Password Policy per VMware vSphere 6.x

Published by Lello on

Vediamo in questo articolo come modificare la compessità delle password per tutti gli account di servizio, compreso quello di root.

Cominciamo con il capire cosa rappresentano le classi a cui appartengono i caratteri che compongono una password. Le classi sono 4:

  • lowercase letters;
  • uppercase letters;
  • numbers;
  • special characters

 
La complessità delle password è descritta in questo modo:

min=X1, X2, X3, X4, X5

Vediamo cosa vogliono dire questi valori:

  • X1: lunghezza della password se la password contiene caratteri appartenenti solo ad una classe (solo numeri, solo lettere minuscole, solo lettere maiuscole, solo caratteri speciali);
  • X2: lunghezza della password se la password contiene caratteri appartenenti a 2 classi (numeri e caratteri minuscoli, numeri e caratteri maiuscoli, caratteri maiuscoli e minuscoli senza numeri, caratteri minuscoli e caratteri speciali, …);
  • X3: la password è una frase (tre parole); X3 rappresenta la lunghezza minima di ogni parola (da 8 a 40 caratteri;
  • X4: lunghezza della password se la password contiene caratteri di 3 classi (ad esempio una passphrase composta da caratteri maiuscoli, minuscoli e numeri);
  • X5: lunghezza della password se la password contiene caratteri di 4 (tutte) classi ;

 
Le impostazioni di default sono:

min=disabled,disabled,disabled,7,7

Questo vuol dire che le password devono essere lunghe almeno 7 caratteri e devono contenere caratteri di almeno 3 classi.

Se imposto:

min=8,8,10,7,6

allora:

  • se la password contiene caratteri di una o due classi, deve essere almeno lunga 8 caratteri
  • se è una frase, deve contere parole lunghe almeno 10 caratteri
  • se la password contiene caratteri di 3 classi, deve essere almeno 7 caratteri
  • se la password contiene caratteri di 4 classi, deve essere almeno 6 caratteri

 
Un altro parametro da tenere in considerazione è:

retry=xx

Il significato è molto semplice: rappresenta il numero di prompt che vengono presentati ad un utente se la password che ha inserito non è corretta.

Una volta che decise le policy per le password, possiamo applicare le policy in 2 modi diversi:

  1. Aprire una shell sul nostro server, editare il file /etc/pam.d/passwd e sostituire i valori presenti con quelli che abbiamo scelto; una volta fatta la modifica, scrivere e chiudere il file
password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=disabled,disabled,disabled,7,7
password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,10,7,6
  1. aprire la key Security.PasswordQualityControl e sostituire il valore presente con quello da noi scelto:

Una volta applicate le impostazioni, queste sono subito attive, per cui se cerco di modificare, ad esempio, la password di root, questa deve soddisfare i criteri che ho impostato.

Categories: SecurityVMWare
Tags:

Related Posts

information security
Cultura

… e 100.000 !!!

Sono passati circa 2 anni da quando ho iniziato a comunicare quasi per gioco ad AbuseIPDB gli indirizzi IP che cercano di effettuare tentativi fraudolenti verso alcuni server (circa una ventina, non critici) che gestisco Read more…

Apache Guacamole
Linux

Apache Guacamole – Database

Espandiamo le capacità di Apache Guacamole utilizzando come back-end di autenticazione un Database Server. In questo post utilizziamo come back-end MySQL/MariaDB. Apache Guacamole supporta diversi database: MySQL, MariaDB, PostgreSQL, MS SQL Server o altri tramite Read more…

Attacco hacker hypervisor ESXi VMware
Security

Attacco hacker verso hypervisor ESXi VMware

Da qualche giorno è in corso un attacco hacker rivolto verso gli hypervisor ESXi di VMware. Il CERT-FR, centro istituzionale francese di vigilanza e risposta agli attacchi informatici, aveva diramato un bollettino di ALLERTA il Read more…