Ubuntuのパスワードポリシー
Ubuntu 12.04LTSサーバーでシステム全体のパスワードポリシーを設定したい。ぐるぐる回って、多くの人がこの(非常に古い)ドキュメントを指摘します:
https://help.ubuntu.com/10.04/serverguide/user-management.html
/etc/pam.d/common-passwordファイルを編集して、password required行を探すように指示されています。
password required pam_unix.so nullok obscure min=6 max=8 md5
パスワードの最小長を設定するには、min=設定を調整します。
ただし、12.04では、ファイルは次のようになります(コメントは削除されました)。
password [success=1 default=ignore] pam_unix.so obscure sha512
password requisite pam_deny.so
password required pam_permit.so
どの行を変更しますか? pam_unix.soのあるもの?またはpassword requiredのあるもの?それとも他のファイルにありますか?そのファイルのコメントには、パスワードポリシーの設定については何もありません。
最初の行を変更する必要がありますpassword [success=1 default=ignore] pam_unix.so obscure sha512
ただし、新しいmd5はsha512を使用しているため、md5は使用しないでください。パスワードの最小長(8)を設定する場合は、以下の行を使用してください
パスワード[success = 2 default = ignore] pam_unix.so obscure sha512 min = 8
pam_unix は [〜#〜] pam [〜#〜] モジュールであり、ユーザー名とパスワードを使用した認証を処理するため、ここで構成します。パスワードポリシー。
PAM構成 の最初の列は、管理グループを示します。ここでは、ユーザーの認証データの更新を構成するpasswordです。 2番目の列は、異なるモジュール間の制御フローを指定します。何をしているかを理解していない限り、それに触れないでください。 3番目の列はモジュール名であり、後続の列はこのモジュールのパラメーターです。
pam_unixドキュメント 、またはシステムのpam_unixマニュアルページで、サポートされているオプションを確認してください。必要なオプションを追加します。例:.
password [success=1 default=ignore] pam_unix.so obscure sha512 rounds=10000 minlen=8
pam_cracklib など、パスワードの複雑さのチェックを実行する他のモジュールを追加することもできます。 pam_cracklibをrequiredとして設定し、pam_unixの前に置きます(パスワードの変更を検証します)。
password required pam_cracklib.so retry=3 difok=1 minlen=10
password [success=1 default=ignore] pam_unix.so obscure sha512 rounds=10000 minlen=8