私は、ユーザーが自分のパスワードを変更したときに、より厳格なパスワードを導入することを強制するセキュリティポリシーを実装しています。
構成/etc/pam.d/passwd
ファイルは次のとおりです。
#%PAM-1.0
auth include common-auth
account include common-account
password include common-password
session include common-session
だからこのファイルを変更しました/etc/pam.d/common-password
。
デフォルトcommon-password
ファイルには、次の2行が含まれています。
password requisite pam_pwcheck.so nullok cracklib
password required pam_unix2.so use_authtok nullok
パスワードをより強力にするには、pam_pwcheck(問題なし)とは異なるPAMモジュール(pam_cracklib)にいくつかのオプションを追加する必要があります。以下は、以下/etc/pam.d/common-password
で構成される最終ファイルですpasswd
。
password requisite pam_cracklib.so minclass=3 retry=3
password requisite pam_pwcheck.so nullok cracklib minlen=10 remember=5
password required pam_unix2.so use_authtok nullok
2つのPAMモジュールを設定すると問題が発生します。正しいパスワードを入力すると正常に動作します。拒否する必要がある無効なパスワードpam_cracklib
(小文字のみを含むパスワードなど)を入力すると、問題なくパスワードが拒否されます。
cracklib
ただし、有効ですが無効なパスワードpwcheck
(大文字、小文字、および7文字の数字を含むパスワード)を入力すると、次のエラーでパスワードが拒否されます。
Bad password: too short
passwd: Authentication token manipulation error
したがって、pam_pwcheck
エラーメッセージは印刷されますが(Bad password: too short
)PAMチェーンでいくつかのエラーが発生しました。
私の設定に何が問題なのかご存知ですか?
PS「セキュリティ」の要件はまったく私のものではないので、これについて言及しないでください;-)。
ベストアンサー1
PAMチェーンを次のファイルにリファクタリングしてみてください/etc/pam.d/common-password
。
password required pam_pwcheck.so
password required pam_cracklib.so use_authtok minlen=10 retry=3 minclass=3
password required pam_pwcheck.so remember=5 use_authtok use_first_pass
password required pam_unix2.so nullok use_authtok use_first_pass
私は上記を見つけて、次のタイトルのNovellドキュメントで少し修正しました。pam_pwcheck と pam_cracklib を一緒に使う。
また、以下をリソースとして使用します。