PostgreSQL学习之passwordcheck使用pam_cracklib

最新推荐文章于 2024-07-11 00:36:57 发布
最新推荐文章于 2024-07-11 00:36:57 发布
阅读量348 收藏 7
点赞数 4
文章标签: postgresql 数据库 安全 密码学 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38700215/article/details/140005448
版权

        passwordcheck通过钩子check_password_hook在创建用户或修改密码时对密码复杂度进行检查,passwordcheck不仅检查密码的长度、字符组成、是否包含用户名等,还可以使用第三方库pam_cracklib对密码进行弱口令检查。

        编译

        已centos7为例

        1、安装开发包:sudo yum install -y cracklib-devel cracklib-dicts cracklib

        2、下载字典文件:cracklib-words-20080507.gz

        3、生成字典文件:

[root@localhost cracklib-dict]# ls
cracklib-words-20080507.gz
[root@localhost cracklib-dict]# gunzip cracklib-words-20080507.gz
[root@localhost cracklib-dict]# ls
cracklib-words-20080507
[root@localhost cracklib-dict]# create-cracklib-dict -o ./cracklib-dict ./cracklib-words-20080507
1671686 1671686
[root@localhost cracklib-dict]# ls
cracklib-dict.hwm  cracklib-dict.pwd  cracklib-dict.pwi  cracklib-words-20080507
[root@localhost cracklib-dict]#

        4、修改Makefile文件:

[postgres@localhost postgresql-14.7]$ cd contrib/passwordcheck/
[postgres@localhost passwordcheck]$ vim Makefile
# contrib/passwordcheck/Makefile

MODULE_big = passwordcheck
EXTENSION = passwordcheck

OBJS = \
        $(WIN32RES) \
        passwordcheck.o
PGFILEDESC = "passwordcheck - strengthen user password checks"

# uncomment the following two lines to enable cracklib support
PG_CPPFLAGS = -DUSE_CRACKLIB '-DCRACKLIB_DICTPATH="/opt/cracklib-words/cracklib-dict"'
SHLIB_LINK = -lcrack

DATA = passwordcheck--1.0.sql
REGRESS = passwordcheck

ifdef USE_PGXS
PG_CONFIG = pg_config
PGXS := $(shell $(PG_CONFIG) --pgxs)
include $(PGXS)
else
subdir = contrib/passwordcheck
top_builddir = ../..
include $(top_builddir)/src/Makefile.global
include $(top_srcdir)/contrib/contrib-global.mk
endif

                1)新增一行EXTENSION = passwordcheck,增加这一行将会提示找不到文件passwordcheck.control,可以手动创建:

# passwordcheck extension

comment = 'passwordcheck'
default_version = '1.0'
module_pathname = '$libdir/passwordcheck'
relocatable = true

                2)新增一行DATA = passwordcheck--1.0.sql,增加这一行安装时将会提示缺少文件passwordcheck--1.0.sql,这个可以手动创建,内容为空就可以。

                3)关键是取消注释下面两行,并将CRACKLIB_DICTPATH的值设置为上面第3步生成字典文件的路径,文件名称为cracklib-dict不可以带后缀,因为这个文件名对应着三个文件。

PG_CPPFLAGS = -DUSE_CRACKLIB '-DCRACKLIB_DICTPATH="/opt/cracklib-words/cracklib-dict"'
SHLIB_LINK = -lcrack

        5、make;make install

        6、确认passwordcheck.so已使用pam_cracklib:

[postgres@localhost passwordcheck]$ ldd ./passwordcheck.so
        linux-vdso.so.1 =>  (0x00007fff42d9a000)
        libcrack.so.2 => /lib64/libcrack.so.2 (0x00007fe76fe6f000)
        libc.so.6 => /lib64/libc.so.6 (0x00007fe76faa1000)
        libz.so.1 => /lib64/libz.so.1 (0x00007fe76f88b000)
        /lib64/ld-linux-x86-64.so.2 (0x00007fe77027d000)

        配置

        编辑配置文件vim ../data/postgresql.conf,修改如下:

shared_preload_libraries = 'passwordcheck'

        测试 

postgres=# alter user user1 password '123';
ERROR:  password is too short
postgres=# alter user user1 password '123456789';
ERROR:  password must contain both letters and nonletters
postgres=# alter user user1 password 'Hello123456789';
ALTER ROLE
postgres=# alter user user1 password 'Hello123456';
ALTER ROLE
postgres=# alter user user1 password 'He123456';
ERROR:  password is easily cracked
postgres=# alter user user1 password 'He123456789';
ERROR:  password is easily cracked
postgres=# alter user user1 password 'He@123456789';
ERROR:  password is easily cracked
postgres=# alter user user1 password 'Hello@123456';
ALTER ROLE
postgres=#

