В данном разделе описаны настройки системы, связанные с политиками безопасности ECSS-10 по имеющимся внешним интерфейсам взаимодействия.

Пользователи системы конфигурирования (CoCon, web-конфигуратор)

Настройки подсистемы CoCon выполняются через файл(ы), расположенные на файловой системе там, где запущены основные сервисы ECSS-10.

Если система запущена более чем на одном хосте, настройки CoCon-а должны быть идентичными на всех хостах)

Настройки основных сервисов ECSS-10 располагаются на файловой системе по пути /etc/ecss. Файлы:

  • /etc/ecss/global.config — общие настройки для всех нод хоста;
  • /etc/ecss/<NODE>/<NODE>.config — настройки для определенной ноды

Настройка политик безопасности по работе с паролями CoCon-а осуществляется в секции cocon в одном из конфигурационных файлов, описанных выше. Пример конфигурации:

{cocon, [
    {password_restrictions, [
        % Minimum password length (digit or unlimited)
        {min_length, unlimited},
        % Maximum password length (digit or unlimited)
        {max_length, unlimited},
        % Digits symbol required [0..9]
        {digits_required, false},
        % Special characters required: ( !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~)
        {special_characters_required, false},
        % Latin letter at uppercase special_characters_required [A..Z]
        {uppercase_letters_required, false},
        % Latin letter at lowercase special_characters_required [a..z]
        {lowercase_letters_required, false},
        % National (other unicode) characters allowed
        {national_characters_allowed, true}
     ]}
]}

Описание параметров (ограничения на пароль):

  • min_length — минимальная длина пароля. Возможные значения: число >= 0 или unlimited в случае, если длина не ограничена (по умолчанию: unlimited);
  • max_length — максимальная длина пароля. Возможные значения: число >= 0 или unlimited в случае, если длина не ограничена (по умолчанию: unlimited);
  • digits_required — необходимость наличия хотя бы одной цифры (по умолчанию: false);
  • special_characters_required — необходимость наличия спец-символов. Спец-спецсимволы: ( !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~) (по умолчанию: false);
  • uppercase_letters_required — необходимость наличия хотя бы одного латинского символа в верхнем регистре (по умолчанию: false);
  • lowercase_letters_required — необходимость наличия хотя бы одного латинского символа в нижнем регистре (по умолчанию: false);
  • national_characters_allowed — возможность использования не-латинских символов (по умолчанию: true).

Устаревание паролей и черные списки паролей

В ECSS-10 содержится механизм устаревание паролей, который позволяет задать время жизни пароля. В случае исчерпания данного времени, пользователю предложат изменить пароль на новый, введя при этом старый пароль. Функционал работает как для web-интерфейса, так и для Cocon.

Данный функционал можно настроить как глобально, так и для отдельной ноды.
Для глобальной настройки потребуется внести изменения в файл конфигурации /etc/ecss/global.config.

Требуется найти параметр password_lifetime и изменить его значение. Параметр имеет числовое значение, равное количеству дней. К примеру {password_lifetime, 1} означает, что пароль будет актуален на протяжении 1 дня.

{cocon, [
...
    {password_lifetime, Days}
...
 ]}
Days :: interger() | infinity
CODE

После изменения значения, требуется перезагрузить систему ECSS-10. 

Также имеется возможность ограничить использование уже ранее вводимых паролей. Для этого в конфигурации существует параметр password_history_depth. Данный параметр указывает, какое число последних паролей нельзя повторно использовать.

%% Maximum size of password history
{password_history_depth, 10},
CODE

В данном случае последние 10 паролей, вводимых в качестве новых, будут отклонены.

Если хочется запретить использовать определенный список паролей, то можно добавит их в черный список. Для этого существует параметр banned_password.

{banned_passwords, ["qwerty123"]}
CODE

В данном случает будет забанен пароль qwerty123.

Использование в системе

В случае, если пользователь попробует задать пароль, не удовлетворяющий указанным выше параметрам безопасности, система сообщит, какому из правил пароль не удовлетворяет, и не даст задать такой пароль. Данные ограничения проверяются при создании нового пользователя CoCon-а (add-user) или при попытки сменить пароль (passwd).