus diesen Gr�nden ziehen es Systemadministratoren vor, das die Benutzer ihre eigenen Passw�rter erstellen, diese jedoch auf Sicherheit pr�fen und in einigen F�llen Benutzer durch Passwort-Aging dazu zu zwingen, ihre Passw�rter in periodischen Abst�nden zu �ndern.
4.3.2.1. Forcieren sicherer Passw�rter
Um das Netzwerk vor Eindringlingen zu sch�tzen, ist es sinnvoll f�r Systemadministratoren, sicherzustellen, dass die in einem Unternehmen verwendeten Passw�rter sicher sind. Wenn Benutzer aufgefordert werden, ihre eigenen Passw�rter zu erstellen oder zu �ndern, k�nnen sie dies �ber die Befehlszeilenapplikation passwd tun, da dies Kenntnis �ber den Pluggable Authentication Manager (PAM) hat, und Sie daher �ber das PAM-Modul pam_cracklib.so pr�fen k�nnen, ob ein Passwort leicht zu knacken oder zu kurz ist. Da PAM anpassbar ist, ist es m�glich, weitere Passwort-Integrit�tspr�fer wie z.B. pam_passwdqc (erh�ltlich �ber https://www.openwall.com/passwdqc/) oder Ihr selbstgeschriebenes Modul zu integrieren. Eine Liste erh�ltlicher PAM-Module finden Sie unter https://www.kernel.org/pub/linux/libs/pam/modules.html. Weitere Informationen zu PAM finden Sie im Kapitel Pluggable Authentication Modules (PAM) im Red Hat Enterprise Linux Referenzhandbuch.
Es sollte jedoch beachtet werden, dass das Pr�fen von Passw�rtern zum Erstellungszeitpunkt nicht die effektivste Methode zum Herausfinden unsicherer Passw�rter ist. Die Ausf�hrung von Passwort-Cracking-Programmen �ber alle Passw�rter innerhalb der Organisation ist wesentlich effektiver.
Es gibt eine Vielzahl an Passwort-Knack-Programmen, die unter Red Hat Enterprise Linux laufen, jedoch nicht mit dem Betriebssystem ausgeliefert werden. Nachfolgend finden Sie eine kurze Liste der beliebtesten Passwort-Knack-Programme:
Hinweis
Keines dieser Tools wird mit Red Hat Enterprise Linux ausgeliefert, und auch in keiner Weise von Red Hat, Inc. unterst�tzt.
John The Ripper — Ein schnelles und flexibles Passwort-Cracking-Programm. Es erm�glicht die Verwendung mehrerer Wortlisten und Brute-Force Passwort-Cracking. Es ist unter https://www.openwall.com/john/ erh�ltlich.
Crack — die vielleicht bekannteste Passwort-Knack-Software. Crack ist auch sehr schnell, jedoch nicht so einfach zu verwenden wie John The Ripper. Es ist unter https://www.crypticide.org/users/alecm/ erh�ltlich.
Slurpie — Slurpie funktioniert �hnlich wie John The Ripper und Crack, ist jedoch zum gleichzeitigen Laufen auf mehreren Computern entwickelt und erstellt so eine Distributed Passwort-Cracking Attacke. Es ist erh�ltlich unter https://www.ussrback.com/distributed.htm.
Achtung
Bitte holen Sie sich stets eine schriftliche Genehmigung ein, bevor Sie Passw�rter innerhalb eines Unternehmens zu knacken versuchen.
4.3.2.2. Password Aging
Password Aging ist eine weitere Methode, die von Systemadministratoren verwendet wird, um unsichere Passw�rter in einem Unternehmen zu verhindern. Password Aging bedeutet, dass Benutzer nach einer bestimmten Zeit (gew�hnlich 90 Tage) aufgefordert wird, ein neues Passwort festzulegen. Die Theorie dahinter ist, dass wenn ein Benutzer in periodischen Abst�nden dazu aufgefordert wird, sein Passwort zu �ndern, ein geknacktes Passwort einem Cracker nur f�r eine gewisse Zeit n�tzlich ist. Der Nachteil von Password Aging ist jedoch, dass Benutzer eher dazu neigen, sich die Passw�rter aufzuschreiben.
Es gibt zwei Programme f�r das Festlegen von Password Aging unter Red Hat Enterprise Linux: den Befehl chage oder die grafische Applikation User Manager (system-config-users).
Die Option -M des Befehls chage legt die maximale Anzahl von Tagen fest, f�r die das Passwort g�ltig ist. Wenn Sie zum Beispiel festlegen wollen, dass ein Benutzer-Passwort nach 90 Tagen ung�ltig wird, geben Sie den folgenden Befehl ein:
chage -M 90 <username>
Ersetzen Sie im oben genannten Befehl <username> mit dem Namen des Benutzers. Wenn Sie nicht m�chten, dass das Passwort ung�ltig wird, verwenden Sie den Wert 99999 nach der Option -M (dies ist etwas mehr als 273 Jahre).
Wenn Sie die grafische Applikation User Manager f�r Password-Aging-Policies verwenden m�chten, klicken Sie auf Hauptmen� (im Panel) => Systemeinstellungen => Benutzer und Gruppen oder geben Sie den Befehl system-config-users an einem Shell-Prompt ein (z.B. in einem XTerm- oder GNOME-Terminal). Klicken Sie auf den Tab Benutzer, w�hlen Sie den Benutzer aus der Liste aus und klicken Sie auf Eigenschaften im Men� (oder w�hlen Sie Datei => Eigenschaften aus dem Pull-Down Men�).
Klicken Sie dann auf Passwort-Info und geben Sie hier die Anzahl der Tage ein, bevor das Passwort ablaufen soll, wie in Abbildung 4-1 gezeigt.
Abbildung 4-1. Passwort-Info Panel
Weitere Informationen zu Benutzern und Gruppen (inklusive Anweisungen f�r das Erzwingen erstmaliger Passw�rter) finden Sie im Kapitel Benutzer- und Gruppekonfiguration im Red Hat Enterprise Linux Handbuch zur System-Administration. Einen �berblick �ber Benutzer- und Ressourcenverwaltung finden Sie im Kapitel Verwalten von Benutzeraccounts und Zugang zu Ressourcen im Red Hat Enterprise Linux Einf�hrung in die System-Administration.
