Так уж вышло, что приходится мне поддерживать почту одной компании. Делали там все задолго до меня, и использовали для этого панель Plesk.
Раньше политика паролей на сервере позволяла задавать любые пароли, но после того, как некоторые неплохо так проспамились со своих адресов, было принято решение повысить требования к паролям.
Да, настройки это позволяют, хоть и не очень гибко:
И вроде все хорошо, панель больше не позволяет создать/сохранить простой пароль.
А теперь заходим в web-интерфейс почты (по умолчанию Plesk ставит Horde), выбираем в дереве слева "My Account" - "Password" иии... Да, пароль можно сменить на любой, сложность никто не проверяет. То есть пользователь, не желающий заморачиваться со сложным паролем, может просто пойти и задать себе любой. Отлично.
К счастью, в Horde предусмотрена проверка сложности для нового пароля (вот тут совсем не понятно, почему же тогда это не задействовали?). Не нашел способа получить через CLI от панели значение для действующей политики, поэтому просто забил руками параметры в файл
/usr/share/psa-horde/passwd/config/backends.php
Изначально там у единственного доступного бэкенда стоит значение
'password policy' => array(),меняем на
'password policy' => array(
'minLength' => 10,
'maxSpace' => 0,
'minUpper' => 1,
'minLower' => 1,
'minNumeric' => 1,
'minSymbols' => 1,
),
Готово.
Думаю, объяснять, какой парамтер в данном случае что означает особого смысла нет, догадаться нетрудно.
Искренне недоумеваю, почему внезапно такой важный момент в безопасности остался без внимания. Тикет в Parallels написал, конечно, после того как сам все поправил, но ведь очевидный же косяк.
Думаю, объяснять, какой парамтер в данном случае что означает особого смысла нет, догадаться нетрудно.
Искренне недоумеваю, почему внезапно такой важный момент в безопасности остался без внимания. Тикет в Parallels написал, конечно, после того как сам все поправил, но ведь очевидный же косяк.
Комментариев нет:
Отправить комментарий