Môžem dať predvolené heslo v Solaris?

Áno, môžete * dať predvolené heslo v Solaris, ale je to veľmi nebezpečné a veľmi odrádzané. Je to vážne bezpečnostné riziko. Tu je dôvod a aké alternatívy by ste mali zvážiť:

Prečo je to hrozný nápad:

* Masívna zraniteľnosť bezpečnosti: Ak nastavíte predvolené heslo, každý, kto vie, sa môže okamžite prihlásiť a prevziať kontrolu nad systémom. To zahŕňa škodlivých aktérov vo vašej sieti alebo širší internet.

* ľahko využiteľné: Hackeri aktívne skenujú systémy s predvolenými povereniami. Je to často prvá vec, ktorú sa snažia.

* Porušenie bezpečnostných politík: Väčšina organizácií má prísne pravidlá proti predvoleným heslom. Pravdepodobne budete porušovať politiky podnikovej bezpečnosti.

* ohrozené údaje: Akonáhle je útočník, môže ukradnúť, upravovať alebo odstrániť citlivé údaje.

* infekcia systému: Ohrozený systém sa môže použiť ako štartovaciapad na útoky na iné systémy.

Ako je to * technicky * možné (ale nerobte to pre výrobné systémy):

1. Používanie `passwd` s`--Stdin` (počas konfigurácie systému):

Toto sa často používa v automatizovaných zostaveniach systému alebo inštaláciách Kickstart. Môžete zahrnúť skript, ktorý používa `passwd` s voľbou`--Stdin` na nastavenie hesla.

`` `Bash

echo "default_password" | PassWd - -StDin user_account

`` `

* nahradiť `default_password` s skutočným heslom, ktoré chcete použiť (hlúpo).

* nahradiť `user_account` s názvom používateľa, ktorému chcete priradiť heslo k (napr.` root`).

Dôležité:toto * musí byť vykonané počas počiatočného nastavenia systému * Pred * systém je pripojený k ktorejkoľvek sieti. Okamžite zmeňte heslo na silné, jedinečné heslo * po * prvom prihlásení.

2. Modifikácia `/etc/Shadow` (manipulácia s hashom Priamym heslom):

Toto je * najnebezpečnejšia a zložitá metóda. Museli by ste:

* Generujte hash hesla (pomocou `OpenSSL Passwd` alebo podobný nástroj).

* Priamo upravte súbor `/etc/Shadow` (budete potrebovať koreňové oprávnenia). Tento súbor obsahuje šifrované hashové heslo a ďalšie informácie o účte.

* Nesprávna úpravy `/etc/Shadow` vás môže úplne zablokovať zo systému.

Toto sa za žiadnych okolností neodporúča, pokiaľ sa nezaoberáte zlomeným systémom a potrebujete obnoviť prístup. Dokonca aj potom buďte veľmi opatrní.

Oveľa lepších alternatív (namiesto toho ich použite!):

* pre automatizované zostavy systému (Kickstart, JumpStart):

* Generujte náhodné heslá: Použite skript na generovanie silného, ​​náhodného hesla pre každý systém. Uložte heslá bezpečne (šifrované) a distribuujte ich autorizovaným personálom.

* Prvý zavádzací skript, ktorý vynúti zmenu hesla: Vytvorte skript, ktorý beží na prvom zavedení systému. Tento skript by mal * vynútiť * používateľ (najmä „koreň“, aby okamžite zmenil svoje heslo. Toto je bežná a efektívna prax.

* autentifikácia verejného kľúča (kľúče SSH): Namiesto hesiel používajte klávesy SSH. Je to podstatne bezpečnejšie. Počas zostavovania systému môžete nasadiť verejné kľúče do súboru Autorized_Keys` používateľských účtov.

* pre jednotlivé systémy:

* Strong, jedinečné heslá: Vyberte silné heslá (dlhé, zložité, náhodné), ktoré sú * jedinečné * pre každý systém. Použite správcu hesiel, aby vám pomohol bezpečne vygenerovať a ukladať heslá.

* Pravidelné zmeny hesla: Implementujte politiku pravidelných zmien hesla (napr. Každých 90 dní).

* Multifaktorové overenie (MFA): Vždy, keď je to možné, povoľte MFA (napr. Používanie aplikácie Totp, ako je autentifikátor Google alebo Authy). To pridáva ďalšiu vrstvu zabezpečenia nad rámec hesiel.

* Zakáže prihlásenie na založené na hesle (ak používate kľúče SSH): Po nakonfigurovaní kľúča SSH zakázali prihlásenia založené na hesle v `/etc/ssh/sshd_config` nastavením` hesloAuthentication no`. To bráni útočníkom v pokuse o hrubé heslá.

Príklad generovania náhodného hesla v skripte:

`` `Bash

#!/bin/bash

generujte náhodné heslo

heslo =$ (OpenSSL rand -base64 16)

Nastavte heslo pre účet „Newuser“

Echo „$ heslo“ | Passwd - -StDin Newuser

Vytlačte heslo (pre dočasné protokolovanie - odstráňte to vo výrobe)

Echo „Generované heslo pre Newuser:$ heslo“

Ihneď po vyššie uvedenom, odstráňte heslo z skriptu alebo súbor denníka.

`` `

kľúčové cesty:

* Nikdy, nikdy nepoužívajte predvolené heslo v systéme, ktorý bude pripojený k sieti.

* uprednostňuje bezpečnosť pred pohodlie.

* Používajte silné heslá, kľúče SSH a MFA, kedykoľvek je to možné.

* Automatizovať generovanie a distribúciu hesiel počas zostavení systému.

* Vynútiť zmeny hesla pri prvom prihlásení.

Ak popíšete * prečo * Myslíte si, že potrebujete predvolené heslo, môžem vám poskytnúť konkrétnejšie a bezpečnejšie riešenia.

• Predchádzajúca strana: Žiada BootCamp o vaše heslo firmvéru? 
• Ďalšia strana: Ako zmeníte heslo na svojom iPod Touch?