最小パスワード長(12)を含むようにlogin.defsとパスワード-authを更新しましたが、minlenを使用してユーザーパスワードを変更しようとすると、minlenは適用されませんpasswd。
パスワード大文字と小文字のポリシーは適用されません。有効ですが脆弱で短すぎるパスワードで「aaaa1234」と入力できます。 「パスワード」などの辞書単語を入力することもできます。同じパスワードを再利用できます。
全体的に、どの設定も/etc/pam.d/password-auth認識されないようです。
次のコマンドに入力したパスワードは次のとおりです。blue1234
# passwd testy
Changing password for user testy.
New password:
BAD PASSWORD: it is based on a dictionary word
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.
/var/log/secure上記の操作でログインしたものです。これはイベントの唯一の行です。
Apr 1 11:41:37 myserver passwd: pam_unix(passwd:chauthtok): password changed for testy
構成ファイル
# login.defs
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN 12
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 30
PASS_MIN_DAYS 1
PASS_MIN_LEN 12
PASS_WARN_AGE 14
。
# /etc/pam.d/password-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
auth [default=die] pam_faillock.so authfail deny=3 unlock_time=604800 fail_interval=900
auth required pam_faillock.so authsucc deny=3 unlock_time=604800 fail_interval=900
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 minlen=12
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
pamパスワードポリシーを適用しないのはなぜですか?
PS:これは最小インストールです。
答え1
ファイルに/etc/pam.d/passwd含まれているかどうかを確認し、必要に応じて含まれるファイルを変更する必要があります。 /etc/pam.d/password-auth/etc/pam.d/system-auth
簡単に言えば、
PAMを使用するアプリケーションには、で始まるファイルがあるかもしれません/etc/pam.d/。ファイルが存在する場合、アプリケーションがPAM認証機能を呼び出すたびに、そのファイルのルールが処理されます。
などのファイルは/etc/pam.d/system-auth主/etc/pam.d/password-authにディストリビューションによって異なります。どのアプリケーションも自分自身を「システム認証」または「パスワード認証」として識別しないため、これらのファイルは実際には自分自身を呼び出すことはありません。代わりに、これらのファイルの内容は「include」ディレクティブを介して別のPAM設定ファイルにドラッグされます。これにより、複数のアプリケーションの共通設定を単一のファイルに保存できます。