この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
こんにちは植木和樹@上越妙高です。本日はpwscoreというコマンドを使ってパスワードの強さをチェックしてみたいと思います。
Amazon Linuxでは標準でec2-userによる鍵認証方式でログインします。そのためパスワードを利用する機会は通常ありません。しかしセキュリティーの観点から以下の要件が考えられます。
- ec2-user(共用ユーザー)の禁止
- sudoは個人別のOSユーザー(管理者)にのみ許可する
- sudo時には個人のパスワード認証を必須とする
- パスワードは8文字以上で英数字を混在させなくてはならない
管理者ユーザー(ここではadminとしておきましょう)は、Linuxにはssh鍵認証方式でログインし、sudo時にはさらにパスワード認証が求められる、という運用にしてみましょう。
さてsudo時に必要となるパスワードが簡単にならないようにシステムでルールを設定してみます。
パスワードルールを決める libpwquality
パスワードのルールはlibpwqualityというライブラリでチェックされます。ルール自体は/etc/security/pwquality.confというファイルで設定します。(後述)
パスワードの強さをチェックする pwscore
libpwqualityをインストールすると、与えたパスワードの強さを評価してくれるpwscoreというユーティリティが付属しています。使い方はこんな感じです。
$ echo 'CHECKPASSWORD' | pwscore
または
$ echo 'CHECKPASSWORD' | pwscore adminユーザー名(例では"admin")を与えると、後述する「パスワードにユーザー名が含まれていないこと」のチェックも行ってくれます。
チェック用シェルスクリプト
下記のようなシェルスクリプトを作成して試してみました。
/tmp/pwd.sh
#!/bin/sh
declare -a PASSWORD
PASSWORD+=('Abc198$z') # 1 OK
PASSWORD+=('abc198$z') # 2 大文字なし
PASSWORD+=('ABC198$Z') # 3 小文字なし
PASSWORD+=('AxByCz$z') # 4 数字なし
PASSWORD+=('AxB198az') # 5 記号なし
PASSWORD+=('Abc198$') # 6 文字数不足
PASSWORD+=('Abc111$z') # 7 同じ文字が3文字連続している
PASSWORD+=('ABXYc198$z') # 8 大文字が4文字連続している
PASSWORD+=('Axbyc198$z') # 9 小文字が4文字連続している
PASSWORD+=('Abc1984$z') # 10 数字が4文字連続している
PASSWORD+=('Abc198$#!%z') # 11 記号が4文字連続している
PASSWORD+=('AdmiN198$z') # 12 パスワードにユーザー名が含まれている
for num in $( seq 0 $(( ${#PASSWORD[@]} - 1)) )
do
p=${PASSWORD[$num]}
echo "[$((num + 1))] $p"
echo $p | pwscore admin
done初期設定で試す
Amazon Linuxデフォルトではそれ程強いルールになっていないようです。簡単な辞書チェックと、パスワードにユーザー名が含まれているかのチェックはしてくれているみたいですね。(記号を4つも使ったパスワードが単純といわれるのも理不尽な気がしますが)
# sh /tmp/pwd.sh
[1] Abc198$z
24
[2] abc198$z
15
[3] ABC198$Z
15
[4] AxByCz$z
0
[5] AxB198az
21
[6] Abc198$
パスワードの品質チェックに失敗しました。
このパスワードは辞書チェックに失敗しました。 - 辞書の単語に基づいています
[7] Abc111$z
18
[8] ABXYc198$z
47
[9] Axbyc198$z
50
[10] Abc1984$z
38
[11] Abc198$#!%z
パスワードの品質チェックに失敗しました。
このパスワードは辞書チェックに失敗しました。 - 単純/系統的すぎます
[12] AdmiN198$z
パスワードの品質チェックに失敗しました。
このパスワードには一部に何らかの形でユーザー名が含まれています。パスワードルールを設定してみる
