52134 2024-11-21 17:55:14 +0300 Предлагаю в репо crackcheck 2024-11-21 21:19:23 +0300 1 1 4 Development New/proposed packages Обычный репозиторий не указана x86_64 Linux NEW P5 normal --- 1 shevtsov.anton cas sin viy cas oldest_to_newest 254868 0 shevtsov.anton 2024-11-21 17:55:14 +0300 В апстримном коде самбы есть прекрасная утилита crackcheck - https://github.com/samba-team/samba/tree/master/examples/auth/crackcheck У нас она не собирается ни в каком виде, а если бы была, то ее можно повесить как "первая линия" проверки сложности пароля либо наличия его в стоплисте (это важно! заказчики прямо просят наличие функционала проверки по стоплисту паролей) В smb.conf это делается путем использования check password script check password script = /usr/local/sbin/crackcheck -c -d /usr/lib/cracklib-dict Я проверил - отличная вещь, нам надо такое. Хотя бы как опцию. Предлагаю либо при сборке самбы собирать ее в отдельный пакет, либо отдельно. Отдельно я дарю свой srpm - http://altrepo.ru/local-p10/x86_64/SRPMS.local-p10/crackcheck-f183fd3-alt1.src.rpm 254874 1 sin 2024-11-21 19:13:40 +0300 Вместо оторванного от дистрибутива crackcheck у нас имеется passwdqc. С тем же успехом можно использовать утилиту из соответствующего набора. $ rpm -ql passwdqc-utils /usr/bin/pwqcheck /usr/bin/pwqfilter /usr/bin/pwqgen /usr/share/man/man1/pwqcheck.1.xz /usr/share/man/man1/pwqfilter.1.xz /usr/share/man/man1/pwqgen.1.xz Нужно определиться с тем, насколько оно может оказаться несовместимо и поправить эту несовместимость. Тащить несколько одинаковых инструментов для решения одной и той же задачи не вполне разумно. А вот добавить инструментов для управления passwdqc - выглядит вполне системно. 254875 2 shevtsov.anton 2024-11-21 21:19:23 +0300 (Ответ для Evgeny Sinelnikov на комментарий #1) > Вместо оторванного от дистрибутива crackcheck у нас имеется passwdqc. > > С тем же успехом можно использовать утилиту из соответствующего набора. > > $ rpm -ql passwdqc-utils > /usr/bin/pwqcheck > /usr/bin/pwqfilter > /usr/bin/pwqgen > /usr/share/man/man1/pwqcheck.1.xz > /usr/share/man/man1/pwqfilter.1.xz > /usr/share/man/man1/pwqgen.1.xz > > Нужно определиться с тем, насколько оно может оказаться несовместимо и > поправить эту несовместимость. > > Тащить несколько одинаковых инструментов для решения одной и той же задачи > не вполне разумно. А вот добавить инструментов для управления passwdqc - > выглядит вполне системно. да, pwqcheck можно заставить проверять по словарю, принудительно сбросив параметры связанные с минимальной длиной разных классов. Т.е. просто проверка по списку, не используя функционал passwdqc [anton@dell crackcheck]$ grep my-P@assW0rd_ ./10-million-password-list-top.txt my-P@assW0rd_ [anton@dell crackcheck]$ echo my-P@assW0rd_ | pwqcheck -1 min=0,0,0,0,0 wordlist=./10-million-password-list-top.txt ; echo $? Bad passphrase (based on a word list entry) 1 [anton@dell crackcheck]$ echo _my-P@assW0rd_ | pwqcheck -1 min=0,0,0,0,0 wordlist=./10-million-password-list-top.txt ; echo $? OK 0