Cómo verificar si hay contraseñas débiles en sus sistemas Linux con John the Ripper


¿Está seguro de que sus usuarios están trabajando con contraseñas seguras en sus servidores Linux? Deja que John the Ripper te muestre quién es y quién no.

Protección del sistema informático, seguridad de la base de datos, internet seguro. Símbolo de bloqueo en el fondo de datos de computadora abstracta programación código binario, tecnología de protección de datos. Ilustración vectorial

Getty Illustrations or photos / iStockphoto

La seguridad de sus servidores Linux es tan sólida como las contraseñas utilizadas por sus usuarios finales. Si sus usuarios tienen contraseñas débiles, es solo cuestión de tiempo antes de que cualquier persona que lo haga ingrese a su sistema para causar estragos en su red o robar datos valiosos.

No quieres eso.

Entonces, ¿Qué haces? Ciertamente, puede establecer políticas de contraseña, pero incluso entonces, es posible que tenga un usuario que sea anterior a la política o tal vez haya establecido una política que raya en débil.

Para asegurarse de que sus usuarios no estén trabajando con contraseñas débiles, puede emplear una herramienta llamada John the Ripper (JTR) para asegurarse de que esas contraseñas no sean fáciles de descifrar.

Déjame mostrarte cómo se hace esto.

Nota: Demuestro el uso de esta herramienta como un medio para probar las contraseñas de sus usuarios en sus servidores Linux internos. El uso de esta herramienta fuera de ese propósito podría tener ramificaciones legales. Por favor use a John el Destripador sabiamente.

VEA: 10 cosas que las empresas mantienen en sus propios centros de datos (descarga TechRepublic)

Lo que necesitarás

John the Ripper se puede instalar en casi cualquier distribución de Linux (desde repositorios estándar). Haré una demostración en Ubuntu Server 20.04, pero no debería tener ningún problema para instalar el program en la distribución que elija.

Cómo instalar John the Ripper

Lo primero que debemos hacer es instalar JTR. Para hacer esto, inicie sesión en su servidor Linux y emita el comando:

sudo apt-get install john -y

También querrás instalar una lista de palabras. Por ejemplo, para instalar la gran lista de palabras estadounidense, emitiría el comando:

sudo apt-get set up wamerican-big -y

Para obtener una lista completa de las listas de palabras instalables, emita el comando:

sudo apt-get put in wordlist

Regrese e instale cualquiera de las listas de palabras que desea usar.

Cómo detectar contraseñas débiles

Para ejecutar John the Ripper contra las contraseñas de los usuarios, necesitamos fusionar los archivos shadow y passwd con el comando:

sudo /usr/sbin/unshadow /and so forth/passwd /and so on/shadow > /tmp/crack.password.db

Ahora podemos ejecutar a John en ese nuevo archivo con el comando:

john /tmp/crack.pasword.db

Este comando tomará un tiempo serio, especialmente si tiene muchos usuarios para que john los atraviese. Mientras John corre, puede presionar cualquier tecla para verificar el estado e incluso ver las contraseñas reveladas a medida que funciona (Figura A)

Figura A

johna.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/04/30/6592e151-8fe1-425b-b2aa-7f7a12190ae9/resize/770x/2420751f5ab8ba82b58ccd9169f96a2e/johna.jpg

John ha descifrado la contraseña de Olivia.

Creé un nuevo usuario (Olivia) con la contraseña 12345. John tardó menos de 15 segundos en descifrar esa contraseña. Olivia necesita cambiar su contraseña de inmediato.

A medida que se ejecuta el comando john, debe asegurarse de que nadie tenga acceso a la ventana del terminal. Probablemente querrás hacer otro trabajo administrativo, ya que nunca sabes cuánto tiempo llevará esto. Cuando John termine, volcará los resultados en un registro que se puede ver con el comando:

john --demonstrate /tmp/crack.password.db

Los resultados del comando –clearly show enumerarán a los usuarios con sus contraseñas sin sal así:

olivia:12345:1001:1001:Olivia Nightingale,,,:/dwelling/olivia:/bin/bash

En el ejemplo anterior, la contraseña descifrada es 12345.

Y eso es todo lo que hay que hacer para verificar si sus usuarios están trabajando con contraseñas débiles en sus servidores Linux. Use esta herramienta de manera responsable y puede ayudar a garantizar que sus servidores Linux estén a salvo de los piratas informáticos. United states esta herramienta de manera irresponsable y puede llevarte a un mundo de problemas.

Ver también



Enlace a la noticia authentic