Настройка политик безопасности
В данном разделе описаны настройки системы, связанные с политиками безопасности ECSS-10 по имеющимся внешним интерфейсам взаимодействия.
Пользователи системы конфигурирования (CoCon, web-конфигуратор)
Настройки подсистемы CoCon выполняются через файл(ы), расположенные на файловой системе там, где запущены основные сервисы ECSS-10.
Настройки основных сервисов ECSS-10 располагаются на файловой системе по пути /etc/ecss. Файлы:
- /etc/ecss/global.config — общие настройки для всех нод хоста;
- /etc/ecss/<NODE>/<NODE>.config — настройки для определенной ноды
Настройка политик безопасности по работе с паролями CoCon-а осуществляется в секции cocon в одном из конфигурационных файлов, описанных выше. Пример конфигурации:
{cocon, [ {password_restrictions, [ % Minimum password length (digit or unlimited) {min_length, unlimited}, % Maximum password length (digit or unlimited) {max_length, unlimited}, % Digits symbol required [0..9] {digits_required, false}, % Special characters required: ( !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~) {special_characters_required, false}, % Latin letter at uppercase special_characters_required [A..Z] {uppercase_letters_required, false}, % Latin letter at lowercase special_characters_required [a..z] {lowercase_letters_required, false}, % National (other unicode) characters allowed {national_characters_allowed, true} ]} ]}
Описание параметров (ограничения на пароль):
- min_length — минимальная длина пароля. Возможные значения: число >= 0 или unlimited в случае, если длина не ограничена (по умолчанию: unlimited);
- max_length — максимальная длина пароля. Возможные значения: число >= 0 или unlimited в случае, если длина не ограничена (по умолчанию: unlimited);
- digits_required — необходимость наличия хотя бы одной цифры (по умолчанию: false);
- special_characters_required — необходимость наличия спец-символов. Спец-спецсимволы: ( !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~) (по умолчанию: false);
- uppercase_letters_required — необходимость наличия хотя бы одного латинского символа в верхнем регистре (по умолчанию: false);
- lowercase_letters_required — необходимость наличия хотя бы одного латинского символа в нижнем регистре (по умолчанию: false);
- national_characters_allowed — возможность использования не-латинских символов (по умолчанию: true).
Устаревание паролей и черные списки паролей
В ECSS-10 содержится механизм устаревание паролей, который позволяет задать время жизни пароля. В случае исчерпания данного времени, пользователю предложат изменить пароль на новый, введя при этом старый пароль. Функционал работает как для web-интерфейса, так и для Cocon.
Данный функционал можно настроить как глобально, так и для отдельной ноды.
Для глобальной настройки потребуется внести изменения в файл конфигурации /etc/ecss/global.config.
Требуется найти параметр password_lifetime и изменить его значение. Параметр имеет числовое значение, равное количеству дней. К примеру {password_lifetime, 1} означает, что пароль будет актуален на протяжении 1 дня.
{cocon, [
...
{password_lifetime, Days}
...
]}
Days :: interger() | infinity
После изменения значения, требуется перезагрузить систему ECSS-10.
Также имеется возможность ограничить использование уже ранее вводимых паролей. Для этого в конфигурации существует параметр password_history_depth. Данный параметр указывает, какое число последних паролей нельзя повторно использовать.
%% Maximum size of password history
{password_history_depth, 10},
В данном случае последние 10 паролей, вводимых в качестве новых, будут отклонены.
Если хочется запретить использовать определенный список паролей, то можно добавит их в черный список. Для этого существует параметр banned_password.
{banned_passwords, ["qwerty123"]}
В данном случает будут забанен пароль qwerty123.
Использование в системе
В случае, если пользователь попробует задать пароль, не удовлетворяющий указанным выше параметрам безопасности, система сообщит, какому из правил пароль не удовлетворяет, и не даст задать такой пароль. Данные ограничения проверяются при создании нового пользователя CoCon-а (add-user) или при попытки сменить пароль (passwd).