Passwörter

Keine leeren Passwörter zulassen

Leere Passwörter stellen ein eklatantes Sicherheitsproblem dar. Sie lassen sich z.B. folgendermaßen finden:

awk -F: '($2 == "") {print}' /etc/shadow

Für jeden identifizierten Account ist ein Passwort zu setzen oder der Account zu locken.

Keine unverschlüsselten Passwörter zulassen

Unverschlüsselte Passwörter stellen ein ähnlich eklatantes Sicherheitsproblem dar. Sie lassen sich z.B. folgendermaßen finden:

awk -F: '($2 != "x") {print}' /etc/passwd

Für jeden identifizierten Account ist ein neues Passwort zu setzen oder der Account zu locken.

Passwort-Verfallszeit setzen

RHEL5, RHEL6, security, SOLLTE

• RHEL 5
• RHEL 6

Passwörter sollten von Zeit zu Zeit geändert werden. „Vernünftige“ Verfallszeiten sind den Gegebenheiten anzupassen, bewährt haben sich Fristen von 3 Montaten bis zu einem Jahr. Aber auch kürzere Zeiten sind möglich:

grep ^PASS_ /etc/login.defs
PASS_MAX_DAYS   60
PASS_MIN_DAYS   7
PASS_MIN_LEN    14
PASS_WARN_AGE   7

Für bereits existieren User USER sind sie entsprechend anzupassen:

chage -M 60 -m 7 -W 7 USER

libuser.conf

RHEL5, RHEL6, security, SOLLTE

• RHEL 5
• RHEL 6

In der /etc/libuser.conf sollte folgende Zeile unter [import] stehen:

/etc/libuser.conf (Auszug)

login_defs = /etc/login.defs

Unterhalb von [userdefaults] sollten folgende Parameter nicht stehen bzw. auskommentiert sein, da diese die Einstellungen der /etc/login.defs überschreiben:

/etc/libuser.conf (Auszug)

#LU_SHADOWMAX
#LU_SHADOWMIN
#LU_SHADOWWARNING

Zur Sicherstellung „komplizierter“ Passwörter sollten pam_cracklib oder pam_passwdqc benutzt werden

RHEL5, RHEL6, security, SOLLTE

• RHEL 5 pam_cracklib
• RHEL 6 pam_cracklib

Bei Benutzung von pam_cracklib sollte in /etc/pam.d/system-auth die folgende Zeile

/etc/pam.d/system-auth (Auszug)

password  requisite   pam_cracklib.so try_first_pass retry=3

in etwa so abgeändert werden:

/etc/pam.d/system-auth (Auszug)

password  required    pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1

Bei Benutzung von pam_passwdqc sollte in /etc/pam.d/system-auth die folgende Zeile

/etc/pam.d/system-auth (Auszug)

password  requisite   pam_cracklib.so try_first_pass retry=3

in etwas so abgeändert werden:

/etc/pam.d/system-auth (Auszug)

password  requisite   pam_passwdqc.so min=disabled,disabled,16,12,8

Die Parameter sind jeweils anzupassen.

Zur Passwort-Verschlüsselung sollte SHA-512 benutzt werden (>=RHEL 5.2)

RHEL5, security, SOLLTE

• RHEL 5: default md5
• RHEL 6: default sha512

SHA-512 ist eine stärkere Verschlüsselung als z.B. das alte MD5 oder der Vorgänger SHA-256.

In /etc/pam.d/system-auth muss dazu die Zeile

/etc/pam.d/system-auth (Auszug)

password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok

folgendermaßen abgeändert werden:

/etc/pam.d/system-auth (Auszug)

password  sufficient  pam_unix.so sha512 shadow nullok try_first_pass use_authtok

Die Dateien /etc/login.defs und /etc/libuser.conf sind ebenfalls anzupassen:

/etc/login.defs (Auszug)

MD5_CRYPT_ENAB no
ENCRYPT_METHOD SHA512

/etc/libuser.conf (Auszug)

crypt_style = sha512

Abgelaufene Passwörter sollten nicht wiederverwendet werden

RHEL5, RHEL6, security, SOLLTE

• RHEL 5
• RHEL 6

In der Datei /etc/pam.d/system-auth ist der Parameter „remember“ zu setzen, z.B.:

/etc/pam.d/system-auth

password sufficient pam_unix.so weitere_optionen remember=5

Das Paket pam_ccreds sollte entfernt werden

RHEL5, security, SOLLTE

• RHEL 5
• RHEL 6: default nicht installiert

Sofern es nicht unbedingt benutzt werden muss, sollte pam_ccreds entfernt werden, da alle credentials, die sich im Cache befinden, als kompromittiert angesehen werden müssen, sollte ein Angreifer Systemkontrolle erlangen.

yum erase pam_ccreds