それでは/etc/security/pwquality.confを修正して、ルールを強化してみましょう。
- パスワードは8文字以上
- 大文字、小文字、数字、記号が最低1文字含まれていなければならない
- 111, AAA のように同じ文字が3文字以上連続してはならない
- 2016, PASS のように同じ文字種が4文字以上連続してはならない
$ grep "^[^#]" /etc/security/pwquality.conf
minlen = 8 #最低8文字
dcredit = -1 #数字を最低1文字含める
ucredit = -1 #大文字を最低1文字含める
lcredit = -1 #小文字を最低1文字含める
ocredit = -1 #記号を最低1文字含める
minclass = 2 #最低2種類の文字種(数字、大文字、小文字、記号)を含める(※今回は上記で最低1文字以上の制約があるため意味なし)
maxrepeat = 2 #同じ文字の連続は2文字まで許可
maxclassrepeat = 3 #同じ文字種の連続は3文字まで許可それでは再度チェックしてみましょう。
$ sh /tmp/pwd.sh
[1] Abc198$z
37
[2] abc198$z
パスワードの品質チェックに失敗しました。
このパスワードには 1 個未満の大文字のアルファベットが含まれています。
[3] ABC198$Z
パスワードの品質チェックに失敗しました。
このパスワードには 1 個未満の小文字のアルファベットが含まれています。
[4] AxByCz$z
パスワードの品質チェックに失敗しました。
このパスワードには 1 個未満の数字が含まれています。
[5] AxB198az
パスワードの品質チェックに失敗しました。
このパスワードには 1 個未満の記号が含まれています。
[6] Abc198$
パスワードの品質チェックに失敗しました。
このパスワードは 8 未満の文字列です。
[7] Abc111$z
パスワードの品質チェックに失敗しました。
このパスワードは 2 個を越える連続する同じ文字が含まれています。
[8] ABXYc198$z
パスワードの品質チェックに失敗しました。
このパスワードは 3 個を越える連続する同じ種類の文字が含まれています。
[9] Axbyc198$z
パスワードの品質チェックに失敗しました。
このパスワードは 3 個を越える連続する同じ種類の文字が含まれています。
[10] Abc1984$z
パスワードの品質チェックに失敗しました。
このパスワードは 3 個を越える連続する同じ種類の文字が含まれています。
[11] Abc198$#!%z
パスワードの品質チェックに失敗しました。
このパスワードは 3 個を越える連続する同じ種類の文字が含まれています。
[12] AdmiN198$z
パスワードの品質チェックに失敗しました。
このパスワードには一部に何らかの形でユーザー名が含まれています。デフォルト設定でOKだったパスワードがちゃんとNGになってますね!
password 設定時にも有効
pwquality.conf で設定したパスワードルールは、passwdコマンドでパスワードを設定する時にも有効になります。 (passwd → libpam.so → pam_pwquality.so → libpwquality.so という関係になってるっぽい)
$ passwd
ユーザー admin のパスワードを変更。
admin 用にパスワードを変更中
現在の UNIX パスワード:
新しいパスワード:
よくないパスワード: このパスワードは 3 個を越える連続する同じ種類の文字が含まれています。
新しいパスワード:
新しいパスワードを再入力してください:
passwd: すべての認証トークンが正しく更新できました。まとめ
Linuxでのパスワードルール強化方法と、チェック方法についてまとめてみました。
パスワードをいくつか試してみましたが、パスワード長が長ければ長いほど点数が高くなるようです。パスワードジェネレーターで作成した8文字のパスワードは40点、9文字にすると56点でした。だいたい50点以上が適度な強さ目安でしょうか? pwmakeコマンドを使うとルールの則った十分な強度のパスワード文字列を生成してくれます。1Passwordなどのツールを使っているならば、パスワードを覚える必要もないですので長いパスワードを使いましょう。
$ echo 'F4puX@0h' | pwscore
40
$ echo 'F4puX@0h1' | pwscore
56
$ pwmake 80
aKWamuR4j2Aj!Yt$4共用サーバーでは個人別ユーザーでログインし、sudoにもパスワードをかけて安全なサーバー運用を心掛けましょう!
6
