Debian 8でパスワードポリシーを実装しようとしています。 /etc/pam.d.common-passowrd には次の内容があります。
password requisite pam_cracklib.so difok=2 minlen=8 dcredit=0 ucredit=0 lcredit=0 ocredit=0 minclass=3 reject_username
password requisite pam_echo.so blah blah
password [success=1 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512
password requisite pam_deny.so
password required pam_permit.so
3つの5桁のシーケンスを含む15桁のパスワードを設定した後、次のエラーが発生します。
root@foo-host:~# ssh foo-user@localhost
Last login: Tue Aug 29 11:26:06 2017 from 127.0.0.1
WARNING: Your password has expired.
You must change your password now and login again!
blah blah
Changing password for foo-user.
(current) UNIX password:
New password:
BAD PASSWORD: it is too simplistic/systematic
passwd: Authentication token manipulation error
passwd: password unchanged
Connection to localhost closed.
pam_unixの "blur"オプションを削除しようとしましたが、動作に違いがないことがわかりました。
私のpam_cracklibのバージョンは次のとおりです。
root@foo-host:~# dpkg --list | grep -i crack
ii cracklib-runtime 2.9.2-1 amd64 runtime support for password checker library cracklib2
ii libcrack2:amd64 2.9.2-1 amd64 pro-active password checker library
ii libpam-cracklib:amd64 1.1.8-3.1+deb8u2+b1 amd64 PAM module to enable cracklib support
pam_cracklibにmaxsequenceを指定していませんが、なぜこれが起こるのですか?