Сценарий skeyaudit

Сценарий skeyaudit проверяет оставшееся число паролей для каждого пользователя, описанного в файле /etc/skeykeys. Когда число паролей сокращается до 11 (установка по умолчанию), сценарий посылает администратору сообщение е напоминанием о необходимости сгенерировать новый список для данного пользователя.

Пороговое число паролей можно задать в виде аргумента командной строки. Например, команда skeyaudit -1 15 будет искать в файле /etc/skeykeys всех пользователей е порядковым номером 14 и меньше. Помните, что порядковый номер на единицу больше, чем реальное число оставшихся паролей в списке. Если порядковый номер меньше трех, посылаемое сообщение будет помечено как важное. Можно организовать регулярный запуск сценария skeyaudit с помощью демона cron.

Программа S/Key версии 2.2

Программа S/Key версии 2.2 отличается от версии 1.1.5 следующими особенностями.

Выбор кода инициализации осуществляется псевдослучайным образом.

Используется список контроля доступа.

Используются алгоритмы MD4 и MD5.

Команда skeyinit не запрашивает у пользователей их Linux-пароли.

Существует программа, заменяющая программу login.

Основные преимущества сформулированы в первых трех пунктах списка. Пункт 4 означает незначительное повышение удобства за счет снижения безопасности. Пункт 5 означает снижение общей гибкости программы. Первые три пункта реализованы и в программе OPIE.

Достоинства и недостатки S/Key

У программы S/Key есть как достоинства, так и недостатки, причем то, что с точки зрения гибкости является достоинством, с точки зрения безопасности может оказаться недостатком, и наоборот. Перечислим некоторые из них.

Чтобы обновить список одноразовых паролей, пользователь (кроме root) должен ввести свой Linux-пароль.

Используется алгоритм MD5 и другие алгоритмы хеширования.

Если пользователь собирается переслать секретный пароль по сети, выдается только предупреждение.

Уязвимые места S/Key

Основным слабым звеном программы S/Key является секретный пароль. Его следует выбирать так, чтобы его нельзя было взломать программой Crack. В качестве дополнительной меры можно защитить файл /etc/skeykeys, сделав его доступным для чтения/записи только пользователю root. С одной стороны, это не позволит рядовым пользователям выполнять команду skeyinfo, зато злоумышленники не смогут получить доступ к информации, которая поможет им в отгадывании паролей.

Если нужно реализовать контроль доступа, не используйте файл /etc/skey. access. Лучше применять другие средства, например программу TCP_Wrappers.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок