আপনি কি কোনও ব্যবহারকারীর অ্যাকাউন্টকে একাধিক পাসওয়ার্ড দিতে পারেন?

আমি একটি অ্যাকাউন্টে 2 টি পাসওয়ার্ড বরাদ্দ করতে চাই। আমি যা জানতে চাই 1) এটি কি সম্ভব এবং 2) এর সুরক্ষা সম্পর্কিত প্রভাবগুলি কী কী?

আমি এটি করতে চাইার কারণ হ'ল আমি বর্তমানে কিছু স্থানীয় পরীক্ষায় ব্যস্ত, এবং আমি ভেবেছিলাম এটি নির্দিষ্ট কিছু পরিস্থিতিতে সুবিধাজনক হবে। কিছু গবেষণার পরে আমি পিএএম নামক একটি জিনিস পেয়েছি , তবে ইনস্টলেশন / কনফিগারেশন কীভাবে কাজ করে তার তথ্য খুঁজতে আমি লড়াই করছি।

আমি উবুন্টু 12.04 চালাচ্ছি।

হ্যাঁ, যদিও বেশ অস্বাভাবিক, এটি অবশ্যই কার্যকর।

এটিকে /etc/password /etc/shadowকনফিগারেশনের জন্য ডিফল্ট ভিত্তিক প্রমাণীকরণ পদ্ধতির কোনও ব্যবস্থা নেই বলে নিজেকে এটিকে প্রয়োগ করার চেষ্টা করার পরিবর্তে, সহজ উপায় হ'ল ইতিমধ্যে কোনও ব্যবহারকারীর জন্য একাধিক পাসওয়ার্ড সমর্থন করে এমন ব্যাক-এন্ডে প্রমাণীকরণ প্রেরণ করা।

একটি সুপরিচিত একটি এলডিএপি যা আরটিএফসি 4519userPassword অনুসারে বৈশিষ্ট্যটি মাল্টিভ্যালিউড করা হয় :

'ব্যবহারকারীর পাসওয়ার্ড' বৈশিষ্ট্যে একাধিক মানের প্রয়োজনের উদাহরণ হ'ল এমন একটি পরিবেশ যেখানে প্রতিমাসে ব্যবহারকারী কিছু স্বয়ংক্রিয় সিস্টেম দ্বারা উত্পাদিত আলাদা পাসওয়ার্ড ব্যবহার করার প্রত্যাশা করে। ক্রান্তিকাল সময়কালে, পিরিয়ডগুলির শেষ এবং প্রথম দিনের মতো, নিয়মিত দুটি সময়কালের জন্য দুটি পাসওয়ার্ড সিস্টেমে বৈধ হওয়ার অনুমতি দেওয়া প্রয়োজন হতে পারে।

এই আরএফসি সত্ত্বেও, সম্ভবত আপনাকে সম্ভবত এই সেটিংটি গ্রহণ করার জন্য বেশিরভাগ ডিরেক্টরি সার্ভার বাস্তবায়নে পাসওয়ার্ড নীতি কনফিগারেশন পরিবর্তন করতে হবে।

লিনাক্স দিকে, কিছুই নিষেধের এটা করতে (এখানে নামে একটি অ্যাকাউন্ট testuserউভয় দেওয়া হয় pass1এবং pass2যেমন userPasswordঅ্যাট্রিবিউট মান):

$ uname -a
Linux lx-vb 3.8.0-19-generic #29-Ubuntu SMP Wed Apr 17 18:16:28 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
$ grep VERSION /etc/os-release
VERSION="13.04, Raring Ringtail"
$ grep "^passwd" /etc/nsswitch.conf 
passwd: files ldap
$ ldapsearch -LLL -h localhost -p 1389 -D "cn=directory manager" -w xxxxxxxx "uid=testuser" userPassword
dn: uid=testuser,ou=People,dc=example,dc=com
userPassword:: e1NTSEF9b2JWYXFDcjhNQmNJVXZXVHMzbE40SFlReStldC9XNFZ0NU4yRmc9PQ==
userPassword:: e1NTSEF9eDlnRGZ5b0NhKzNROTIzOTFha1NiR2VTMFJabjNKSWYyNkN3cUE9PQ==
$ grep testuser /etc/passwd
$ getent passwd testuser
testuser:*:12345:12345:ldap test user:/home/testuser:/bin/sh
$ sshpass -p pass1 ssh testuser@localhost id
uid=12345(testuser) gid=12345 groups=12345
$ sshpass -p pass2 ssh testuser@localhost id
uid=12345(testuser) gid=12345 groups=12345
$ sshpass -p pass3 ssh testuser@localhost id
Permission denied, please try again.

এই ধরণের কনফিগারেশনের কিছু প্রযুক্তিগত এবং সুরক্ষা সম্পর্কিত প্রভাবগুলি এখানে রয়েছে:

• ব্যবহারকারীর অ্যাকাউন্টটি স্পষ্টতই আক্রমণে বেশি ঝুঁকির মুখোমুখি হবে যদিও এখানে যা সত্য তা গুরুত্বপূর্ণ তা তাদের সংখ্যার চেয়ে পাসওয়ার্ডের গুণমান এবং সুরক্ষা।
• বেশিরভাগ ইউটিলিটি ধরে ধরেছে যে ব্যবহারকারীর একক পাসওয়ার্ড রয়েছে তাই কোনও ব্যবহারকারীকে পৃথকভাবে কোনও একটি পাসওয়ার্ড আপডেট করার অনুমতি দেয় না। পাসওয়ার্ড পরিবর্তন এর পরে ব্যবহারকারীর জন্য একক পাসওয়ার্ডের বৈশিষ্ট্য তৈরি হতে পারে।
• যদি লক্ষ্যটি হ'ল একাধিক লোককে প্রত্যেকে তাদের নিজস্ব পাসওয়ার্ড ব্যবহার করে একই অ্যাকাউন্ট ভাগ করতে দেয়, তবে ব্যবহৃত পাসওয়ার্ডের ভিত্তিতে কারা আসলে লগ ইন করে তা সনাক্ত করার কোনও ব্যবস্থা নেই।

আমি কেবল /etc/shadowফাইলটিতে একটি ব্যবহারকারীর জন্য 2 টি এন্ট্রি তৈরি করার চেষ্টা করেছি এবং এটি কার্যকর হয়নি। কোন প্রবেশদ্বারটি সর্বপ্রথম পাসওয়ার্ড এন্ট্রি ব্যবহৃত হত।

উদাহরণ

একটি পরীক্ষা ব্যবহারকারী তৈরি করেছেন।

$ useradd -d /home/newuser newuser

পাসওয়ার্ডটি "সুপার 123" তে সেট করুন:

$ passwd newuser

ম্যানুয়ালি /etc/shadowফাইলটি সম্পাদনা করুন এবং একটি দ্বিতীয় এন্ট্রি করেছেন:

newuser:$6$....password #1...:15963:0:99999:7:::
newuser:$6$....password #2...:15963:0:99999:7:::

তারপরে 2 টি পাসওয়ার্ড ব্যবহার করে অ্যাকাউন্টে লগইন করার চেষ্টা করুন।

su - newuser

প্রথম এন্ট্রিটি /etc/shadowহ'ল কী ব্যবহার করা হবে, দ্বিতীয় অবস্থানে প্রবেশ কখনই কার্যকর হয় না, যদি আপনি এগুলি ফ্লিপ করেন:

newuser:$6$....password #2...:15963:0:99999:7:::
newuser:$6$....password #1...:15963:0:99999:7:::

তারপরে দ্বিতীয় পাসওয়ার্ডটি কাজ করে এবং প্রথমটি ব্যবহার করে না।

Sudo ব্যবহার করুন

এই পদ্ধতির একটি মোট হ্যাক, আমি কেবল ব্যবহার করব sudo, এটি আংশিকভাবে কেন sudoবিদ্যমান।

