/etc/pam.d/common-password
次の行があります。
password [success=1 default=ignore] pam_unix.so sha512 rounds=200000
これは、誰かがパスワードを設定するたびに200,000回のSHA-512を使用してハッシュされることを意味します。本質的に遅いハッシュは、パスワードをテストできる速度を制限し、事前攻撃と無差別代入攻撃を防ぎます。
一部のアカウントではパスワードをより保護したいが、ハッシュが遅くなることがあります。管理者アカウントに500,000のラウンドがあるとしましょう。root
ただし、PAMでこれらのユーザーごとまたはグループごとのポリシーを指定する方法はありません。これは可能ですか?
答え1
以下では、ユーザー別またはグループ別のポリシーを指定できます。pam_succeed_if
基準寸法。使用「移動」操作ok
(つまり、整数に置き換えるignore
など)password
一部のユーザーの設定をスキップします。
password [success=1] pam_succeed_if user ne 0
# Setting for root
password [success=1] pam_unix.so sha512 rounds=800000
# Setting for non-root
password [success=ok] pam_unix.so sha512 rounds=200000
(警告:テストされておらず、PAMの経験はありません。)