         上面的错误提示:password is easily cracked即为pam_cracklib检查不通过:

weixin_38700215
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PostgreSQL 密码验证功能增强
weixin_45694422的博客
06-18 379
更多精彩内容,请登录:ke.sandata.com.cn 密码验证介绍 passwordcheck 模块是在 CREATE ROLE 或者 CREATE USER 期间检查用户密码是否符合指定的规则模块如果密码比较弱,那么在此期间将会拒绝执行密码并返回一个错误。 该模块位于 srcpkg/contrib 目录下,安装后位于 $libdir 目录下,使用 shared_preload_libraries加载并重新启动服务器后生效。在该模块中,主要有两个规则判断,一个是用户名自身的判断,一个是密码长度少于8位的
PG中的密码复杂度校验passwordcheck
04-11 1262
PG中的密码复杂度校验passwordcheck [pg12@wcbpgcm1 data]$ psql psql (12.9) Type "help" for help. postgres=# show shared_preload_libraries; shared_preload_libraries -------------------------- (1 row) postgres=# alter system set shared_preload_libraries = 'passwo
Postgresql数据库安全性配置-密码
snowyar的专栏
10-30 2268
密码的配置命令可能会被记录到history文件及csvlog日志文件中(如果开启了DDL或更高级别审计log_statement),这些文件明文记录了密码,可能造成密码泄露风险。passwordcheck.so模块可以实现密码复杂度要求,此模块可以检查密码,如果密码太弱,他会拒绝连接。例如密码长度,包含数字,字母,大小写,特殊字符等,同时排除暴力破解字典中的字符串。创建用户或修改用户密码时,强制限制密码的复杂度,限制密码不能重复使用。pg支持密码有效期配置,可以通过配置密码有效期,制定密码更换周期。
PostgreSQL库做等保测评,需要对密码长度、复杂度做限制
chenyifan0329的博客
03-21 591
运行后再去执行rpm -ivh postgresql14-contrib-14.4-1PGDG.rhel7.x86_64.rpm就能执行成功了。3、需要安装postgresql14-contrib-14.4-1PGDG.rhel7.x86_64.rpm。缺少libpython3.6m.so.1.0、libxslt.so.1这两个依赖包。执行完成后数据库就能启动成功了。1、在配置文件里加入下面这行。2、数据库启动时报如下错误。将安装包上传到服务器上执行。从官网上下载对应版本的包。
PostgreSQL数据库之密文密码检查(passwordcheck)
weixin_38700215的博客
06-19 291
passwordcheck插件是一个检查密码发杂度的postgresql数据库插件,用于检测新创建或新修改的用户密码复杂度。如果密码是以明文字符串的形式传送到数据库服务端的,那么密码复杂度很容易检查,无非就是对字符串的检查。但是,postgresql数据库允许以密文形式修改用户密码,也就是用户可以先把新密码加密(加密算法可选上面提到的算法),然后把加密后的密文传送到服务端,服务端接收到的是加密了的密码,又怎么进行密码复杂度检查呢?
Coder-Strike 2014 - Qualification Round——A. Password Check
清溪浅水
04-15 708
You have probably registered on Internet sites many times. And each time you should enter your invented password. Usually the registration form automatically checks the password's crypt resistance. If
PASSWORD CHECK
徐虎的专栏
09-09 2002
    Sub Login(ByVal obj As Object, ByVal e As eventargs)        Dim intId As Integer = 0        Dim Conn As New OleDbConnection("Provider=" & _              "Microsoft.Jet.OLEDB.4.0;" & _           
PostgreSQL_8.2.3.rar_postgresql_windows 8
09-24
在“PostgreSQL_8.2.3_中文文档.chm”中,我们可以找到关于PostgreSQL 8.2.3的详细中文指南。CHM文件是Microsoft的 Compiled HTML Help 文件,它以电子书的形式提供了一整套的文档和帮助信息,便于用户快速查询和...
PostgreSQL_DBMS_for_Windows_922_136133.exe
08-08
支持ArcGIS10.2版本的PostgreSQL_DBMS_for_windows_922,ESRI官方原版资源。
PostgreSQL_8.2.3_cn.rar_c++ postgresql
09-14
"PostgreSQL_8.2.3_cn.chm"文档是学习PostgreSQL的重要参考资料,涵盖安装、配置、SQL语法、性能调优等多个方面。通过深入阅读和实践,开发者可以快速上手并精通PostgreSQL使用。 总之,PostgreSQL 8.2.3不仅是一...
postgresql PGCA 课程PPT01_postgresql_PGCA_PGCP_PGCM_课程全免费