আপনি আপনার sudoers ফাইল ( /etc/sudoers) এ এই এন্ট্রি যুক্ত করতে পারেন যা ব্যবহারকারীর জো অনুমতি হিসাবে আপনাকে কিছু করার অনুমতি দেয়:

joe ALL=(yourusername) ALL

আপনি যদি এটি করতে পারেন তবে আপনার সম্ভবত করা উচিত নয়।

পিএএম কনফিগারেশন কিছুটা জটিল এবং প্রমাণীকরণ পদ্ধতি সম্পর্কে একটি বিশ্বাসবাদ রয়েছে: সঠিক কনফিগারেশনের একটি সীমাবদ্ধ সেট রয়েছে তবে নিরাপত্তাহীন কনফিগারেশনের একটি অসীম সেট রয়েছে। এটি প্রায় নিশ্চিত করে তোলে যে আপনি যদি কিছু পরিবর্তন করার চেষ্টা করেন এবং আপনি কী করছেন তা সুনির্দিষ্টভাবে না জানলে আপনি জিনিসগুলি স্ক্রু আপ করবেন।

যদি পছন্দটি সুরক্ষা এবং "কিছু নির্দিষ্ট পরিস্থিতিতে সুবিধাজনক" এর মধ্যে হয় তবে পূর্বেরটিকে বেছে নিন।

আপনি একই অ্যাকাউন্টের জন্য তাদের পাসওয়ার্ড সহ দুটি পৃথক ব্যবহারকারীর নাম সেট করতে পারেন। ম্যানুয়ালি vipwসম্পাদনা করতে চালান /etc/passwd, আপনার আগ্রহী অ্যাকাউন্টটির জন্য বিদ্যমান লাইনটি নকল করুন এবং ব্যবহারকারীর নাম পরিবর্তন করুন (এবং যদি আপনি গেকোস ক্ষেত্র , হোম ডিরেক্টরি এবং শেল পছন্দ করেন)। vipw -sসেই ব্যবহারকারীটির জন্য লাইনটি চালান এবং সদৃশ করুন /etc/shadow। নতুন ব্যবহারকারীর নীচে লগ ইন করুন এবং নতুন ব্যবহারকারীর passwdজন্য পাসওয়ার্ড পরিবর্তন করতে চালান । একই অ্যাকাউন্টের জন্য এখন আপনার কাছে দুটি পৃথক ব্যবহারকারীর নাম, বিভিন্ন পাসওয়ার্ড রয়েছে (ব্যবহারকারী ID যা অ্যাকাউন্ট নির্ধারণ করে)।

এটি সম্ভবত একটি ভাল ধারণা নয়। আপনি যা করার চেষ্টা করছেন তার উপর নির্ভর করে অন্যান্য পদ্ধতিগুলি আরও উপযুক্ত হতে পারে:

• সংস্করণ নিয়ন্ত্রণ থেকে প্রতিশ্রুতিবদ্ধ এবং চেক আউট করে অন্য অ্যাকাউন্ট তৈরি করুন এবং ফাইলগুলি ভাগ করুন।
• অন্য অ্যাকাউন্টটি তৈরি করুন, একটি গোষ্ঠী তৈরি করুন যা উভয় ব্যবহারকারীর অ্যাকাউন্টের অন্তর্ভুক্ত এবং আপনি ভাগ করতে চান এমন ফাইলগুলিতে গোষ্ঠী লেখার অ্যাক্সেস দিন।

• অন্য অ্যাকাউন্ট তৈরি করুন এবং প্রথম অ্যাকাউন্টকে sudo দিয়ে সেই অ্যাকাউন্ট হিসাবে আদেশগুলি চালনার অধিকার দিন:

  user1 ALL = (user2) ALL
  

• অ্যাকাউন্টের জন্য একটি এসএসএইচ কী তৈরি করুন যা কেবলমাত্র একটি নির্দিষ্ট কমান্ড চালানোর অনুমতি দেয় ।