web-dev-qa-db-ja.com

パスワードの複雑性チェック(PAM)を無効にする

空白のパスワードでLinuxベースのシステムをインストールしました。パスワードを単純なものに変更したかったのですが、passwdを使用してパスワードを単一の記号のようなものに設定すると、「パスワードは回文である」というエラーが発生しました。

パスワードの複雑性チェックを無効にする方法は?

6

私のシステム(ほとんどの最新のLinuxと同様)がPAM(プラグ可能な認証モジュール)と_pam_cracklib_モジュールを使用していることを知りました。 _pam_cracklib_はパラメーターに関係なく6シンボルの最小長を強制するので、解決策はそれをオフにすることです。

私が読んだ1つのリンクでは、_password-ac_内の_system-ac_および_/etc/pam.d_ファイルの編集について説明しました。両方のファイルの内容は同じで、それぞれの役割についての説明はありませんでした。

PAM docs( The Linux-PAM System Administrators 'Guide | linux-pam.org )を調べたところ、LINUXサービスのPAM configsが、別のファイルの_/etc/pam.d_ディレクトリにあることがわかりました。 passwdファイルを確認したところ、_system-ac_ファイルのみ(substackキーワードで追加)と記載されていたため、システムでは_system-ac_のみを編集する必要がありました。

_pam_cracklib_ optionalを作成しても違いはありませんでした(_pam_cracklib_が入力および拒否されたパスワードをスタックの次のモジュールに渡さなかったためと思われます-_pam_unix_)および_pam_cracklib_のコメント行がpasswd実行中のエラー。通常の_pam_unix_を含む次の行にはオプション_use_authtok_があったことに注意しました(ドキュメント:以前にスタックされたモジュールによって提供されたものに新しいパスワードを設定するようにモジュールを強制します)。そのオプションを削除し、_pam_cracklib_で行にコメントを付けた後、passwdで短いパスワードを設定できるようになりました。

5

パスワード強度チェックを実行できるPAMモジュールがいくつかあります。少なくとも pam_cracklib は多くのディストリビューションに付属しており、 pam_passwdqc Openwallから( 例えばDebianにパッケージ化 )。また、通常のファイルベースの認証モジュールの一部のバージョンpam_unixパスワードの強度に関連するオプションがあります。たとえば、最小パスワード長のminlenや、新しいパスワードを古いパスワードと比較するためのテストを行うobscureなどです。 (名前は「元のシャドウパッケージの「あいまいな」チェック」に由来します。)

そのようなモジュールがないかPAM設定を確認し、それらを無効にするかアンインストールする必要があります。パスワードの変更に関連するモジュールのキーワードpasswordで始まる行を探します。構成の正確な構造は、ディストリビューションによって異なる場合があります。

また、ユーザーがLDAPなどのネットワークベースのシステムに保存されている場合、サーバー自体がユーザーパスワードの要件を持つことは不可能ではありません。この場合、クライアントのPAM構成は関係ありません。例えば。 OpenLDAPには パスワードポリシーオーバーレイモジュール があります。

0
ilkkachu