Server gegen Angriffe absichern

Linux-Server sicher im Netzwerk betreiben

Innere Sicherheit überprüfen und erhöhen

Während einer Debian-Installation werden Sie gefragt, ob Sie Shadow-Passwörter nutzen wollen. Das ist eine sinnvolle Sache, denn die Passwörter werden in der Datei /etc/shadow gespeichert, auf die nur root und die Gruppe shadow Zugriff haben. Mit dem Befehl "shadowconfig on" kann root die Shadow-Passwörter auch nachträglich einschalten. Wichtig kann es zudem sein, dass Benutzer ihre Passwörter regelmäßig ändern sollten. Wann das ist, kann der Administrator in der Datei /etc/login.defs festlegen. Mit den Variablen PASS_MAX_DAYS, PASS_MIN_DAYS und PASS_WARN_AGE legt root fest, wie lange ein Passwort maximal gültig ist, wie kurz die Zeit zwischen Passwortänderungen sein soll und wie viele Tage vor Ablauf des Passworts eine Warnung ausgegeben wird. Auf einem Ubuntu-System ist eine Passwort 99.999 Tage gültig, also fast 274 Jahre. Wer hier beispielsweise spätestens alle drei Monate seine Benutzer auffordern will, ein neues Passwort zu verwenden, trägt bei PASS_MAX_DAYS den Wert 90 ein.

Gewusst wo: In der Datei /etc/login.defs kann root festlegen, wie häufig die Benutzer ihr Passwort ändern dürfen.
Gewusst wo: In der Datei /etc/login.defs kann root festlegen, wie häufig die Benutzer ihr Passwort ändern dürfen.

Standardmäßig werden Passwörter mit einem SHA512-basierten Verfahren verschlüsselt. Das gilt als relativ sicher gegen Brute-Force-Angriffe. Zum Erzeugen eines SHA-Passworts kann root vorgeben, wie viele Durchläufe der Algorithmus passieren soll. Standardmäßig sind das 5000 Schleifen. Über die Parameter SHA_CRYPT_MIN_ROUNDS und SHA_CRYPT_MAX_ROUNDS in der /etc/login.defs kann root diesen Wert anpassen. Wird nur ein Wert gesetzt, übernimmt das System diesen als Vorgabewert. Hier gilt: Je mehr Runden, desto komplexer wird das Passwort - allerdings sind auch mehr CPU-Reserven zum Authentifizieren erforderlich.

Wer seinen Benutzern das Finden neuer Passwörter erleichtern will, sollte ein Tool wie APG einsetzen. Je nach den Parametern erzeugt dieses Tool zufällig Passwörter, die in keinem Lexikon oder Wörterbuch stehen. In der man-Page von apg steht außerdem der Text für ein Skript pwgen.sh, mit dem Sie sichere Passwörter erzeugen. Der Inhalt des Skripts besteht lediglich aus zwei Zeilen:

#!/bin/sh

/usr/local/bin/apg -m 8 -x 12 -s

Wichtig ist die zweite Zeile, sie ruft das apg-Programm auf. Die Parameter bedeuten: -m legt die Mindestlänge eines Passworts fest; -x definiert die maximale Länge des Passworts; der Parameter -s schließlich sorgt dafür, dass der Benutzer eine zufällige Tastenfolge eingeben muss, um so beim Generieren des neuen Passworts zu helfen.