web-dev-qa-db-ja.com

Ubuntuのパスワードポリシー

Ubuntu 12.04LTSサーバーでシステム全体のパスワードポリシーを設定したい。ぐるぐる回って、多くの人がこの(非常に古い)ドキュメントを指摘します:

https://help.ubuntu.com/10.04/serverguide/user-management.html

/etc/pam.d/common-passwordファイルを編集して、password required行を探すように指示されています。

password    required    pam_unix.so nullok obscure min=6 max=8 md5

パスワードの最小長を設定するには、min=設定を調整します。

ただし、12.04では、ファイルは次のようになります(コメントは削除されました)。

password    [success=1 default=ignore]  pam_unix.so obscure sha512
password    requisite           pam_deny.so
password    required            pam_permit.so

どの行を変更しますか? pam_unix.soのあるもの?またはpassword requiredのあるもの?それとも他のファイルにありますか?そのファイルのコメントには、パスワードポリシーの設定については何もありません。

3
Barry Brown

最初の行を変更する必要がありますpassword [success=1 default=ignore] pam_unix.so obscure sha512

ただし、新しいmd5はsha512を使用しているため、md5は使用しないでください。パスワードの最小長(8)を設定する場合は、以下の行を使用してください

パスワード[success = 2 default = ignore] pam_unix.so obscure sha512 min = 8
4

pam_unix[〜#〜] pam [〜#〜] モジュールであり、ユーザー名とパスワードを使用した認証を処理するため、ここで構成します。パスワードポリシー。

PAM構成 の最初の列は、管理グループを示します。ここでは、ユーザーの認証データの更新を構成するpasswordです。 2番目の列は、異なるモジュール間の制御フローを指定します。何をしているかを理解していない限り、それに触れないでください。 3番目の列はモジュール名であり、後続の列はこのモジュールのパラメーターです。

pam_unixドキュメント 、またはシステムのpam_unixマニュアルページで、サポートされているオプションを確認してください。必要なオプションを追加します。例:.

password    [success=1 default=ignore]  pam_unix.so obscure sha512 rounds=10000 minlen=8

pam_cracklib など、パスワードの複雑さのチェックを実行する他のモジュールを追加することもできます。 pam_cracklibrequiredとして設定し、pam_unixの前に置きます(パスワードの変更を検証します)。

password    required                    pam_cracklib.so retry=3 difok=1 minlen=10
password    [success=1 default=ignore]  pam_unix.so obscure sha512 rounds=10000 minlen=8