このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

パスワードポリシーの設定可否 このメッセージに返信する
日時: 2018/02/20(Tue) 11:38
名前: hiro
URL:
環境:Red Hat Enterprise Linux Server release 5.8 (Tikanga)

パスワードポリシーの強化設定を行ないたいのですが、
文字数や複雑性などは該当項目があったのですが(/etc/login.defs、/etc/pam.d/system-auth)、
「パスワードにユーザ名を含んではならない」というポリシーを実現する方法がわかりません。

そもそもLinuxの仕様で実現不可なのでしょうか?
記事編集 編集
Re: パスワードポリシーの設定可否 このメッセージに返信する
日時: 2018/02/26(Mon) 15:53
名前: stranger
URL: http://ja.528p.com/
適当なユーザを作成してユーザ名を含めたパスワードを設定してみてね
CentOS7では警告がでると思われます

$ su -
# cd /etc/pam.d
# cat passwd
#%PAM-1.0
auth include system-auth
account include system-auth
password substack system-auth
-password optional pam_gnome_keyring.so use_authtok
password substack postlogin
# cat system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
#省略
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
#省略

CentOS7ではpam_pwquality.soが使われる

# man pam_pwquality
(reject_usernameのようなオプションはない)
デフォルトでハードコーティングされているのかもしれない
それとも
オプションのどれかがそういう機能をもっているのか詳しくはわかりません

CentOS6ではpam_cracklib.soが使われる
(それらしきオプションがある)

# cat system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
#省略
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
#省略

# man pam_cracklib
#省略
reject_username
Check whether the name of the user in straight or reversed form is
contained in the new password. If it is found the new password is
rejected.
#省略

5.8も同じように調べてください
ただしRHEL5の通常サポートは切れてるよね

ちなみにsshなどはpassword-authをつかう

CentOS7の場合 system-auth password-authの違いは
(auth sufficient pam_fprintd.so の記述がないだけ)

$ diff -urp system-auth password-auth
--- system-auth 2017-08-30 06:56:50.022385195 +0900
+++ password-auth 2017-08-30 06:56:50.018385290 +0900
@@ -2,7 +2,6 @@
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
-auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
記事編集 編集
Re: パスワードポリシーの設定可否 このメッセージに返信する
日時: 2018/02/27(Tue) 09:56
名前: hiro
URL:
ありがとうございます!参考にして検証してみます。
記事編集 編集
Re: パスワードポリシーの設定可否 このメッセージに返信する
日時: 2018/02/27(Tue) 14:04
名前: stranger
URL: http://ja.528p.com/
追記
CentOS7のpam_pwquality.soはlibpwqualityパッケージに含まれる
そちらのほうでユーザ名のチェックをしているみたい
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -