以下でパスワードの有効期限を設定してください。
sudo chage -d 0 ユーザー名
その後、パスワードを変更し、そのユーザーとしてログインします。
「passwd」と入力して元のパスワードを設定しようとすると、メッセージが表示されます。
「パスワードポリシー - 無効なパスワード:パスワードが以前のパスワードに置き換えられました。」
次のファイルを調べた結果、この動作を引き起こす可能性があるポリシーエントリが見つかりませんでした。
sudo nano /etc/pam.d/common-password
# here are the per-package modules (the "Primary" block)
password requisite pam_pwquality.so retry=3
password [success=2 default=ignore] pam_unix.so obscure use_authtok try_first_pass yesc>
password sufficient pam_sss.so use_authtok
# here's the fallback if no module succeeds
password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password required pam_permit.so
# and here are more per-package modules (the "Additional" block)
password optional pam_gnome_keyring.so
password optional pam_ecryptfs.so
# end of pam-auth-update config
「無効なパスワード:パスワードが以前のパスワードに変更されました。」エラーメッセージの原因は何ですか?
乾杯!
答え1
pam_pwqualityがこの問題を引き起こす、これはエラーメッセージと正確に一致します。
case PWQ_ERROR_ROTATED:
return _("The password is just rotated old one");
設定ファイルを介してpwquality.conf(5)この機能を無効にするオプションはないようです。無効になっていてもpam_pwquality(攻撃者は変更されていないか、あまり変更されないパスワードを好む悪い考えかもしれません)、パスワード自体がpam_unixパスワードを拒否する可能性があります。
答え2
これはobscureパラメータですpam_unix.so。からman 8 pam_unix:
obscure Enable some extra checks on password strength. These checks are based on the "obscure" checks in the original shadow package. The behavior is similar to the pam_cracklib module, but for non-dictionary-based checks. The following checks are implemented: [...descriptions of other checks cut out for brevity...] Rotated Is the new password a rotated version of the old password? (E.g., "billy" and "illyb")
pam_unix.so主な目的は処理/etc/passwdと/etc/shadow文書化ですが、いくつかの基本的なパスワード品質チェックを実行する機能も含まれています。
これはpam_pwquality.soパスワード品質チェックを実行できる別のモジュールです。
答え3
「パスワードポリシー - 間違ったパスワード:パスワードは以前のパスワードを置き換えるだけです。」は、以前に使用したパスワードを使用しようとしていることを意味します。
しかし、エラーメッセージは完全にはっきりしていません。