Linuxのpam_cracklib:クレジットを無効にする方法
Pam_cracklib'minlen 'が希望どおりに機能しません。 PAMは、「minlen」オプションで設定されている長さよりも短いパスワードでも許可します。これは、「大文字」、「小文字」、「数字」、および「その他の文字」にクレジット(デフォルトでは1)を与えます。
したがって、minlenが8に設定されている場合、次のパスワードが有効として許可されます。
- 'abcdefg'(長さ=小文字の使用に対する7 + 1クレジット)
- 'abcde1'(長さ= 6 +小文字を使用する場合は1クレジット+数字を使用する場合は1クレジット)
- 'Abcd1'(長さ= 5 +小文字を使用する場合は1クレジット+数字を使用する場合は1クレジット+大文字を使用する場合は1)
- 'Ab1 $'(長さ= 4 +小文字を使用する場合は1クレジット+数字を使用する場合は1クレジット+大文字を使用する場合は1+他の文字を使用する場合は1)
PAMがこれらのクラスの文字にクレジットを付与することを望まず、パスワードで使用されている文字のタイプに関係なく、指定されたとおりにminlenを厳密に適用したいと思います。私も次の設定で試しましたが、それは役に立ちませんでした:
password required pam_cracklib.so lcredit=0 dcredit=0 ucredit= ocredit=0 minlen=8
パスワードの最小長を強制するためにpam_cracklibを使用する必要はありません。 pam_unixはこれを喜んで行います。 min=8またはminlen=8を使用するだけです(古いバージョンのPAMではminです。pam_unixのマニュアルページを確認してください)。
その構成は機能するはずです。これをrootとして、またはスーパーユーザー権限で行う場合は、enforce_for_root引数をpam_cracklib.so行に追加する必要があります。それ以外の場合は、BAD PASSWORDについて文句を言いますが、それでも許可します。