07-27
PostgreSQL】是一种高度成熟且功能丰富的开源(对象-关系型)数据库管理系统,它在业界被认为是主流数据库之一,尤其在企业级应用中受到广泛青睐。PostgreSQL 的特性包括支持复杂查询、事务处理、多版本并发控制...
postgresql11-15和postgis30_11的rpm
03-13
PostgreSQL 11-15 和 PostGIS 3.0.11 是针对Linux CentOS服务器的重要组件,它们在数据库管理和地理空间数据...通过持续学习和实践,您可以更好地利用PostgreSQL 11-15和PostGIS 3.0.11构建高效、可靠的GIS应用程序。
PostgreSQL password security
postgrechina的博客
10-14 4579
数据库密码管理是数据库安全的重要环节之一. 例如简单密码策略应该包含 :  1. 密码复杂度 2. 密码验证失败延迟 3. 密码更换周期, 以及重复使用策略 4. 密码验证失败几次后锁定, 以及解锁时间等 5. 设置密码时防止密码被记录到数据库日志,history,~/.psql_history或审计日志中. (也可以使用pwd+user的md5值设置密码, 或
数据库PostgreSQL增加密码复杂度校验
菜鸟sdut的博客
05-28 4751
前言 最近修改问题单,被分配了一个增加密码复杂度校验的单子,PG库也不是很懂,查了资料,PG有自带的密码复杂度校验插件,只需要使用这个插件就可以了,然后根据这几天的折腾,总结一下。 怎么添加密码复杂度校验插件 PostgreSQL可以使用passwordcheck扩展+CrackLib来检查口令,并且 PostgreSQL自带了一个插件passwordcheck可以满足简单的密码复杂度测验, 防止使用过短, 或者与包含用户名的密码。 PG的密码复杂度校验插件所在目录是contrib/passwordchec
windows下,postgreSQL添加passwordcheck模块
weixin_42482759的博客
12-07 2348
一、密码验证介绍 passwordcheck 模块是在 CREATE ROLE 或者 CREATE USER 期间检查用户密码是否符合指定的规则模块如果密码比较弱,那么在此期间将会拒绝执行密码并返回一个错误。 该模块位于 srcpkg/contrib 目录下,安装后位于 $libdir 目录下,使用 shared_preload_libraries加载并重新启动服务器后生效。在该模块中,主要有两个规则判断,一个是用户名自身的判断,一个是密码长度少于8位的判断,一个是对是否包含用户名本身的判断。 二、在win
PostgreSQL使用docker部署,设置密码失效问题处理
闫玉林的博客
12-21 679
问题很明确了,一开始PostgreSQL的docker配置没设置密码,默认生成的文件目录也就没有密码。后面设置了密码,因为数据目录非空没有执行创建过程,导致密码设置没生效。由于我们的数据目录文件夹非空,已经存在数据库,就会跳过初始化过程,就不会重新创建数据目录,也就没有设置密码。知道存在弱密码漏洞时,我首先想到的是PostgreSQL的配置问题,因为默认就是不进行密码校验的。如果按照正常情况下,PostgreSQL容器初始化时,会创建数据目录,按照配置创建用户名和密码。,果然是默认配置,不做密码校验。
kingbase passwordcheck插件简介及使用
ALuckyBoy_qj的博客
11-13 189
passwordcheck插件简介及使用
Linux PAMcracklib模块
weixin_34405354的博客
04-06 1759
Linux PAMcracklib模块 如何在Linux系统中限制密码长度的同时对密码的复杂程度也进行管理,最近发现有人的密码符合长度规则,但是却很简单很容易被猜出来,查了相关资料后发现了PAM中的pam_cracklib模块就是用来做密码复杂度检测的。 先简单的介绍一下PAMPAM(Pluggable Authentication Modul...
Ubuntu中如何设置IP地址
最新发布
uestcai的博客
07-11 913
在 Ubuntu 中,可以通过几种方式设置 IP 地址:使用网络管理器图形界面、命令行工具(如nmcli或nmtui)、或直接编辑网络配置文件。以下是这几种方法的详细步骤。
启动postgresql报错误:PAM unable to dlopen(/usr/lib64/security/pam_sss.so): /usr/lib64/security/pam_sss.so: cannot open shared ob
06-09
这个错误提示表明 Postgresql 在启动时无法加载 pam_sss.so 模块。这通常是由于缺少依赖库或者权限问题导致的。 您可以尝试以下方法来解决这个问题: 1. 确保 pam_sss.so 模块已经正确安装。您可以使用以下命令来检查: ``` ls -l /usr/lib64/security/pam_sss.so ``` 如果文件不存在,请尝试重新安装 pam 包。 2. 确认 pam_sss.so 模块的依赖库已经正确安装。您可以使用以下命令来检查: ``` ldd /usr/lib64/security/pam_sss.so ``` 如果存在缺失的依赖库,请尝试安装。 3. 确认 Postgresql 的运行用户是否具有权限访问 pam_sss.so 模块。您可以使用以下命令来检查: ``` ls -l /usr/lib64/security/pam_sss.so ``` 然后确认 Postgresql 的运行用户是否具有与文件拥有者相同的权限。 4. 如果以上方法都无法解决问题,可以尝试卸载并重新安装 pam 包来解决问题。 希望这些方法能够帮助您解决问题。如果问题仍然存在,请考虑联系 Postgresql 的支持团队或者 PAM 模块的开发者来获得更多帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值